Bitte lesen Sie die Datenschutzerklärung

 

 

Datenschutzerklärung

Ein Text! Sie können ihn mit Inhalt füllen, verschieben, kopieren oder löschen.

 

Datenschutz-GrundverordnungJetzt mit dem neuen BDSGInfo6BfDI
ImpressumHerausgeber:Die Bundesbeauftragte für den Datenschutzund die Informationsfreiheit Postfach 14 68, 53004 BonnHausanschrift: Husarenstraße 30, 53117 BonnTel. +49 (0) 228 997799-0Fax +49 (0) 228 997799-550E-Mail: referat11@bfdi.bund.deInternet: http://www.datenschutz.bund.deAuflage: 5. Auflage, September 2017Diese Broschüre ist Teil der Öffentlichkeitsarbeit der BfDI. Sie wird kostenlos abgegeben und ist nicht für den Verkauf bestimmt.Realisation: Appel & Klinger Druck und Medien GmbHBildnachweis: fotolia
Datenschutz-Grundverordnung
BfDI – Info
6
4
BfDI – Info 6
5
Vorwort. 6
1. Datenschutz-Grundverordnung – Regelungscharakter. 9
2. Grundprinzipien des Datenschutzrechts –
bisher bekannte Grundsätze bleiben erhalten. 9
2.1 Rechtmäßigkeit der Datenverarbeitung. 9
2.2 Datensparsamkeit. 10
2.3 Zweckbindung. 10
2.4 Datensicherheit. . 11
2.5 Übermittlung in Drittstaaten. 12
2.6 Betroffenenrechte. 13
2.7 Unabhängige Aufsicht. 15
2.8 Effektive Durchsetzung. 16
2.8.1 Befugnisse der Aufsichtsbehörden. 16
2.8.2 Sanktionen. 17
3. Was ist neu?. 18
3.1 Marktortprinzip. 18
3.2 Verfahrensvereinfachung und einheitliche Rechtsanwendung. 19
3.2.1 One-Stop-Shop. 19
3.2.2 Kohärenzverfahren. 20
4. Technischer und organisatorischer Datenschutz (vgl. Nr. 2.4). . . . . . . . . . ......... 22
4.1 Privacy by Design – Privacy by Default. 22
4.2 Auftragsverarbeitung. 23
4.3 Meldung von Datenschutzverletzungen. 23
4.4 Datenschutz-Folgenabschätzung. 24
4.5 Pflicht zur Bestellung eines behördlichen oder betrieblichen Datenschutzbeauftragten. 24
4.6 Stärkung der Selbstregulierung durch Zertifizierung und
Verhaltensregeln. 26
5. Einzelne weitere Aspekte. 28
5.1 Anwendungsbereich. 28
5.2 ..Verarbeitung besonders sensibler Daten. 29
5.3 Beschäftigtendatenschutz. 30
5.4 Kirchen und Religionsgemeinschaften. 30
5.5 Sonderregeln für wissenschaftliche Zwecke, öffentliche Archive
und Statistik. 31
5.6 Medienprivileg. 32
6. Ausblick und nationale Umsetzung. 33
Datenschutz-Grundverordnung. 35
Bundesdatenschutzgesetz (BDSG-neu). 185
1 Inhaltsverzeichnis
6
BfDI – Info 6
Vorwort
Nach etwa vierjährigen Verhandlungen haben der Europäische Rat und das Europäische Parlament im Frühjahr 2016 die EU-Datenschutz-Grundverordnung verabschiedet.
Die Datenschutz-Grundverordnung ist ein Meilenstein des Datenschutzes in Europa, denn sie verknüpft bewährte Prinzipien des grundrechtsorientierten Datenschutzrechts mit einer stärkeren Harmonisierung und einer maßvollen Modernisierung. Grundlage des Datenschutzrechts ist und bleibt das informationelle Selbstbestimmungsrecht des Einzelnen. Positiv ist die Beibehaltung des während der Verhandlungen immer wieder in Frage gestellten Verbotsprinzips, nach dem jede Datenverarbeitung, die nicht durch eine Einwilligung legitimiert ist, einer gesetzlichen Erlaubnis bedarf. Damit verbleibt auch künftig die Darlegungslast für die Notwendigkeit eines Eingriffs in das Recht auf informationelle Selbstbestimmung bei demjenigen, der diesen Eingriff vornehmen will.
Schließlich ist es erfreulich, dass die Prinzipien der Datensparsamkeit, der Angemessenheit und Erforderlichkeit, der Transparenz und Zweckbindung, der Gewährleistung der Datensicherheit sowie der unabhängigen
Aufsicht und wirksamen Sanktionierung beibehalten oder gestärkt werden.
Vordringlichstes Ziel war, das Datenschutzrecht innerhalb Europas stärker zu vereinheitlichen. Trotz aller Harmonisierungsbemühungen in den vergangenen Jahren führten die nationalen Umsetzungen der Datenschutzrichtlinie aus dem Jahr 1995 und deren Durchsetzung nur bedingt zu einem einheitlichen Datenschutzniveau in der Europäischen Union. Vielmehr entstanden ein Flickenteppich von datenschutzrechtlichen Regelungen und eine heterogene Aufsichtspraxis der Datenschutzbehörden.
7
Mit der Datenschutz-Grundverordnung gelten zukünftig in allen Staaten der Europäischen Union grundsätzlich die gleichen Standards.
Ein weiteres Ziel der europäischen Datenschutzreform war es, das Datenschutzrecht zu modernisieren, insbesondere bessere Antworten auf die Globalisierung und datenschutzrechtlichen Herausforderungen, die die zunehmende Digitalisierung und das Internetzeitalter mit sich bringen, zu geben.
Auch dies ist weitgehend erreicht worden. Insbesondere im Bereich der Wirtschaft führen die Regelungen der Datenschutz-Grundverordnung zu einem höheren Grad an Harmonisierung als dies derzeit der Fall ist. Sie sorgen für gleiche Wettbewerbsbedingungen für alle Unternehmen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten. Insbesondere werden auch ausländische Unternehmen nur dann Zugang zum europäischen Binnenmarkt erhalten, wenn sie sich an die hier geltenden Datenschutz-Regelungen halten.
Die Datenschutz-Grundverordnung bietet zudem einen wirksamen Regelungsmechanismus, um auch im Zeitalter der Digitalisierung und von Big-Data das Grundrecht jedes Einzelnen auf informationelle Selbstbestimmung im Verhältnis zu den staatlichen und kommerziellen Interessen zu sichern. Dabei lässt sie der deutschen und europäischen Digitalwirtschaft ausreichend Spielraum, innovative und intelligente Geschäftsmodelle zu entwickeln, die das in den vorhandenen enormen Datenmengen liegende Potential ökonomisch verwertbar machen und dabei zugleich die datenschutzrechtlichen Vorgaben beachten. Guter Datenschutz ist ein Quali-tätsmerkmal der europäischen Wirtschaft.
8
BfDI – Info 6
Am 25. Mai 2018 wird die neue Verordnung Geltung erlangen und dann die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ersetzen. Bis dahin sind die nationalen Gesetzgeber aufgerufen, die Regelungsspielräume der Datenschutz-Grundverordnung mit Leben zu erfüllen. Der Bundesgesetzgeber hat hierfür einen ersten wichtigen Schritt getan und ein neues Bundesdatenschutzgesetz verabschiedet, dessen Regelungen ganz überwiegend am 25. Mai 2018 in Kraft treten werden.
Diese Broschüre will dazu beitragen, einen ersten Überblick über die neue EU-Datenschutz-Grundverordnung, insbesondere über deren Grundprinzipien und die wesentlichen Neuerungen zu vermitteln. Sie enthält neben dem Verordnungstext eine kurze Einführung in die nicht einfache Materie und das neue Bundesdatenschutzgesetz.
Andrea Voßhoff
Bonn, im September 2017
9
Datenschutz-Grundverordnung
1 Datenschutz-Grundverordnung –
Regelungscharakter
Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 (im Folgenden: Datenschutzrichtlinie) ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV).
2 Grundprinzipien des Datenschutzrechts –
bisher bekannte Grundsätze bleiben erhalten
Die Datenschutz-Grundverordnung schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter.
Die Grundsätze des „Verbots mit Erlaubnisvorbehalt“, der „Datenvermeidung und Datensparsamkeit“, der „Zweckbindung“ und der „Transparenz“ prägen auch die Datenschutz-Grundverordnung. Auch zur Datenübermittlung ins Ausland finden sich aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen Daten detaillierte Regelungen.
2.1 Rechtmäßigkeit der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten normiert Art. 6 DSGVO als allgemeinen Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt.
10 BfDI – Info 6
Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder
eine andere in dieser Vorschrift normierte Ausnahme vorliegt. Dies ist der Fall, wenn
■■die Verarbeitung für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist,
die auf Antrag der betroffenen Person erfolgen;
■■die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der
der Verantwortliche unterliegt;
■■die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person
oder einer anderen natürlichen Person zu schützen;
■■wenn sie im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich
ist oder
■■sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich
ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Person nicht überwiegen. Dieser Rechtfertigungsgrund gilt nicht für Behörden.
2.2 Datensparsamkeit
Das bereits im Bundesdatenschutzgesetz (BDSG) verankerte Prinzip der Datensparsamkeit
findet sich nunmehr als eines der zentralen Prinzipien des Datenschutzes in der
Datenschutz-Grundverordnung wieder. Nach Art. 5 Abs. 1 lit. c DSGVO muss die Verarbeitung personenbezogener Daten dem
Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung
notwendige Maß beschränkt sein.
2.3 Zweckbindung
Die Datenschutz-Grundverordnung sieht in Art. 5 Abs. 1 lit. b DSGVO eine enge Zweck-
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
11
bindung vor. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.
Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind (Art. 5 Abs. 1 lit. b sowie Art. 6 Abs. 4 DSGVO). Dabei stellt die Datenschutz-Grundverordnung in Art. 6 Abs. 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu zählen u. a. die Verbindung zwischen den Zwecken, der Gesamtkontext, in dem die Daten erhoben wurden, die Art der personenbezogenen Daten, mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder das Vorhandensein von angemessenen Sicherheitsmaßnahmen wie eine Pseudonymisierung oder Verschlüsselung. Letzteres führt zu einer vorsichtigen Privilegierung der Weiterverarbeitung pseudonymisierter bzw. verschlüsselter Daten, was für datenschutzgerechte Big-Data-Anwendungen von Bedeutung ist.
2.4 Datensicherheit
Als zentrales Prinzip des Datenschutzes wurde auch die Gewährleistung von Datensicherheit gesetzlich verankert (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO).
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein.
Geboten sein kann danach unter anderem eine Pseudonymisierung oder Verschlüsselung, sowie die Fähigkeit, Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten (vgl. Nr. 4).
12 BfDI – Info 6
2.5 Übermittlung in Drittstaaten
Die Regelungen zur Drittstaatenübermittlung (Art. 44-50 DSGVO) übernehmen mit
einigen neuen Akzenten die grundsätzliche Systematik der Regelungen in der Datenschutzrichtlinie.
Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale
Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter
die im Kapitel V zur Datenübermittlung in Drittländer und zu internationalen
Organisationen niedergelegten Bedingungen erfüllen und auch die sonstigen Bestimmungen
der Datenschutz-Grundverordnung beachtet werden (Art. 44 DSGVO).
Eine Übermittlung ist danach zulässig, wenn die Europäische Kommission entschieden
hat, dass ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Hat die Kommission
keine solche Entscheidung getroffen, darf ein Verantwortlicher oder ein Auftragsverarbeiter
personenbezogene Daten in ein Drittland oder an eine internationale Organisation
nur übermitteln, sofern er geeignete Garantien vorgesehen hat und durchsetzbare
Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 DSGVO), u. a. rechtlich
bindende und durchsetzbare Instrumente zwischen Behörden oder öffentlichen
Stellen (Art. 46 Abs. 2 lit. a DSGVO), unternehmensinterne Datenschutzvorschriften, sog. „Binding Corporate Rules“ (Art. 46 Abs. 2 lit. b i.V.m. Art. 47 DSGVO) oder Standarddatenschutzklauseln,
die von der Kommission oder der Aufsichtsbehörde in einem bestimmten
Verfahren angenommen werden, (Art. 46 Abs. 2 lit. c und d DSGVO).
Die Datenschutz-Grundverordnung erlaubt darüber hinaus ausnahmsweise eine Datenübermittlung
in bestimmten Sonderfällen (Art. 49 DSGVO), z. B. bei Vorliegen einer
ausdrücklichen Einwilligung, bei der die betroffene Person zuvor über die Risiken einer
Datenübermittlung informiert worden sein muss (Art. 49 Abs. 1 lit. a DSGVO). Gerichtsurteile
und behördliche Anordnungen von Drittstaaten werden unbeschadet anderer Regelungen
in Kapitel V gemäß Art. 48 DSGVO nur anerkannt und durchgesetzt, wenn sie
auf einer internationalen Übereinkunft – zum Beispiel einem Rechtshilfeabkommen – .
beruhen.
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
13
2.6 Betroffenenrechte
Kapitel III der Datenschutz-Grundverordnung regelt die Rechte der betroffenen Person. Auch sie wurden modernisiert.
Dabei normiert zunächst Art. 12 DSGVO Anforderungen an die Transparenz der Informationen, an die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Person.
Art. 13f. DSGVO sehen einen umfangreichen Katalog proaktiver Benachrichtigungen vor, wobei danach differenziert wird, ob die Daten bei der betroffenen Person erhoben werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO). Dies betrifft unter anderem Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke sowie die Rechtsgrundlage, gegebenenfalls die Empfänger oder Kategorien von Empfängern sowie die Absicht der Übermittlung in ein Drittland, aber auch die Dauer der Speicherung, beziehungsweise die Kriterien für die Festlegung dieser Dauer. Der Betroffene ist zudem über seine Rechte zu informieren.
Art. 15 DSGVO regelt das Auskunftsrecht der Betroffenen. Die betroffene Person hat das Recht, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten sowie über Informationen unter anderem über die Verarbeitungszwecke, deren Herkunft, Empfänger, über die Dauer der Speicherung sowie über ihre Rechte.
Die betroffene Person hat zudem das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen (Art. 16 DSGVO).
Daneben haben die Betroffenen nach Art. 17 DSGVO (mit bestimmten Ausnahmen) das Recht, die Löschung ihrer Daten zu verlangen – zum Beispiel wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind oder die dazu erteilte Einwilligung widerrufen wurde. Eine Ausnahme besteht zum Beispiel, soweit die Verarbeitung zur Ausübung der freien Meinungsäußerung erforderlich
14 BfDI – Info 6
ist. Als besondere Ausformung des Löschungsanspruches besteht nun auch ein „Recht
auf Vergessenwerden“ (Art. 17 Abs. 2 DSGVO), wenn die verantwortliche Stelle die zu
löschenden Daten öffentlich gemacht hat. Dann muss sie vertretbare Schritte unternehmen,
um die Stellen, die diese Daten verarbeiten, zu informieren, dass die betroffene
Person von ihnen die Löschung aller Links zu diesen Daten oder von Kopien oder Replikationen
verlangt. Diese Vorschrift ist von besonderer Bedeutung für den Betrieb von
Internet-Suchmaschinen.
Die betroffene Person kann in bestimmten Fällen auch die Einschränkung der Verarbeitung
verlangen (Art. 18 DSGVO) – zum Beispiel, wenn der Verantwortliche die Daten
nicht mehr länger, die betroffene Person sie jedoch zur Geltendmachung, Ausübung
oder Verteidigung von Rechtsansprüchen benötigt oder die betroffene Person Widerspruch
gegen die Verarbeitung eingelegt hat und noch nicht feststeht, ob die berechtigten
Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Die
Einschränkung der Verarbeitung entspricht damit begrifflich im Wesentlichen
der Sperrung im Sinne von §§ 20 Abs. 3, 35 Abs. 3 BDSG.
Der Verantwortliche muss grundsätzlich allen Empfängern der Daten jede Berichtigung,
Löschung oder Einschränkung der Verarbeitung mitteilen (Art. 19 DSGVO). Anders
als das Recht auf Vergessenwerden knüpft diese Verpflichtung an vorangegangenen
Übermittlungen an konkrete Empfänger an.
Neu ist auch das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Mit seiner Einführung
wird die Datensouveränität der betroffenen Person gestärkt. Das Recht auf Datenübertragung
gibt betroffenen Personen daher unter bestimmten Voraussetzungen
einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem
üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Nutzer hat damit das
Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Die Regelung
kann damit insbesondere bei Social Networks den Wechsel zu einem anderen Anbieter
erleichtern. Es gilt aber letztlich bei jeder automatisierten Verarbeitung personenbezogener
Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem
Betroffenen, also auch für Verträge mit Energieversorgern, Banken oder Versicherungen. Die
betroffene Person kann sich dabei aussuchen, ob sie die Daten selbst erhalten
(und an einen neuen Verarbeiter weitergeben) will oder der bisherige Verarbeiter die
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
15
Daten unmittelbar an den neuen Verarbeiter weitergeben muss. Das Recht auf Datenübertragbarkeit ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat. Es gilt nicht für den öffentlichen Bereich.
Nach Art. 21 Abs. 1 DSGVO hat der Betroffene grundsätzlich ein allgemeines Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung von personenbezogenen Daten, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgte (Art. 6 Abs. 1 lit. e oder f DSGVO). Der Verantwortliche darf dann die Daten nur noch verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht besteht bei der Datenverarbeitung zum Zweck des Direktmarketings. Das gilt auch für das Profiling, soweit es mit der Direktwerbung zusammenhängt (Art. 21 Abs. 2 und 3 DSGVO). Der Betroffene ist ausdrücklich, in verständlicher Form und getrennt von jeglicher anderen Information auf das Widerspruchsrecht hinzuweisen (Art. 21 Abs. 4 DSGVO).
Sämtliche Betroffenenrechte können gemäß Art. 23 DSGVO durch nationale Gesetze beschränkt werden, sofern dies zur Wahrung bestimmter öffentlicher Interessen erforderlich ist. Dabei sind der Verhältnismäßigkeitsgrundsatz und der Wesensgehalt der Grundrechte zu beachten. Einschränkungen sind beispielsweise aus Gründen des Schutzes der nationalen und der öffentlichen Sicherheit, der Landesverteidigung, aber auch der Interessen der Steuerverwaltung oder zum Schutz der Unabhängigkeit der Gerichte möglich. Der Bundesgesetzgeber hat hiervon Gebrauch gemacht und in den §§ 32 bis 37 des neuen Bundesdatenschutzgesetzes (BDSG-neu) Einschränkungen der Betroffenenrechte vorgesehen. Diese sind im Lichte der DSGVO grundsätzlich eng auszulegen und am Maßstab des Art. 23 DSGVO zu messen. Ob und in welchem Umfang diese Regelungen aufgrund des Anwendungsvorrangs der DSGVO angewendet werden können, bleibt einer Entscheidung im jeweiligen konkreten Einzelfall vorbehalten.
16 BfDI – Info 6
2.7 Unabhängige Aufsicht
Die Datenschutz-Grundverordnung bekennt sich zu einer Stärkung der Aufsicht durch
unabhängige Datenschutzbehörden.
Sie normiert in Art. 51 Abs. 1, dass jeder Mitgliedstaat eine oder mehrere unabhängige
Aufsichtsbehörden einzurichten hat. Die Aufsichtsbehörden müssen sowohl vollständig unabhängig in der Wahrnehmung
ihrer Aufgaben sein, als auch die Angehörigen der Aufsichtsbehörden in ihrer Aufgabenwahrnehmung
frei von externem Einfluss bleiben. Dies umfasst auch ein Verbot,
zugleich eine Tätigkeit wahrzunehmen, die einen Interessenkonflikt begründet (Art. 52
Abs. 1 ff. DSGVO). Die Unabhängigkeit spiegelt sich auch darin wider, dass die Aufsichtsbehörden mit ausreichenden
technischen, personellen und finanziellen Ressourcen auszustatten sind
(Art. 52 Abs. 4 DSGVO).
Die Personalhoheit ist ebenfalls ausdrücklich normiert (Art. 52 Abs. 5 DSGVO). Die Auswahl
der Mitglieder der Aufsichtsbehörden – d. h. in Deutschland der Bundesbeauftragten
und der Landesbeauftragten bzw. der Leiter der Aufsichtsbehörden – muss in einem
besonders geregelten transparenten Verfahren erfolgen (Art. 53 f. DSGVO). Schließlich gehört zur Unabhängigkeit, dass die Mitglieder bzw. Leiter der Aufsichtsbehörden
nicht ohne weiteres ihres Amtes enthoben werden können (Art. 53 Abs. 4 DSGVO). Denn
auch die Sorge vor einer Amtsenthebung bei unliebsamer Amtswahrnehmung
wäre geeignet, die Unabhängigkeit zu beeinträchtigen.
2.8 Effektive Durchsetzung
Effektiver Datenschutz erfordert auch die Möglichkeit einer effektiven Durchsetzung.
Die Datenschutz-Grundverordnung sieht im Vergleich zur Datenschutzrichtlinie um-
GRUNDPRINZIPIEN DES DATENSCHUTZRECHTS – BISHER BEKANNTE GRUNDSÄTZE BLEIBEN ERHALTEN
17
fangreichere Befugnisse für die Datenschutzaufsichtsbehörden vor. Zudem werden die Sanktionsmöglichkeiten ausgedehnt.
2.8.1 Befugnisse der Aufsichtsbehörden
Die Datenschutzbehörden werden in Zukunft auch im öffentlichen Bereich Befugnisse erhalten, die sie jedenfalls in Deutschland bislang nicht haben. So werden sie nach Art. 58 DSGVO unter anderem auch gegenüber Behörden Anordnungen erlassen können, um zum Beispiel eine rechtswidrige Datenverarbeitung zu unterbinden, die Löschung personenbezogener Daten zu erwirken oder eine Datenübermittlung in Drittstaaten zu untersagen. Diese Befugnisse sind für das deutsche Verwaltungsrecht insofern ungewöhnlich, als sie hoheitliche Maßnahmen einer Behörde gegenüber einer anderen Behörde des gleichen Verwaltungsträgers ermöglichen. Auf diese Weise werden die Datenschutzbehörden zu spezifischen Rechtsaufsichtsbehörden. Zur effektiven Durchsetzung des Datenschutzrechts sind diese Befugnisse aber unabdingbar. Sie bedingen allerdings auf nationaler Ebene die Schaffung eines gerichtlichen Rechtsschutzes auch für Behörden gegen die Maßnahmen der Datenschutzaufsichtsbehörde.
Im nicht-öffentlichen Bereich sind die Befugnisse hingegen vergleichbar mit der geltenden Rechtslage.
2.8.2 Sanktionen
Nach der Datenschutz-Grundverordnung werden die erweiterten Befugnisse durch eine Ausweitung des Bußgeldrahmens flankiert (Art. 83 DSGVO).
So sind für bestimmte Rechtsverstöße Bußgelder bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro, zulässig, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens abzustellen und nicht etwa nur auf den in Europa erwirtschafteten.
Hinsichtlich der Sanktionsmöglichkeiten wird durch die Datenschutz-Grundverordnung auch eine Rechtslücke im Bereich des Telekommunikations- und Postwesens geschlossen werden, in dem die BfDI bisher keine Bußgelder verhängen kann.
18 BfDI – Info 6
Bezogen auf die öffentlichen Stellen enthält die Datenschutz-Grundverordnung in Art. 83 Abs. 7 eine Öffnungsklausel für den nationalen Gesetzgeber, wonach festgelegt werden
kann, ob und in welcher Höhe auch in diesem Bereich Bußgelder verhängt werden
können. § 43 Abs. 3 BDSG-neu macht davon Gebrauch und legt fest, dass gegen Behörden
und sonstige öffentliche Stellen des Bundes auch in Zukunft keine Geldbußen verhängt
werden können.
3 Was ist neu?
Auch wenn die Datenschutz-Grundverordnung den Datenschutz nicht neu erfindet
und sich auf die seit Jahrzenten bewährten Grundprinzipien des Datenschutzes stützt,
so enthält sie auch einige neue Elemente. Zum einen ist in diesem Zusammenhang das
sog. Marktortprinzip zu nennen, nach dessen Maßgabe das EU-Datenschutzrecht auch
für Wirtschaftsunternehmen außerhalb der Europäischen Union gilt. Zum anderen sollen
komplexe Kooperations- und Kohärenzmechanismen eine möglichst einheitliche
Anwendung der Regelungen des DSGVO in den EU-Mitgliedstaaten gewährleisten.
3.1 Marktortprinzip
Das Europäische Datenschutzrecht gilt nach der Datenschutz-Grundverordnung nicht
nur für die in der Europäischen Union niedergelassenen Unternehmen. Voraussetzung
ist nach Art. 3 Abs. 2 DSGVO lediglich, dass sich ein Angebot an einen bestimmten nationalen
Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des
Verhaltens von Personen in der EU dient. Der Anwendungsbereich erstreckt sich damit
auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.
Das Marktortprinzip wird für gleiche Wettbewerbsbedingungen für alle Unternehmen
sorgen, die Waren und Dienstleistungen auf dem europäischen Markt anbieten. Insbesondere
werden auch ausländische Unternehmen nur dann Zugang zum europäischen
Binnenmarkt erhalten, wenn sie sich an die hier geltenden Regelungen halten. 
19
3.2 Verfahrensvereinfachung und einheitliche Rechtsanwendung
Die Datenschutz-Grundverordnung strebt eine möglichst einheitliche Rechtsanwendung in der Europäischen Union an. Dies soll im Falle grenzüberschreitender Datenverarbeitungen im nicht-öffentlichen Bereich durch einen komplexen Kooperations- und Kohärenzmechanismus umgesetzt werden, an dessen Ende eine einheitliche Entscheidung der Aufsichtsbehörden der EU-Mitgliedstaaten zur Rechtsanwendung steht. Sie kann entweder im Wege der Einigung oder zwangsweise durch einen Europäischen Datenschutzausschuss herbeigeführt werden (siehe „Kohärenzverfahren“). Die deutschen Aufsichtsbehörden werden ebenso wie diejenigen der anderen EU-Mitgliedstaaten in diesen Mechanismen nur eine Stimme haben. Die deshalb in Europäischen Angelegenheiten notwendige Abstimmung der deutschen Aufsichtsbehörden hat der Bundesgesetzgeber in § 18 BDSG-neu geregelt.
3.2.1 One-Stop-Shop
Aufgrund des durch die Datenschutz-Grundverordnung eingeführten sogenannten „One-Stop-Shop-Mechanismus“ ist es für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, einfacher als bisher, ihre datenschutzrechtlichen Angelegenheiten zu klären: Für diese Unternehmen wird bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz zuständig sein, sodass sie einen zentralen Ansprechpartner haben. Dies entlastet die Unternehmen gegenüber den bisherigen Regelungen ganz erheblich.
Gleichzeitig bleibt dabei aber auch gewährleistet, dass sich der von der Datenverarbeitung Betroffene mit Beschwerden immer an die Datenschutzaufsichtsbehörde an seinem Wohnsitz wenden kann.
Die grundsätzliche Architektur des One-Stop-Mechanismus ist durch die Definition einer federführenden Datenschutzbehörde am Sitz der Hauptniederlassung des Verantwortlichen gekennzeichnet, die als Hauptansprechpartner für die verantwortliche Stelle fungiert und ihr gegenüber das Datenschutzrecht durchsetzt. Sobald mehrere
20 BfDI – Info 6
Mitgliedstaaten betroffen sind, werden deren Datenschutzaufsichtsbehörden in den
Abstimmungsmechanismus eingebunden (betroffene Behörden).
Einigen sich die federführende und die betroffenen Aufsichtsbehörden auf eine einheitliche
Vorgehensweise, ergeht ein entsprechender Beschluss an die Hauptniederlassung
des Verantwortlichen. Er hat die erforderlichen Maßnahmen zu treffen, um die Verarbeitungstätigkeiten
aller Niederlassungen innerhalb der Union mit dem Beschluss in
Einklang zu bringen. Die federführende Aufsichtsbehörde ist über die Maßnahmen zu
unterrichten und unterrichtet wiederum ihrerseits die betroffenen Aufsichtsbehörden. Die Aufsichtsbehörde, bei der hierzu eine Beschwerde eingereicht worden ist, unterrichtet
den Beschwerdeführer über den Beschluss. Wird eine Beschwerde eines Betroffenen abgewiesen oder abgelehnt, ergeht der Beschluss
gegenüber dem Petenten durch die angerufene Aufsichtsbehörde. Das Unternehmen
wird lediglich darüber informiert.
Wird einer Beschwerde nur zum Teil stattgegeben, ergehen zwei Beschlüsse – einer
durch die federführende Aufsichtsbehörde gegenüber dem Unternehmen und einer
der angerufenen Aufsichtsbehörde gegenüber dem Betroffenen.
In den sogenannten „Marktortfällen“ (vgl. hierzu oben unter 3.1), in denen keine Niederlassung
in der Europäischen Union existiert, die Datenschutz-Grundverordnung aber
dennoch anwendbar ist, weil sich zum Beispiel das Angebot an Bürger in der EU richtet,
gibt es diesen Kooperationsmechanismus nicht. In diesen Fällen ist jede Aufsichtsbehörde
im Hoheitsgebiet ihres Mitgliedstaats zuständig und kann Entscheidungen erlassen. Daher können hier auch divergierende Entscheidungen ergehen.
3.2.2 Kohärenzverfahren
Dort wo in One-Stop-Shop-Fällen kein Konsens zwischen federführender und mitbetroffenen
Aufsichtsbehörden im Verfahren der Zusammenarbeit erreicht werden kann,
normieren Art. 63, 65 DSGVO das sogenannte Kohärenzverfahren mit der Befugnis des
Europäischen Datenschutzausschusses, verbindliche Beschlüsse (Art. 65 Abs. 1 DSGVO)
WAS IST NEU?
21
zu treffen, um die ordnungsgemäße und einheitliche Anwendung der Verordnung in Einzelfällen sicherzustellen.
Das Verfahren hierzu ist in den Art. 65 Abs. 6, 60 Abs. 7 bis 9 DSGVO geregelt: Die federführende Aufsichtsbehörde trifft den endgültigen Beschluss auf der Grundlage des Beschlusses des Europäischen Datenschutzausschusses gegenüber der Hauptniederlassung des Verantwortlichen, der ihr EU-weit Folge zu leisten hat. Im Falle einer erfolglosen Beschwerde erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, den Beschluss gegenüber dem Beschwerdeführer. Zeitgleich mit dem Erlass des endgültigen Beschlusses gegenüber dem Verantwortlichen oder dem Beschwerdeführer wird ein etwaiger Beschluss des Europäischen Datenschutzausschusses auf dessen Webseite veröffentlicht.
Um zur einheitlichen Anwendung der Datenschutz-Grundverordnung beizutragen werden im sogenannten Kohärenzverfahren über die Klärung von Einzelfragen (One-Stop-Shop) hinaus aber auch gemeinsame Positionen, Stellungnahmen und Richtlinien bestimmt.
22 BfDI – Info 6
4 Technischer und organisatorischer Datenschutz
(vgl. Nr. 2.4)
Die Datenschutz-Grundverordnung stellt die Bedeutung des technischen und organisatorischen
Datenschutzes heraus. Hierzu zählen die Regelungen zu Privacy by Design/
Privacy by Default, zur Auftragsdatenverarbeitung, zu Meldungen über Datenschutzverletzungen,
zur Datenschutz-Folgenabschätzung und zu den betrieblichen/behördlichen
Datenschutzbeauftragten. Zudem stärkt die Datenschutz-Grundverordnung die
Selbstregulierung durch die Verantwortlichen.
4.1 Privacy by Design – Privacy by Default
Schon bisher gilt das Prinzip der Datenvermeidung und Datensparsamkeit. Mit der
Einführung des „Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen“
(Art. 25 DSGVO) werden nun ausdrücklich Anforderungen an die Produktentwicklung
und -implementierung gestellt, um eine wirksame Umsetzung dieser
Datenschutzgrundsätze zu erreichen. Der Verantwortliche hat hierfür sowohl zum Zeitpunkt der Festlegung der Mittel für die
Verarbeitung als auch zum Zeitpunkt der Verarbeitung angemessene technische und
organisatorische Maßnahmen zu treffen, wie z. B. Pseudonymisierung. Der Verantwortliche muss darüber hinaus sicherstellen, dass Standardeinstellungen
darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten
Zweck auch erforderlich sind. Das betrifft den Umfang der erhobenen Daten, den
Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Diese Regelungen werden Ausstrahlungswirkungen auf sämtliche Produkte, Systeme
und Prozesse in den Unternehmen haben.
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
23
Auch wenn sich die Vorschrift unmittelbar nur an die Verantwortlichen richtet, wird sie sich auch mittelbar auf die Entwicklung von IT-Produkten und -Verfahren auswirken
4.2 Auftragsverarbeitung
Die Regelungen zur Auftragsverarbeitung (Art. 28 DSGVO) orientieren sich weitgehend an der Systematik von § 11 BDSG. Neu ist, dass die Einhaltung der Verpflichtungen des Auftragsverarbeiters zu den technisch-organisatorischen Maßnahmen durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO (Code of Conduct) oder durch eine Zertifizierung nach Art. 42 DSGVO nachgewiesen werden kann. (Art. 28
Abs. 5 DSGVO).
4.3 Meldungen von Datenschutzverletzungen
Verletzungen des Schutzes personenbezogener Daten müssen unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt. (vgl. Art. 33 Abs. 1 DSGVO). Ein solches Risiko kann z. B. durch eine geeignete Verschlüsselung personenbezogener Daten ausgeschlossen werden, die etwa beim Verlust eines Datenträgers die Kenntnisnahme der Daten durch Dritte verhindert.
Besteht die Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt, muss der Verantwortliche auch die betroffene Person ohne unangemessene Verzögerung benachrichtigen – es sei denn, er hat technisch-organisatorische Maßnahmen getroffen, die eine Kenntnisnahme durch Dritte verhindern oder die sicherstellen, dass aller Wahrscheinlichkeit nach kein hohes Risiko mehr für die Rechte und Freiheiten der betroffenen Person besteht (Art. 34 DSGVO).
24 BfDI – Info 6
Kommt es bei einem Auftragsverarbeiter zu einem Datenschutzverstoß, muss dieser seinen
Auftraggeber informieren (Art. 33 Abs. 2. DSGVO).
4.4 Datenschutz-Folgenabschätzung
Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko
für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab
eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen. Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung (Art. 35 Abs. 1 DSGVO). Die Datenschutz-Grundverordnung nennt in Art. 35 Abs. 3 bestimmte Fallgruppen, bei
denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen das Profiling, die
Verarbeitung besonders sensibler Daten sowie eine umfangreiche Videoüberwachung.
Bei der Folgenabschätzung ist der behördliche oder betriebliche Datenschutzbeauftragte
zu beteiligen (Art. 35 Abs. 2 DSGVO). Zeigt die Datenschutz-Folgenabschätzung
ein verbleibendes hohes Risiko, muss zudem die Datenschutzaufsichtsbehörde konsultiert
werden (Art. 36 Abs. 1 DSGVO).
4.5 Pflicht zur Bestellung eines behördlichen oder betrieblichen
Datenschutzbeauftragten
Nach Art. 37 Abs. 1 DSGVO müssen in drei Fällen interne Datenschutzbeauftragte bestellt
werden.
■■Öffentliche Stellen haben, sofern sie personenbezogene Daten verarbeiten, stets einen
Datenschutzbeauftragten zu bestellen. Ausgenommen sind Gerichte im Rahmen
der rechtsprechenden Tätigkeit.
■■Nicht-öffentliche Stellen haben einen Datenschutzbeauftragten zu bestellen, wenn
deren Kerntätigkeit oder desjenigen, der Daten im Auftrag verarbeitet, in einer Datenverarbeitung
besteht,
• die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige
und systematische Beobachtung von betroffenen Personen erfordert oder
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
25

eine umfangreiche Verarbeitung von Daten, die nach Art. 9 oder 10 DSGVO besonders schutzwürdig sind, umfasst.
Erwägungsgrund 97 stellt klar, dass das „Kerngeschäft“ die Hauptaktivität des Unternehmens meint. Bloße Nebentätigkeiten sollen nicht darunter fallen.
Darüber hinaus enthält Art. 37 Abs. 4 DSGVO zwei Öffnungsklauseln:
Verantwortliche oder Auftragsverarbeiter können auch freiwillig einen Datenschutzbeauftragten bestellen.
Eine weitere Öffnung besteht darin, dass die Mitgliedstaaten im nationalen Recht für weitere Fälle die Bestellung eines Datenschutzbeauftragten vorschreiben können. Hiervon hat der Bundesgesetzgeber durch § 38 Abs. 1 BDSG-neu Gebrauch gemacht. Danach werden Unternehmen in Deutschland auch künftig einen Datenschutzbeauftragten zu bestellen haben, wenn mehr als 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auskunfteien, Adresshändler oder Markt- und Meinungsforschungsinstitute müssen in jedem Falle einen Datenschutzbeauftragten bestellen. Damit bleibt die geltende Rechtslage erhalten.
Art. 39 DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben – wie Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften, Schulungen und Zusammenarbeit mit der Aufsichtsbehörde.
Der Verantwortliche oder der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Sie haben ihn zu unterstützen und ihm die erforderlichen Ressourcen zur Verfügung zu stellen. Der Datenschutzbeauftragte ist weisungsfrei und berichtet unmittelbar der jeweiligen Leitungsebene. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Natürlich ist er zur Geheimhaltung verpflichtet. (Vgl. Art. 38 DSGVO.)
Die Rechtstellung und die Aufgaben sind weitgehend mit der derzeitigen Rechtslage in Deutschland identisch.
26 BfDI – Info 6
4.6 Stärkung der Selbstregulierung durch Zertifizierung und
Verhaltensregeln
Die Datenschutz-Grundverordnung stärkt die Selbstregulierung durch Verhaltensregeln
(Art. 40, 41 DSGVO) und Zertifizierungen (Art. 42, 43 DSGVO). Diese Instrumente
bieten einerseits klare Wettbewerbsvorteile. Andererseits enthält die Datenschutz-
Grundverordnung an verschiedenen Stellen Anreize zur Nutzung dieser Instrumente. So können sie beispielsweise bei der Beurteilung der Datensicherheit, beim Nachweis
der Einhaltung der Verpflichtungen eines Auftragsverarbeiters, bei der Durchführung
einer Datenschutz-Folgenabschätzung oder bei der Prüfung geeigneter Garantien für
die Übermittlung in Drittländer herangezogen werden.
Zudem ist die Schaffung branchenspezifischer Verhaltensregeln zu bestimmten Aspekten
- wie das berechtigte Interesse des Verantwortlichen in bestimmten Zusammenhängen
oder die Datenübermittlung in Drittstaaten (Art. 40 Abs.2 lit. b, Abs. 2 lit. j DSGVO)
- möglich.
Soweit nicht die Tätigkeit in mehreren Mitgliedstaaten betroffen ist, genehmigt und
veröffentlicht die Aufsichtsbehörde die Verhaltensregeln (Art. 40 Abs. 5 und 6 DSGVO). Bei einer Verarbeitungstätigkeit in mehreren Mitgliedstaaten werden sie dem Europäischen
Datenschutzausschuss vorgelegt, der dazu Stellung nimmt. Die Europäische
Kommission kann dann mit Durchführungsrechtsakten die allgemeine Gültigkeit in
der Union regeln (Art. 40 Abs. 7-10 DSGVO).
Der Europäische Datenschutzausschuss führt ein Register aller genehmigten Verhaltensregeln
und veröffentlicht sie (Art. 40 Abs. 11 DSGVO).
Ein weiteres wichtiges Instrument der Selbstregulierung ist die Möglichkeit der Zertifizierung
von Verarbeitungsvorgängen (nicht von Stellen). Sie dient dazu, nachzuweisen,
dass die Datenschutz-Grundverordnung bei Verarbeitungsvorgängen eingehalten
wird (Art. 42 Abs. 1 DSGVO). Eine Zertifizierung wird durch die Aufsichtsbehörde oder
durch eine hierfür akkreditierte Stelle ausgesprochen (Art. 42 Abs. 5 DSGVO).
TECHNISCHER UND ORGANISATORISCHER DATENSCHUTZ
27
Der Europäische Datenschutzausschuss führt und veröffentlicht ein Register aller Zertifizierungsmechanismen (Art. 42 Abs. 8 DSGVO).
Die Zertifizierungskriterien werden von den Aufsichtsbehörden, gegebenenfalls im Kohärenzverfahren, festgelegt (Art. 42 Abs. 5 DSGVO).
Die Europäische Kommission kann in delegierten Rechtsakten Anforderungen und in Durchführungsrechtsakten technische Standards festlegen (Art. 43 Abs. 8f. DSGVO).
28 BfDI – Info 6
EINZELNE WEITERE ASPEKTE
5 Einzelne weitere Aspekte
5.1 Anwendungsbereich
Die Datenschutz-Grundverordnung ist grundsätzlich sowohl im nicht-öffentlichen, als
auch im öffentlichen Bereich anwendbar.
Sie gilt nicht für die Verarbeitung zu persönlichen und familiären Zwecken (Haushaltsausnahme,
Art. 2 Abs. 2 lit. c DSGVO). Angesichts des gegenüber der Datenschutzrichtlinie
unveränderten Wortlautes verbleibt es insoweit bei dem sehr weiten Anwendungsbereich
des Datenschutzrechts. Ebenso gilt die Datenschutz-Grundverordnung nicht für die Verarbeitung personenbezogener
Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung,
Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie
für den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit durch
diese Behörden (Art. 2 Abs. 2 lit. d DSGVO). Sie ist damit zum Beispiel nicht für die Tätigkeit
der Bundes- und Landespolizeien oder die Staatsanwaltschaften anwendbar.
Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten,
soweit sie im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt – unabhängig
davon, ob die Verarbeitung in der Union stattfindet (Art. 3 Abs. 1 DSGVO). Daneben
gilt das unter Nr. 3.1 dargestellte Marktortprinzip.
Die unmittelbare Geltung der Datenschutz-Grundverordnung wird im öffentlichen Bereich
durch die allgemeinen Öffnungsklauseln in Art. 6 sowie in Kapitel IX für spezifisch
nationale Gesetzgebung relativiert.
29
Art. 6 Abs. 2 DSGVO enthält eine Öffnungsklausel in Bezug auf
■■
die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) sowie
■■
die Verarbeitung im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO).
Erlaubt sind im Wesentlichen aber nur Konkretisierungen und Präzisierungen und keine grundsätzlichen Änderungen der Architektur der Datenschutz-Grundverordnung. Erfasst sind hiervon auch private Stellen, die im öffentlichen Interesse tätig sind, zum Beispiel im Gesundheitswesen, Nahverkehr usw.
Art. 6 Abs. 3 lit. b DSGVO verlangt für diese Datenverarbeitungen allerdings eine Rechtsgrundlage im nationalen Recht, in der zumindest der Zweck der Verarbeitung festzulegen ist. Sie kann aber auch die Bedingungen für die Rechtmäßigkeit, den Kreis der Betroffenen, die Übermittlungsempfänger oder Speicherfristen enthalten.
Insgesamt sind damit die Spielräume für die nationalen Gesetzgeber allerdings recht weit.
5.2 Verarbeitung besonders sensibler Daten
Die Verarbeitung besonders sensibler Daten unterliegt besonderen Bedingungen. So ist die Verarbeitung von personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Daten über Gesundheit oder Sexualleben und sexuelle Ausrichtung grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO) – es sei denn es liegen bestimmte ausdrücklich geregelte Ausnahmen vor (Art. 9 Abs. 2 DSGVO). Diese sind im Vergleich zu Art. 6 DSGVO (vgl. hierzu Nr. 2.1) strenger. Beispielsweise muss eine Einwilligung hier ausdrücklich erfolgen.
30 BfDI – Info 6
Die Mitgliedstaaten können für die Verarbeitung von genetischen, biometrischen und
gesundheitlichen Daten noch zusätzliche Bedingungen und Beschränkungen einführen
oder aufrechterhalten (Art. 9 Abs. 4 DSGVO). Derartige Regelungen finden sich beispielsweise
in § 22 BDSG-neu.
5.3 Beschäftigtendatenschutz
Die Datenschutz-Grundverordnung verzichtet auf detaillierte Regelungen zum Beschäftigtendatenschutz. Vielmehr
enthält sie für diesen Bereich eine Öffnungsklausel
(Art. 88 DSGVO). Danach können die Mitgliedstaaten durch Gesetz oder Kollektivvereinbarung
spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und
Freiheiten bei der Verarbeitung von Beschäftigtendaten vorsehen. Aufgrund dieser Öffnungsklausel
hat der Bundesgesetzgeber nach dem Vorbild des geltenden § 32 BDSG
den § 26 BDSG-neu als nationale konkretisierende Vorschrift zum Beschäftigtendatenschutz
geschaffen. 5.4 Kirchen und Religionsgemeinschaften
Die Datenschutz-Grundverordnung gilt grundsätzlich auch für Kirchen und Religionsgemeinschaften. Sie
enthält aber insoweit in Art. 91 DSGVO weitreichende Öffnungsklauseln.
Danach dürfen Kirchen und Religionsgemeinschaften ihre zum Zeitpunkt des Inkrafttretens
bestehenden Regeln weiter anwenden, soweit diese in Einklang mit der Datenschutz-
Grundverordnung gebracht werden.
Das bedeutet, dass in Deutschland die kirchlichen Datenschutzgesetze beibehalten
werden können. Änderungen des bestehenden Rechts sind demgegenüber möglich
und gegebenenfalls auch notwendig (»in Einklang gebracht werden«).
EINZELNE WEITERE ASPEKTE
31
Die Kirchen und religiösen Vereinigungen, die solche umfassenden Datenschutzregeln anwenden, unterliegen nach Art. 91 Abs. 2 DSGVO der Kontrolle durch eine unabhängige Aufsichtsbehörde. Diese Vorschrift erlaubt es den Kirchen, eine spezifische Art der Datenschutzaufsicht vorzusehen. Damit können die Kirchen in Deutschland mit ihren eigenen kirchlichen Datenschutzbeauftragten insoweit ihre verfassungsrechtlich und europarechtlich geschützte Autonomie weiterhin ausüben. Die kirchlichen Datenschutzbeauftragten müssen allerdings die Bedingungen des Kapitel VI der Datenschutz-Grundverordnung erfüllen. Auch sie müssen daher unabhängig sein, ihnen müssen eine angemessene Ausstattung zur Verfügung gestellt sowie bestimmte Aufgaben und Befugnisse eingeräumt werden.
5.5 Sonderregeln für wissenschaftliche Zwecke, öffentliche Archive und Statistik
Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke sowie für Zwecke der Statistik wird durch die Datenschutz-Grundverordnung privilegiert.
Art. 5 Abs. 1 lit. b DSGVO normiert zunächst eine weitgehende Aufhebung der Zweckbindung für Daten, die ursprünglich für andere Zwecke verarbeitet wurden. Eine Weiterverarbeitung für die vorgenannten Zwecke gilt danach nicht als unvereinbar mit den ursprünglichen Zwecken.
Die Rechtsgrundlage für die Datenverarbeitung zu den genannten Zwecken kann nach Art. 89 DSGVO weitgehend in den Mitgliedstaaten geregelt werden. Gleiches gilt gem. Art. 9 Abs. 2 lit. j DSGVO auch für die Verarbeitung besonders sensibler Daten (wie zum Beispiel über die religiöse Überzeugung oder Gesundheitsdaten) zu diesen Zwecken. Dabei müssen angemessene Garantien zum Datenschutz vorgesehen werden. Zu den danach erforderlichen technisch-organisatorische Maßnahmen können im Forschungsbereich zum Beispiel Pseudonymisierung und Anonymisierung gehören.
32 BfDI – Info 6
Von einzelnen Betroffenenrechten (vgl. Nr. 2.6) sind Ausnahmen möglich, soweit sie
voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder
ernsthaft beeinträchtigen würden. Die §§ 27 und 28 des BDSG-neu enthalten hier einige
spezifische Regelungen.
5.6 Medienprivileg
Der Ausgleich zwischen dem Persönlichkeitsschutz und den Kommunikationsfreiheiten
bleibt gemäß Art. 85 DSGVO den Mitgliedstaaten vorbehalten. Dabei enthält Art. 85
Abs. 1 DSGVO einerseits den allgemeinen Auftrag an die Mitgliedstaaten, in ihrem Recht
einen Ausgleich zwischen dem Recht auf Datenschutz und der Meinungs- und Informationsfreiheit
herzustellen. Art. 85 Abs. 2 DSGVO erlaubt es den Mitgliedstaaten darüber
hinaus, bei der Verarbeitung personenbezogener Daten zu journalistischen, literarischen,
künstlerischen oder wissenschaftlichen Zwecken Ausnahmen von zahlreichen
Kapiteln der Datenschutz-Grundverordnung vorzusehen, sofern dies zur Wahrung der
Meinungs- und Informationsfreiheit, einschließlich der Presse- und Rundfunkfreiheit
erforderlich ist. An diese Vorgabe müssen die in Deutschland in erster Linie im Landesrecht
geregelten besonderen Bestimmungen des Datenschutzes bei Presse und Rundfunk
angepasst werden.
EINZELNE WEITERE ASPEKTE
33
6 Ausblick und nationale Umsetzung
Die Datenschutz-Grundverordnung ist als europäische Verordnung unmittelbar geltendes Recht. Als „Grundverordnung“ enthält sie aber eine Vielzahl von Öffnungsklauseln, die Spielraum für nationales Recht der Mitgliedstaaten schaffen.
Auf den nationalen Gesetzgeber kommt daher ein erheblicher Umsetzungsbedarf zu. Darüber hinaus muss das gesamte Datenschutzrecht von Bund und Ländern auf seine Vereinbarkeit mit der Datenschutz-Grundverordnung geprüft und - soweit erforderlich - bereinigt werden.
Hinsichtlich des Anpassungsbedarfs im deutschen Datenschutzrecht ist zwischen dem öffentlichen und dem nicht-öffentlichen Bereich zu unterscheiden.
Im öffentlichen Bereich werden die geltenden bereichsspezifischen Vorschriften aufgrund der Öffnungsklauseln in Art. 6 Abs. 2, Art. 6 Abs. 3, Art. 9 Abs. 4, Art. 23 DSGVO und in Kapitel IX zum überwiegenden Teil erhalten bleiben. Durch den Gesetzgeber ist aber zu prüfen, in welchem Umfang eine Anpassung und Rechtsbereinigung notwendig ist. Erste Anpassungen im Bereich der Verarbeitung von Sozialdaten und im Steuerrecht hat der Bundesgesetzgeber bereits vorgenommen.
Im nicht-öffentlichen Bereich bestehen demgegenüber deutlich geringere Spielräume für nationale Regelungen.
Mit dem neuen BDSG hat der Bundesgesetzgeber bereits von einer Reihe von Regelungsspielräumen Gebrauch gemacht. Dabei hat er neben den zwingend umzusetzenden Regelungen auch zahlreiche optionale Möglichkeiten genutzt.
Zu den zwingend umzusetzenden Regelungen gehören beispielsweise die Vorschriften zur Einrichtung und näheren Ausgestaltung der Aufsichtsbehörden die für die BfDI in den §§ 8 ff. BDSG-neu geschaffen worden sind. Dazu gehören aber auch die Regelungen zur Vertretung der deutschen Datenschutzbehörden im Europäischen Datenschutzaus34
BfDI – Info 6
schuss und zur Zusammenarbeit der Datenschutzbehörden in Bund und Ländern, die in
den §§ 17 bis 19 BDSG-neu enthalten sind.
Hinsichtlich der optionalen Öffnungsmöglichkeiten sind vor allem die Vorschriften zur
Verarbeitung besonders schutzwürdiger Daten (§ 22 BDSG-neu) zur Zweckänderung (§§
23, 24 BDSG-neu), zur Verarbeitung von Beschäftigtendaten (§ 26 BDSG-neu), zur Einschränkung
der Betroffenenrechte (§§ 32 bis 37 BDSG-neu) und zur Bestellung betrieblicher
Datenschutzbeauftragter (§ 38 BDSG-neu) von Bedeutung. AUSBLICK UND NATIONALE UMSETZUNG
35
Verordnung (EU) 2016/679 des Europäischen Parlaments
und des Rates vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses1,
nach Stellungnahme des Ausschusses der Regionen2,
gemäß dem ordentlichen Gesetzgebungsverfahren3,
in Erwägung nachstehender Gründe
1 ABl. C 229 vom 31.7.2012, S. 90.
2 ABl. C 391 vom 18.12.2012, S. 127.
3 Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments vom 14. April 2016.
Der nachfolgende Text der Datenschutz-Grundverordnung entspricht der im Amtsblatt der Europäischen Union am 4. Mai 2016 unter L 119/1 veröffentlichten, im Amtsblatt der Europäischen Union am 22.
November 2016 unter L 314/72 berichtigten amtlichen Fassung.
36 BfDI – Info 6
HABEN FOLGENDE VERORDNUNG ERLASSEN:
KAPITEL I
Allgemeine Bestimmungen
Artikel 1
Gegenstand und Ziele
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und
insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes
natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt
noch verboten werden.
ERWÄGUNGSGRÜNDE :
(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.
Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden
„Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union
(AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer
personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten
und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit
oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung soll zur Vollendung
eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen
und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften
innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.
(3) Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates4 ist die Harmonisierung
der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener
Daten zwischen den Mitgliedstaaten.
(4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht
auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick
4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
37
auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.
(5) Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener Daten geführt. Der unionsweite Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.
(6) Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend machen auch natürliche Personen Informationen öffentlich weltweit zugänglich. Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.
(7) Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.
(8) Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.
(9) Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet
38 BfDI – Info 6
ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang
mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte
und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener
Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können
den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau
können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen,
den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht
obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und
Anwendung der Richtlinie 95/46/EG.
(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten
und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte
das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung
dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte
und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener
Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der
Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher
Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die
Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser
Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den
allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der
Richtlinie 95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften
in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten
zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung
besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“).
Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in
denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich
einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener
Daten rechtmäßig ist.
(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise
Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen
für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso
wie — in den Mitgliedstaaten — gleiche Befugnisse bei der Überwachung und Gewährleistung
der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen
im Falle ihrer Verletzung.
(12) Artikel 16 Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften über
den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Verkehr solcher Daten zu erlassen.
39
(13) Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission5 maßgebend sein.
Artikel 2
Sachlicher Anwendungsbereich
(1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener
Daten
a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
5 Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C (2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).
40 BfDI – Info 6
(3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter
und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener
Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der
vorliegenden Verordnung angepasst.
(4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell
die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler
unberührt.
ERWÄGUNGSGRÜNDE :
(14) Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen
Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts
gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer
Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich
Name, Rechtsform oder Kontaktdaten der juristischen Person.
(15) Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher
Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.
Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener
Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten,
wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert
werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten
Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
(16) Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und
des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in
den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende
Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen
Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener
Daten.
(17) Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates6 gilt für die Verarbeitung
personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der
Union. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung
personenbezogener Daten regeln, sollten an die Grundsätze und Vorschriften der vorliegenden
Verordnung angepasst und im Lichte der vorliegenden Verordnung angewandt werden.
Um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu
6 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum
freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
41
gewährleisten, sollten die erforderlichen Anpassungen der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt werden können.
(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.
(19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates7 unterliegen. Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, als sie in den Anwendungsbereich des Unionsrechts fällt. In Bezug auf die Verarbeitung personenbezogener Daten durch diese Behörden für Zwecke, die in den Anwendungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen beibehalten oder einführen können, um die Anwendung der Vorschriften dieser Verordnung anzupassen. In den betreffenden Bestimmungen können die Auflagen für die Verarbeitung personenbezogener Daten durch diese zuständigen Behörden für jene anderen Zwecke präziser festgelegt werden, wobei der verfassungsmäßigen, organisatorischen und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist. Soweit diese Verordnung für die Verarbeitung personenbezogener Daten durch private Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese Beschränkung in einer demokratischen Gesellschaft eine notwendige
7 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2000/383/JI des Rates (siehe Seite 89 dieses Amtsblatts).
42 BfDI – Info 6
und verhältnismäßige Maßnahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu
auch die öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von
Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr
von Gefahren für die öffentliche Sicherheit. Dies ist beispielsweise im Rahmen der Bekämpfung
der Geldwäsche oder der Arbeit kriminaltechnischer Labors von Bedeutung.
(20) Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden,
doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie
die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener
Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit
die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer
Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung
personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein.
Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem
des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften
dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser
Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge
bearbeiten sollten.
(21) Die vorliegende Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG des Europäischen
Parlaments und des Rates8 und insbesondere die der Vorschriften der Artikel 12 bis 15 jener
Richtlinie zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste. Die genannte Richtlinie
soll dazu beitragen, dass der Binnenmarkt einwandfrei funktioniert, indem sie den freien
Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellt.
(27) Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten
können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
Artikel 3
Räumlicher Anwendungsbereich
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten,
soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder
eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in
der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von
betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union nie-
8 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der
Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie
über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1).
43
dergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
(3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
ERWÄGUNGSGRÜNDE:
(22) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.
(23) Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten. Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.
(24) Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsver44
BfDI – Info 6
arbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten
dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Ob eine
Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran
festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der
möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener
Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage
für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben,
Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.
(25) Ist nach Völkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder
konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch auf einen nicht in
der Union niedergelassenen Verantwortlichen Anwendung finden.
Artikel 4
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare
natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar
wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels
Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die
Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden
kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung
oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung
durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich
oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten
mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin
besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere
um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche
45
Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene
46 BfDI – Info 6
Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen
Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die,
ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,
oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen
Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet
wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen
Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie
oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der
Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene
Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer
natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen
oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige
Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen,
beziehen und aus denen Informationen über deren Gesundheitszustand
hervorgehen;
16. „Hauptniederlassung“
a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat
den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen
hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener
Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union
getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu
lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft,
als Hauptniederlassung;
b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat
den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter
keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters
in der Union, in der die Verarbeitungstätigkeiten im Rahmen der
Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden,
soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung
unterliegt;
47
17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
23. „grenzüberschreitende Verarbeitung“ entweder
a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
48 BfDI – Info 6
24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf
im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte
Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang
mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar
hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten
der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener
Daten in der Union ausgehen;
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer
1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates9;
26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten
Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern
geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen
wurde.
ERWÄGUNGSGRÜNDE :
(26) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte
oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene
personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen
Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare
natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar
ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen
Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person
direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung,
ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person
genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der
dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung
verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die
Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für
Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen,
oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die
betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft
somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
9 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren
auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L
241 vom 17.9.2015, S. 1).
49
(27) Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.
(28) Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.
(29) Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um — für die jeweilige Verarbeitung — die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen angeben.
(30) Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.
(31) Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung — gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten — eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen. Die Verarbeitung personenbezogener Daten durch die genannten Behörden sollte den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen.
(32) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die
50 BfDI – Info 6
betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden
ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder
einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch
einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft
oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene
Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten
Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte
Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.
Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen
Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte
für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person
auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer
und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben
wird, erfolgen.
(33) Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen
Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig
angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung
für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der
anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen
Personen sollten Gelegenheit erhalten, ihre Einwilligung nur für bestimme Forschungsbereiche
oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.
(34) Genetische Daten sollten als personenbezogene Daten über die ererbten oder erworbenen genetischen
Eigenschaften einer natürlichen Person definiert werden, die aus der Analyse einer
biologischen Probe der betreffenden natürlichen Person, insbesondere durch eine Chromosomen,
Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder der Analyse eines
anderen Elements, durch die gleichwertige Informationen erlangt werden können, gewonnen
werden.
(35) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand
einer betroffenen Person beziehen und aus denen Informationen über den
früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der
betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person,
die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne
der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates10 für die natürliche Person
erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt
wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, In-
10 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte
in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).
51
formationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.
(36) Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden; in diesem Fall sollte die letztgenannte als Hauptniederlassung gelten. Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird. Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor für das Bestehen einer Hauptniederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat, oder — wenn er keine Hauptverwaltung in der Union hat — der Ort, an dem die wesentlichen Verarbeitungstätigkeiten in der Union stattfinden. Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbehörde des Mitgliedstaats, in dem der Verantwortliche seine Hauptniederlassung hat, die zuständige federführende Aufsichtsbehörde bleiben, doch sollte die Aufsichtsbehörde des Auftragsverarbeiters als betroffene Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte sich an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen. Auf jeden Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten, in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbehörden betrachtet werden, wenn sich der Beschlussentwurf nur auf den Verantwortlichen bezieht. Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.
(37) Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein
52 BfDI – Info 6
Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen
kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet
werden.
KAPITEL II
Grundsätze
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person
nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung
nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht
in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke,
für wissenschaftliche oder historische Forschungszwecke oder für statistische
Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen
Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung
notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle
angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im
Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht
oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen
nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden,
erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit
die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter
technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum
Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich
für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche
und historische Forschungszwecke oder für statistische Zwecke gemäß
Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen
Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
53
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
ERWÄGUNGSGRUND:
(39) Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
Artikel 6
Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
54 BfDI – Info 6
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden
personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene
Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich,
die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen
Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen
oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte
und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener
Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen
Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben
vorgenommene
Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung
der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz
1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen
für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig
und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich
für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt
durch
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. Der Zweck der
Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung
gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich
sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann
spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser
Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen
Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch
den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche
55
Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
ERWÄGUNGSGRÜNDE:
(40) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
56 BfDI – Info 6
(41) Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme
Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament
angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung
des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage oder
Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung sollte für die
Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs der Europäischen Union (im
Folgenden „Gerichtshof“) und des Europäischen Gerichtshofs für Menschenrechte vorhersehbar
sein.
(44) Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten
Abschluss eines Vertrags erforderlich ist.
(45) Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen
Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen
Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht
oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede
einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere
Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen
obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt
werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem
Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der
Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie
der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet
werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten
offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche
anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig
und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der
Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt,
die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine
Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische
Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke,
wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen
der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts,
wie beispielsweise eine Berufsvereinigung, handeln sollte.
(46) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden,
wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer
anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur
dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet
werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt
57
werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.
(47) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.
(48) Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.
(49) Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams — CERT, beziehungsweise Computer Security Incident Response Teams — CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und
58 BfDI – Info 6
Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die
Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen
Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren,
die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder
übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender
Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich
sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen,
den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher
Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern
(„Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen
abzuwehren.
(50) Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen
Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung
mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar
ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige
für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung
einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher
Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder
im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für
die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die Weiterverarbeitung
für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang
gelten. Die im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene
Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage
für eine Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung
mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar
ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit
der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den
Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten
Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere
die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem
Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art
von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung
für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten
Weiterverarbeitungsvorgang geeignete Garantien bestehen.
Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht
oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige
und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen
öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten
ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen. In jedem Fall sollte gewährleistet
sein, dass die in dieser Verordnung niedergelegten Grundsätze angewandt werden und
59
insbesondere die betroffene Person über diese anderen Zwecke und über ihre Rechte einschließlich des Widerspruchsrechts unterrichtet wird. Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten. Eine derartige Übermittlung personenbezogener Daten im berechtigten Interesse des Verantwortlichen oder deren Weiterverarbeitung sollte jedoch unzulässig sein, wenn die Verarbeitung mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar ist.
Artikel 7
Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
ERWÄGUNGSGRÜNDE:
(42) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Ein60
BfDI – Info 6
willigung erteilt. Gemäß der Richtlinie 93/13/EWG des Rates11 sollte eine vom Verantwortlichen
vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer
klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen
Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte
die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke
ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen
werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie
Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne
Nachteile zu erleiden.
(43) Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen,
wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht
besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und
es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die
Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung
gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen
Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall
angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer
Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung
nicht erforderlich ist.
(171) […] Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es
nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art
der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der
Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung
fortsetzen kann. […]
Artikel 8
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft,
das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen
Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr
vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese
Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger
der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird..
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere
Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr
liegen darf.
11 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom
21.4.1993, S. 29).
61
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
ERWÄGUNGSGRUND:
(38) Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht
62 BfDI – Info 6
der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen
der betroffenen Person vorsieht, zulässig ist,
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person
oder einer anderen natürlichen Person erforderlich und die betroffene Person
ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu
geben,
d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch,
weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung,
Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen
ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die
Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation
oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck
regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen
Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt
werden,
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person
offensichtlich öffentlich gemacht hat,
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen
Tätigkeit erforderlich,
g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats,
das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt
des Rechts auf Datenschutz wahrt und angemessene und spezifische
Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person
vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische
Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich
auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats
oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs
und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen
Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards
bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten,
auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats,
das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Frei63
heiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
(4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
ERWÄGUNGSGRÜNDE:
(51) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufga64
BfDI – Info 6
be im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen
übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige
Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung,
insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.
Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener
Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher
Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere
wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder
Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.
(52) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen
Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten
vorgesehen sind, und — vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen
Daten und anderer Grundrechte — wenn dies durch das öffentliche Interesse gerechtfertigt
ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet
des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung
und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder
Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren. Eine
solche Ausnahme kann zu gesundheitlichen Zwecken gemacht werden, wie der Gewährleistung
der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung,
insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung
von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll, oder
wenn die Verarbeitung im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen
oder historischen Forschungszwecken oder statistischen Zwecken dient. Die Verarbeitung solcher
personenbezogener Daten sollte zudem ausnahmsweise erlaubt sein, wenn sie erforderlich
ist, um rechtliche Ansprüche, sei es in einem Gerichtsverfahren oder in einem Verwaltungsverfahren
oder einem außergerichtlichen Verfahren, geltend zu machen, auszuüben oder zu verteidigen.
(53) Besondere Kategorien personenbezogener Daten, die eines höheren Schutzes verdienen, sollten
nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für das Erreichen
dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich
ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme
des Gesundheits- oder Sozialbereichs, einschließlich der Verarbeitung dieser Daten durch die
Verwaltung und die zentralen nationalen Gesundheitsbehörden zwecks Qualitätskontrolle, Verwaltungsinformationen
und der allgemeinen nationalen und lokalen Überwachung des Gesundheitssystems
oder des Sozialsystems und zwecks Gewährleistung der Kontinuität der Gesundheits-
und Sozialfürsorge und der grenzüberschreitenden Gesundheitsversorgung oder Sicherstellung
und Überwachung der Gesundheit und Gesundheitswarnungen oder für im öffentlichen
Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken
oder statistischen Zwecken, die auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhen,
die einem im öffentlichen Interesse liegenden Ziel dienen müssen, sowie für Studien, die
65
im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Diese Verordnung sollte daher harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten besondere und angemessene Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen — einschließlich Beschränkungen — in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen. Dies sollte jedoch den freien Verkehr personenbezogener Daten innerhalb der Union nicht beeinträchtigen, falls die betreffenden Bedingungen für die grenzüberschreitende Verarbeitung solcher Daten gelten.
(54) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates12 ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitgeber oder Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten.
(55) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses.
(56) Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.
12 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).
66 BfDI – Info 6
Artikel 10
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten
oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur
unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder
dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen
Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen
darf nur unter behördlicher Aufsicht geführt werden.
Artikel 11
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
(1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die
Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr
erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche
Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene
Person zu identifizieren.
(2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen,
dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die
betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20
keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen
Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung
ermöglichen.
ERWÄGUNGSGRUND:
(57) Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine
natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung
einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu
identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen,
die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen.
Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise
durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie
sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten
Online-Dienst anzumelden — einschließen.
67
KAPITEL III
Rechte der betroffenen Person
Abschnitt 1
Transparenz und Modalitäten
Artikel 12
Transparente Information, Kommunikation und Modalitäten für die Ausübung
der Rechte der betroffenen Person
(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
68 BfDI – Info 6
(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß
den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei
offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung —
exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung
oder die Mitteilung oder die Durchführung der beantragten Maßnahme
berücksichtigt werden, oder
b) sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder
exzessiven Charakter des Antrags zu erbringen.
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die
den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche
Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person
erforderlich sind.
(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen
sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden,
um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen
aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden
die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur
Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren
für die Bereitstellung standardisierter Bildsymbole zu erlassen.
ERWÄGUNGSGRÜNDE :
(58) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene
Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und
einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet
werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise
auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen,
wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es
der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und
zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der
Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen
Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und
einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.
69
(59) Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.
(60) Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.
Abschnitt 2
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Artikel 13
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
70 BfDI – Info 6
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen
Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten
an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das
Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission
oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel
49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen
Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo
sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen
Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur
Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls
dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden
personenbezogenen Daten sowie auf Berichtigung oder Löschung oder
auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die
Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2
Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung berührt wird;
d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich
vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene
Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche
mögliche Folgen die Nichtbereitstellung hätte und
f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck
weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so
stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
71
(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
Artikel 14
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen
Person erhoben wurden
(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) die Kategorien personenbezogener Daten, die verarbeitet werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
72 BfDI – Info 6
f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls
ob sie aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene .
Person.
(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen
Daten innerhalb einer angemessenen Frist nach Erlangung der
personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person
verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an
sie, oder,
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum
Zeitpunkt der ersten Offenlegung.
(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck
weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so
stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a) die betroffene Person bereits über die Informationen verfügt,
b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen
Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung
für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche
oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der
in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in
Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung
der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In
diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum
Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen
Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der
Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen
zum Schutz der berechtigten Interessen der betroffenen Person vorsehen,
ausdrücklich geregelt ist oder
73
d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
ERWÄGUNGSGRÜNDE:
(61) Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.
(62) Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden.
Artikel 15
Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
74 BfDI – Info 6
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert
werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser
Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden
personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den
Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben
werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige
Informationen über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene
Person.
(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation
übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß
Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der
Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt,
kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten
verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die
Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern
sie nichts anderes angibt.
(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer
Personen nicht beeinträchtigen.
ERWÄGUNGSGRÜNDE :
(63) Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen
Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen
Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und
deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf
Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten,
die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde
der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene
Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu
welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie
lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach
75
welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.
(64) Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.
Abschnitt 3
Berichtigung und Löschung
Artikel 16
Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Artikel 17
Recht auf Löschung („Recht auf Vergessenwerden“)
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbei76
BfDI – Info 6
tung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch
gegen die Verarbeitung ein.
d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen
Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich,
dem der Verantwortliche unterliegt.
f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft
gemäß Artikel 8 Absatz 1 erhoben.
(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß
Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren
Technologie und der Implementierungskosten angemessene Maßnahmen, auch
technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen
Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die
Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen
dieser personenbezogenen Daten verlangt hat.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem
Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert,
oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen
wurde;
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1,
soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele
dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
ERWÄGUNGSGRÜNDE :
(65) Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen
Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten
gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem
der Verantwortliche unterliegt, verstößt. Insbesondere sollten betroffene Personen Anspruch
darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden,
wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw.
anderweitig verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffenen Personen
77
ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen diese Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
(66) Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.
Artikel 18
Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
78 BfDI – Info 6
d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz
1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des
Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen
Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen
Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus
Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet
werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt
hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben
wird.
ERWÄGUNGSGRUND:
(67) Methoden zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem
darin bestehen, dass ausgewählte personenbezogenen Daten vorübergehend auf ein anderes
Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass
veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten
Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel
so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und
nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen
Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.
Artikel 19
Mitteilungspflicht im Zusammenhang mit der Berichtigung
oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden,
jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung
der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich
als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche
unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Artikel 20
Recht auf Datenübertragbarkeit
(1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die
sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren
Format zu erhalten, und sie hat das Recht, diese Daten einem anderen
79
Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
(2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
(3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
(4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
ERWÄGUNGSGRUND:
(68) Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt. Dieses Recht sollte naturgemäß nicht gegen Verantwortliche ausgeübt werden, die personenbezogenen Daten in Erfüllung ihrer öffentlichen Aufgaben verarbeiten. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung einer ihm übertragenen öffentlichen Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Ist im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine betroffene Person tangiert, so
80 BfDI – Info 6
sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener
Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht
der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen
dieses Rechts gemäß dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass
die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags
zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen
Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die
betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von
einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden.
Abschnitt 4
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Artikel 21
Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situa-.
tion ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten,
die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen;
dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche
verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende
schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und
Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die
betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender
personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch
für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so
werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
(4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr
ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser
Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu
erfolgen.
(5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die
betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels
automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet
werden.
81
(6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
ERWÄGUNGSGRÜNDE:
(69) Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt — die dem Verantwortlichen übertragen wurde, — oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der für die Verarbeitung Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.
(70) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche — ursprüngliche oder spätere — Verarbeitung einschließlich des Profilings einlegen können, als sie mit dieser Direktwerbung zusammenhängt. Die betroffene Person sollte ausdrücklich auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verständlichen und von anderen Informationen getrennten Form erfolgen.
Artikel 22
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
82 BfDI – Info 6
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene
Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der
betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens
einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und
auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener
Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder
g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten
Interessen der betroffenen Person getroffen wurden.
ERWÄGUNGSRÜNDE :
(71) Die betroffene Person sollte das Recht haben, keiner Entscheidung — was eine Maßnahme einschließen
kann — zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu
werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche
Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt,
wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren
ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das „Profiling“,
das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung
der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere
zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit,
persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort
oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene
Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen
Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings
erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für
die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit
den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen
Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die
Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten,
oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen
Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person
ihre ausdrückliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung
mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der
betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des
eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen
Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein
Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen,
unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person
gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung
Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling
83
verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.
(72) Das Profiling unterliegt den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten, wie etwa die Rechtsgrundlage für die Verarbeitung oder die Datenschutzgrundsätze. Der durch diese Verordnung eingerichtete Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) sollte, diesbezüglich Leitlinien herausgeben.
Abschnitt 5
Beschränkungen
Artikel 23
Beschränkungen
(1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a) die nationale Sicherheit;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Wäh84
BfDI – Info 6
rungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit
und der sozialen Sicherheit;
f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die
berufsständischen Regeln reglementierter Berufe;
h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise
mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g
genannten Zwecke verbunden sind;
i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer
Personen;
j) die Durchsetzung zivilrechtlicher Ansprüche.
(2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls
spezifische Vorschriften enthalten zumindest in Bezug auf
a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b) die Kategorien personenbezogener Daten,
c) den Umfang der vorgenommenen Beschränkungen,
d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige
Übermittlung;
e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung
von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und
h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern
dies nicht dem Zweck der Beschränkung abträglich ist.
ERWÄGUNGSGRUND:
(73) Im Recht der Union oder der Mitgliedstaaten können Beschränkungen hinsichtlich bestimmter
Grundsätze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und Berichtigung oder
Löschung personenbezogener Daten, des Rechts auf Datenübertragbarkeit und Widerspruch,
Entscheidungen, die auf der Erstellung von Profilen beruhen, sowie Mitteilungen über eine Verletzung
des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten
damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen werden, soweit dies
in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche
Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben insbesondere
bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, die Verhütung,
Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung — was auch den Schutz
vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt — oder die Verhütung,
85
Aufdeckung und Verfolgung von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen gehört, und zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherheit, öffentliche Gesundheit und humanitäre Hilfe, zu schützen. Diese Beschränkungen sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.
KAPITEL IV
Verantwortlicher und Auftragsverarbeiter
Abschnitt 1
Allgemeine Pflichten
Artikel 24
Verantwortung des für die Verarbeitung Verantwortlichen
(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
(3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.
ERWÄGUNGSGRÜNDE:
(74) Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nach86
BfDI – Info 6
weisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen
und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und
die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen
berücksichtigen.
(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit
und Schwere — können aus einer Verarbeitung personenbezogener Daten
hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte,
insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder
-betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von
dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung
der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen
Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht
oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,
wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische
Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer
Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben
oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden,
insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche
Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder
Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen
oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen,
insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große
Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.
(76) Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen
Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung
bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden,
bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.
(77) Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen
hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was
die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf
Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren
für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln,
genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines
Datenschutzbeauftragten gegeben werden. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge
ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen
in diesen Fällen ausreichend sein können.
87
Artikel 25
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
ERWÄGUNGSGRUND:
(78) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen,
88 BfDI – Info 6
Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen
oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller
der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz
bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen
und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die
Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche
Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.
Artikel 26
Gemeinsam für die Verarbeitung Verantwortliche
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung
fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in
transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung
erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht,
und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern
und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften
der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt
sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben
werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen
der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend
widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur
Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person
ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen
geltend machen.
ERWÄGUNGSGRUND:
(79) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung
und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es — auch mit
Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden — einer klaren
Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen
ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen
festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt
wird.
89
Artikel 27
Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
(1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
(2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
b) Behörden oder öffentliche Stellen.
(3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
(4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
(5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.
ERWÄGUNGSGRUND:
(80) Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten — unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird — oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortli90
BfDI – Info 6
chen handelt es sich um eine Behörde oder öffentliche Stelle. Der Vertreter sollte im Namen des
Verantwortlichen oder des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als
Anlaufstelle dienen. Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdrücklich
bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden
Verpflichtungen an seiner Stelle zu handeln. Die Benennung eines solchen Vertreters
berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters
nach Maßgabe dieser Verordnung. Ein solcher Vertreter sollte seine Aufgaben entsprechend
dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausführen und insbesondere mit
den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen, die die Einhaltung dieser Verordnung
sicherstellen sollen, zusammenarbeiten. Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters
sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.
Artikel 28
Auftragsverarbeiter
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit
Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische
und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang
mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der
betroffenen Person gewährleistet.
(2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte
oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter
den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung
oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die
Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags
oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen
bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung,
die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die
Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen
— auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland
oder eine internationale Organisation — verarbeitet, sofern er nicht durch das
Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt,
hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen
diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern
91
das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
(4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
92 BfDI – Info 6
(5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten
Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor
herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des
vorliegenden Artikels nachzuweisen.
(6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter
kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze
3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des
vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil
einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln
42 und 43 erteilten Zertifizierung sind.
(7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln
zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels
genannten Fragen festlegen.
(8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63
Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels
genannten Fragen festlegen.
(9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich
abzufassen, was auch in einem elektronischen Format erfolgen kann.
(10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen
diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese
Verarbeitung als Verantwortlicher.
ERWÄGUNGSGRUND:
(81) Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen
des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher,
der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter
heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit
und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische
Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen
dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines
genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen
werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung
einer Verarbeitung durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags
oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten
erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem
93
Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
Artikel 29
Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Artikel 30
Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
94 BfDI – Info 6
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen
Maßnahmen gemäß Artikel 32 Absatz 1.
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu
allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der
Verarbeitung, die Folgendes enthält:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter
tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters
und eines etwaigen Datenschutzbeauftragten;
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt
werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland
oder an eine internationale Organisation, einschließlich der Angabe des betreffenden
Drittlands oder der betreffenden internationalen Organisation, sowie bei den
in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung
geeigneter Garantien;
d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen
Maßnahmen gemäß Artikel 32 Absatz 1.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem
elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des
Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis
auf Anfrage zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen,
die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene
Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen
Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung
besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen
Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des
Artikels 10.
Artikel 31
Zusammenarbeit mit der Aufsichtsbehörde
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf
Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
95
ERWÄGUNGSGRUND:
(82) Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.
Abschnitt 2
Sicherheit personenbezogener Daten
Artikel 32
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten,
die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um
die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
96 BfDI – Info 6
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen,
dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten
haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind
nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
ERWÄGUNGSGRUND:
(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung
verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der
Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa
eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der
Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit
— gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu
schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken
sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt
werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust,
Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen
Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere
wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.
Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche
unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt
wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass
die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko
für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die
Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung
beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten
bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen
Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen
personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen
Anlaufstelle für weitere Informationen;
97
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
Artikel 34
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
(2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
98 BfDI – Info 6
c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall
hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme
zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert
werden.
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des
Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter
Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener
Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies
nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3
genannten Voraussetzungen erfüllt sind.
ERWÄGUNGSGRÜNDE :
(85) Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und
angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche
Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen
Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug,
finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der
Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche
oder gesellschaftliche Nachteile für die betroffene natürliche Person. Deshalb sollte
der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt
wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten
unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt
wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz
der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten
voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher
Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in
ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können
schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
(86) Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung
des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des
Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen
Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen
treffen können. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen
zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen
der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen
möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder
von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten
Weisungen erfolgen. Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu
99
können, müssten betroffene Personen sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen.
(87) Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.
(88) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde.
Abschnitt 3
Datenschutz-Folgenabschätzung und vorherige Konsultation
Artikel 35
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
100 BfDI – Info 6
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen,
die sich auf automatisierte Verarbeitung einschließlich Profiling gründet
und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber
natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise
beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche
Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1
eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde
übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen
erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich
ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde
das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten
umfassen, die mit dem Angebot von Waren oder Dienstleistungen für
betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren
Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener
Daten innerhalb der Union erheblich beeinträchtigen könnten.
(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der
Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen
verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien,
Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener
Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese
Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen
der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
101
(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
ERWÄGUNGSGRÜNDE:
(84) Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.
(89) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten soll102
BfDI – Info 6
ten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die
sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund
ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko
für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorgängen
gehören insbesondere solche, bei denen neue Technologien eingesetzt
werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung
durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung
vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.
(90) In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung
durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere
dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke
der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung
sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses
Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung
der Bestimmungen dieser Verordnung nachgewiesen werden soll.
(91) Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große
Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene
zu verarbeiten, eine große Zahl von Personen betreffen könnten und — beispielsweise aufgrund
ihrer Sensibilität — wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend
dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt
wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten
der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge
den betroffenen Personen die Ausübung ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung
sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das
Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine
systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der
Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien
von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche
Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln
verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für
die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer
Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der
zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte
und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen
Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung
eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. Die Verarbeitung
personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung
personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen
Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen
Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.
103
(92) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen — beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.
(93) Anlässlich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Behörde oder öffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt, können die Mitgliedstaaten es für erforderlich erachten, solche Folgeabschätzungen vor den Verarbeitungsvorgängen durchzuführen.
Artikel 36
Vorherige Konsultation
(1) Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
(2) Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
(3) Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten
104 BfDI – Info 6
Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe
von Unternehmen;
b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;
c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser
Verordnung vorgesehenen Maßnahmen und Garantien;
d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
(4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags
für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen
oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen,
die die Verarbeitung betreffen.
(5) Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten
verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden
Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und
der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige
Genehmigung einzuholen.
ERWÄGUNGSGRÜNDE :
(94) Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von
Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes
Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der
Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien
und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte
die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten konsultiert werden. Ein solches
hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und
der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung
oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können.
Die Aufsichtsbehörde sollte das Beratungsersuchen innerhalb einer bestimmten Frist beantworten.
Allerdings kann sie, auch wenn sie nicht innerhalb dieser Frist reagiert hat, entsprechend
ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis
einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses
kann das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten
durchgeführten Datenschutz-Folgenabschätzung der Aufsichtsbehörde unterbreitet werden;
dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher
Personen geplanten Maßnahmen.
(95) Der Auftragsverarbeiter sollte erforderlichenfalls den Verantwortlichen auf Anfrage bei der Gewährleistung
der Einhaltung der sich aus der Durchführung der Datenschutz-Folgenabschät105
zung und der vorherigen Konsultation der Aufsichtsbehörde ergebenden Auflagen unterstützen.
(96) Eine Konsultation der Aufsichtsbehörde sollte auch während der Ausarbeitung von Gesetzes- oder Regelungsvorschriften, in denen eine Verarbeitung personenbezogener Daten vorgesehen ist, erfolgen, um die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sicherzustellen und insbesondere das mit ihr für die betroffene Person verbundene Risiko einzudämmen.
Abschnitt 4
Datenschutzbeauftragter
Artikel 37
Benennung eines Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige
106 BfDI – Info 6
Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten,
handeln.
(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und
insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und
der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der
in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters
sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten
und teilt diese Daten der Aufsichtsbehörde mit.
ERWÄGUNGSGRUND:
(97) In Fällen, in denen die Verarbeitung durch eine Behörde — mit Ausnahmen von Gerichten oder
unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln –, im privaten
Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen
besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in
großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters
in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen
Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte
der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung
der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf
dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden.
Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten
und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche
Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen
und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem
Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte
sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen
handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben
können.
Artikel 38
Stellung des Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte
ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten
zusammenhängenden Fragen eingebunden wird.
107
(2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
(4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
(5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Artikel 39
Aufgaben des Datenschutzbeauftragten
(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
108 BfDI – Info 6
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden
Fragen, einschließlich der vorherigen Konsultation gemäß Artikel
36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen
verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Abschnitt 5
Verhaltensregeln und Zertifizierung
Artikel 40
Verhaltensregeln
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern
die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen
Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen
sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung
beitragen sollen.
(2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern
vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern,
mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden
präzisiert wird:
a) faire und transparente Verarbeitung;
b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
c) Erhebung personenbezogener Daten;
d) Pseudonymisierung personenbezogener Daten;
e) Unterrichtung der Öffentlichkeit und der betroffenen Personen;
f) Ausübung der Rechte betroffener Personen;
g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung
des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen
für die Sicherheit der Verarbeitung gemäß Artikel 32;
i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden
und die Benachrichtigung der betroffenen Person von solchen
Verletzungen des Schutzes personenbezogener Daten;
j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale
Organisationen oder
109
k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
(3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
(5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
(6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie.
110 BfDI – Info 6
(7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren
Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den
Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt
— ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage
Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung
oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3
dieses Artikels — geeignete Garantien vorsieht.
(8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln
bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar
ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der
Ausschuss seine Stellungnahme der Kommission.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr
gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte
Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte
werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
(10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß
Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht
werden.
(11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen
oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.
ERWÄGUNGSGRÜNDE :
(98) Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder
Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln
auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern,
wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den
besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen
Rechnung zu tragen ist. Insbesondere könnten in diesen Verhaltensregeln — unter Berücksichtigung
des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und
Freiheiten natürlicher Personen — die Pflichten der Verantwortlichen und der Auftragsverarbeiter
bestimmt werden.
(99) Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten
Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen
oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die
betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten,
berücksichtigen.
111
Artikel 41
Überwachung der genehmigten Verhaltensregeln
(1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde.
(2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;
b) Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
c) Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und
d) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
(4) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung.
112 BfDI – Info 6
(5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1,
wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder
wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
(6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.
Artikel 42
Zertifizierung
(1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern
insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren
sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen,
dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder
Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen
sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
(2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen
oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren,
Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden
sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter,
die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung
personenbezogener Daten an Drittländer oder internationale Organisationen
nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen
oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich
bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese
geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
(3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
(4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen
oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt
nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55
oder 56 zuständig sind.
(5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel
43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde
gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss
genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies
zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
113
(6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
(7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
(8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.
ERWÄGUNGSGRUND:
(100) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte
angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen.
Artikel 43
Zertifizierungsstellen
(1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde — damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates13 im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
13 Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30)
114 BfDI – Info 6
(2) Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem genannten Absatz akkreditiert
werden, wenn sie
a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung
zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
b) sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß
Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von
dem Ausschuss genehmigt wurden, einzuhalten;
c) Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der
Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt
haben;
d) Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen
der Zertifizierung oder die Art und Weise, in der die Zertifizierung von
dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde,
nachgehen und diese Verfahren und Strukturen für betroffene Personen und die
Öffentlichkeit transparent machen, und
e) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass
ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
(3) Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand
der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder —
gemäß Artikel 63 — von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung
nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen,
die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in
denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen
sind.
(4) Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der
Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat,
für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung
zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von
fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die
Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
(5) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die
Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
(6) Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel
42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Aus115
schuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.
(7) Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind.
(9) Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
KAPITEL V
Übermittlungen personenbezogener Daten an Drittländer
oder an internationale Organisationen
Artikel 44
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
116 BfDI – Info 6
ERWÄGUNGSGRÜNDE :
(101) Der Fluss personenbezogener Daten aus Drittländern und internationalen Organisationen und
in Drittländer und internationale Organisationen ist für die Ausweitung des internationalen Handels
und der internationalen Zusammenarbeit notwendig. Durch die Zunahme dieser Datenströme
sind neue Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener
Daten entstanden. Das durch diese Verordnung unionsweit gewährleistete Schutzniveau
für natürliche Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der
Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder
an internationale Organisationen nicht untergraben werden, und zwar auch dann nicht, wenn
aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an
Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder
an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem
Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur
unter strikter Einhaltung dieser Verordnung zulässig. Eine Datenübermittlung könnte nur stattfinden,
wenn die in dieser Verordnung festgelegten Bedingungen zur Übermittlung personenbezogener
Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen
Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter
erfüllt werden.
(102) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von
personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen
werden von dieser Verordnung nicht berührt. Die Mitgliedstaaten können völkerrechtliche
Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder
internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf diese Verordnung
noch auf andere Bestimmungen des Unionsrechts auswirken und ein angemessenes
Schutzniveau für die Grundrechte der betroffenen Personen umfassen.
Artikel 45
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
(1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale
Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das
betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem
Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau
bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung
(2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die
Kommission insbesondere das Folgende:
a) die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten,
die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation
geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch
117
sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
b) die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
c) die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten.
118 BfDI – Info 6
(5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels
genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist
und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im
Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend
vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in
einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau
im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte
werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. In
hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß
dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.
(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden
internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem
gemäß Absatz 5 erlassenen Beschluss geführt hat.
(7) Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder
einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale
Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach
Absatz 5 des vorliegenden Artikels nicht berührt.
(8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website
eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem
Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt
hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.
(9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG
erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren
gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der
Kommission geändert, ersetzt oder aufgehoben werden.
ERWÄGUNGSGRÜNDE :
(103) Die Kommission darf mit Wirkung für die gesamte Union beschließen, dass ein bestimmtes Drittland,
ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation
ein angemessenes Datenschutzniveau bietet, und auf diese Weise in Bezug auf das Drittland
oder die internationale Organisation, das bzw. die für fähig gehalten wird, ein solches Schutzniveau
zu bieten, in der gesamten Union Rechtssicherheit schaffen und eine einheitliche Rechtsanwendung
sicherstellen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere
Genehmigung an dieses Land oder diese internationale Organisation übermittelt werden. Die
119
Kommission kann, nach Abgabe einer ausführlichen Erklärung, in der dem Drittland oder der internationalen Organisation eine Begründung gegeben wird, auch entscheiden, eine solche Feststellung zu widerrufen.
(104) In Übereinstimmung mit den Grundwerten der Union, zu denen insbesondere der Schutz der Menschenrechte zählt, sollte die Kommission bei der Bewertung des Drittlands oder eines Gebiets oder eines bestimmten Sektors eines Drittlands berücksichtigen, inwieweit dort die Rechtsstaatlichkeit gewahrt ist, der Rechtsweg gewährleistet ist und die internationalen Menschenrechtsnormen und -standards eingehalten werden und welche allgemeinen und sektorspezifischen Vorschriften, wozu auch die Vorschriften über die öffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit sowie die öffentliche Ordnung und das Strafrecht zählen, dort gelten. Die Annahme eines Angemessenheitsbeschlusses in Bezug auf ein Gebiet oder einen bestimmten Sektor eines Drittlands sollte unter Berücksichtigung eindeutiger und objektiver Kriterien wie bestimmter Verarbeitungsvorgänge und des Anwendungsbereichs anwendbarer Rechtsnormen und geltender Rechtsvorschriften in dem Drittland erfolgen. Das Drittland sollte Garantien für ein angemessenes Schutzniveau bieten, das dem innerhalb der Union gewährleisteten Schutzniveau der Sache nach gleichwertig ist, insbesondere in Fällen, in denen personenbezogene Daten in einem oder mehreren spezifischen Sektoren verarbeitet werden. Das Drittland sollte insbesondere eine wirksame unabhängige Überwachung des Datenschutzes gewährleisten und Mechanismen für eine Zusammenarbeit mit den Datenschutzbehörden der Mitgliedstaaten vorsehen, und den betroffenen Personen sollten wirksame und durchsetzbare Rechte sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe eingeräumt werden.
(105) Die Kommission sollte neben den internationalen Verpflichtungen, die das Drittland oder die internationale Organisation eingegangen ist, die Verpflichtungen, die sich aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere im Hinblick auf den Schutz personenbezogener Daten ergeben, sowie die Umsetzung dieser Verpflichtungen berücksichtigen. Insbesondere sollte der Beitritt des Drittlands zum Übereinkommen des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem dazugehörigen Zusatzprotokoll berücksichtigt werden. Die Kommission sollte den Ausschuss konsultieren, wenn sie das Schutzniveau in Drittländern oder internationalen Organisationen bewertet.
(106) Die Kommission sollte die Wirkungsweise von Feststellungen zum Schutzniveau in einem Drittland, einem Gebiet oder einem bestimmten Sektor eines Drittlands oder einer internationalen Organisation überwachen; sie sollte auch die Wirkungsweise der Feststellungen, die auf der Grundlage des Artikels 25 Absatz 6 oder des Artikels 26 Absatz 4 der Richtlinie 95/46/EG erlassen werden, überwachen. In ihren Angemessenheitsbeschlüssen sollte die Kommission einen Mechanismus für die regelmäßige Überprüfung von deren Wirkungsweise vorsehen. Diese regelmäßige Überprüfung sollte in Konsultation mit dem betreffenden Drittland oder der betreffenden internationalen Organisation erfolgen und allen maßgeblichen Entwicklungen in dem Drittland
120 BfDI – Info 6
oder der internationalen Organisation Rechnung tragen. Für die Zwecke der Überwachung und
der Durchführung der regelmäßigen Überprüfungen sollte die Kommission die Standpunkte und
Feststellungen des Europäischen Parlaments und des Rates sowie der anderen einschlägigen
Stellen und Quellen berücksichtigen. Die Kommission sollte innerhalb einer angemessenen Frist
die Wirkungsweise der letztgenannten Beschlüsse bewerten und dem durch diese Verordnung
eingesetzten Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments
und des Rates14 sowie dem Europäischen Parlament und dem Rat über alle maßgeblichen Feststellungen
Bericht erstatten.
(107) Die Kommission kann feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines
Drittlands oder eine internationale Organisation kein angemessenes Datenschutzniveau mehr
bietet. Die Übermittlung personenbezogener Daten an dieses Drittland oder an diese internationale
Organisation sollte daraufhin verboten werden, es sei denn, die Anforderungen dieser Verordnung
in Bezug auf die Datenübermittlung vorbehaltlich geeigneter Garantien, einschließlich
verbindlicher interner Datenschutzvorschriften und auf Ausnahmen für bestimmte Fälle werden
erfüllt. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden
Drittländern oder internationalen Organisationen vorgesehen werden. Die Kommission sollte
dem Drittland oder der internationalen Organisation frühzeitig die Gründe mitteilen und Konsultationen
aufnehmen, um Abhilfe für die Situation zu schaffen.
Artikel 46
Datenübermittlung vorbehaltlich geeigneter Garantien
(1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein
Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale
Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter
geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare
Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
(2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere
Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden
oder öffentlichen Stellen,
b) verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren
nach Artikel 93 Absatz 2 erlassen werden,
14 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen
Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die
Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).
121
d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
e) genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
f) einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
(3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in
a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
(4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
(5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
ERWÄGUNGSGRÜNDE:
(108) Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese geeigneten Garantien können darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. Diese Garantien sollten
122 BfDI – Info 6
sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf
eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies
gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und
von wirksamen Rechtsbehelfen einschließlich des Rechts auf wirksame verwaltungsrechtliche
oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen
in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung
der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze
des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen beziehen.
Datenübermittlungen dürfen auch von Behörden oder öffentlichen Stellen an Behörden
oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden
Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen,
die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung
–, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt
werden, aufzunehmen sind. Die Genehmigung der zuständigen Aufsichtsbehörde sollte erlangt
werden, wenn die Garantien in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen
sind.
(109) Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die
von der Kommission oder einer Aufsichtsbehörde festgelegten Standard-Datenschutzklauseln
zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern,
die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel
Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden,
noch ihn daran hindern, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen,
solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission
oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die
Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen
und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die
Standard-Schutzklauseln ergänzen, zusätzliche Garantien zu bieten.
Artikel 47
Verbindliche interne Datenschutzvorschriften
(1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel
63 verbindliche interne Datenschutzvorschriften, sofern diese
a) rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe
oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit
ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch
für ihre Beschäftigten gilt,
b) den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die
Verarbeitung ihrer personenbezogenen Daten übertragen und
c) die in Absatz 2 festgelegten Anforderungen erfüllen.
123
(2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:
a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unter-
nehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
b) die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
d) die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
f) die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
g) die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
h) die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung
124 BfDI – Info 6
der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe
oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang
mit Beschwerden befasst ist;
i) die Beschwerdeverfahren;
j) die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung
der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige
Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung
von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten
Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens
einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen
Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
k) die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften
und ihre Meldung an die Aufsichtsbehörde;
l) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung
der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder
Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen
der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
m) die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über
jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen,
die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland
geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken
könnten, die die verbindlichen internen Datenschutzvorschriften bieten,
und
n) geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem
Zugang zu personenbezogenen Daten.
(3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über
verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen
Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese
Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
125
ERWÄGUNGSGRUND:
(110) Jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sollte für ihre internationalen Datenübermittlungen aus der Union an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche interne Datenschutzvorschriften anwenden dürfen, sofern diese sämtliche Grundprinzipien und durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.
Artikel 48
Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
ERWÄGUNGSGRUND:
(115) Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten natürlicher und juristischer Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt ist.
126 BfDI – Info 6
Artikel 49
Ausnahmen für bestimmte Fälle
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete
Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften,
bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener
Daten an ein Drittland oder an eine internationale Organisation nur unter einer der
folgenden Bedingungen zulässig:
a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich
eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger
Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und
ohne geeignete Garantien unterrichtet wurde,
b) die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen
Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen
Maßnahmen auf Antrag der betroffenen Person erforderlich,
c) die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen
Person von dem Verantwortlichen mit einer anderen natürlichen oder
juristischen Person geschlossenen Vertrags erforderlich,
d) die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
e) die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen erforderlich,
f) die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person
oder anderer Personen erforderlich, sofern die betroffene Person aus physischen
oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
g) die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder
der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder
der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse
nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht
der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme
im Einzelfall gegeben sind. Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 — einschließlich
der verbindlichen internen Datenschutzvorschriften — gestützt werden könnte und keine
der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist,
darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann
erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von
betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen
des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten
der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung
beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien
127
in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.
(2) Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
(3) Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
(4) Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein.
(5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.
(6) Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30.
ERWÄGUNGSGRÜNDE:
(111) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaats festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen per128
BfDI – Info 6
sonenbezogenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch
Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser
Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind,
wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu
tragen ist.
(112) Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen
Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen
Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, zwischen Finanzaufsichtsbehörden
oder zwischen für Angelegenheiten der sozialen Sicherheit oder für die öffentliche
Gesundheit zuständigen Diensten, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden
Krankheiten oder zur Verringerung und/oder Beseitigung des Dopings im Sport. Die
Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden,
wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich
der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen
Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung
zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im
Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen
der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale
Organisationen vorgesehen werden. Die Mitgliedstaaten sollten solche Bestimmungen
der Kommission mitteilen. Jede Übermittlung personenbezogener Daten einer betroffenen Person,
die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen,
an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen
obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren
humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen
Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend
erachtet werden.
(113) Übermittlungen, die als nicht wiederholt erfolgend gelten können und nur eine begrenzte Zahl
von betroffenen Personen betreffen, könnten auch zur Wahrung der zwingenden berechtigten
Interessen des Verantwortlichen möglich sein, sofern die Interessen oder Rechte und Freiheiten
der betroffenen Person nicht überwiegen und der Verantwortliche sämtliche Umstände der Datenübermittlung
geprüft hat. Der Verantwortliche sollte insbesondere die Art der personenbezogenen
Daten, den Zweck und die Dauer der vorgesehenen Verarbeitung, die Situation im Herkunftsland,
in dem betreffenden Drittland und im Endbestimmungsland berücksichtigen und
angemessene Garantien zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
in Bezug auf die Verarbeitung ihrer personenbezogener Daten vorsehen. Diese Übermittlungen
sollten nur in den verbleibenden Fällen möglich sein, in denen keiner der anderen Gründe für die
Übermittlung anwendbar ist. Bei wissenschaftlichen oder historischen Forschungszwecken oder
bei statistischen Zwecken sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen
Wissenszuwachs berücksichtigt werden. Der Verantwortliche sollte die Aufsichtsbehörde
und die betroffene Person von der Übermittlung in Kenntnis setzen.
129
(114) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin die Grundrechte und Garantien genießen können.
Artikel 50
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur
a) Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
b) gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
c) Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
d) Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
ERWÄGUNGSGRUND:
(116) Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen zu schützen. Ebenso kann es vorkommen, dass Aufsichtsbehörden Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden muss daher gefördert werden, damit sie Informationen austauschen und mit den Aufsichtsbehörden in anderen Ländern Untersuchungen durchführen können. Um Mechanismen der internationalen Zusammenarbeit zu entwickeln, die die internationale Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtern und sicherstellen, sollten
130 BfDI – Info 6
die Kommission und die Aufsichtsbehörden Informationen austauschen und bei Tätigkeiten, die
mit der Ausübung ihrer Befugnisse in Zusammenhang stehen, mit den zuständigen Behörden
der Drittländer nach dem Grundsatz der Gegenseitigkeit und gemäß dieser Verordnung zusammenarbeiten.
KAPITEL VI
Unabhängige Aufsichtsbehörden
Abschnitt 1
Unabhängigkeit
Artikel 51
Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung
der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und
Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der
freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung
in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander
sowie mit der Kommission gemäß Kapitel VII zusammen.
(3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat
die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein
Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das
Kohärenzverfahren nach Artikel 63 einhalten.
(4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften,
die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser
Vorschriften mit.
ERWÄGUNGSGRÜNDE :
(117) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben
und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes
natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten
sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen,
organisatorischen und administrativen Struktur entspricht.
131
(118) Die Tatsache, dass die Aufsichtsbehörden unabhängig sind, sollte nicht bedeuten, dass sie hinsichtlich ihrer Ausgaben keinem Kontroll- oder Überwachungsmechanismus unterworfen werden bzw. sie keiner gerichtlichen Überprüfung unterzogen werden können.
(119) Errichtet ein Mitgliedstaat mehrere Aufsichtsbehörden, so sollte er mittels Rechtsvorschriften sicherstellen, dass diese Aufsichtsbehörden am Kohärenzverfahren wirksam beteiligt werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbehörde bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Behörden an dem Verfahren fungiert und eine rasche und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden, dem Ausschuss und der Kommission gewährleistet.
(120) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, wie sie für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich derer im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig sind. Jede Aufsichtsbehörde sollte über einen eigenen, öffentlichen, jährlichen Haushaltsplan verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann.
Artikel 52
Unabhängigkeit
(1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig.
(2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
(3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.
132 BfDI – Info 6
(6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt,
die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche,
jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen
Haushalts sein können.
Artikel 53
Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
(1) Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines
transparenten Verfahrens ernannt wird, und zwar
— vom Parlament,
— von der Regierung,
— vom Staatsoberhaupt oder
— von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung
betraut wird.
(2) Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse
erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich
des Schutzes personenbezogener Daten verfügen.
(3) Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender
Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats.
(4) Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen
hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.
Artikel 54
Errichtung der Aufsichtsbehörde
(1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
a) die Errichtung jeder Aufsichtsbehörde;
b) die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung
zum Mitglied jeder Aufsichtsbehörde;
c) die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder
jeder Aufsichtsbehörde;
d) die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens
vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für
einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung
zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist;
e) die Frage, ob und — wenn ja — wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde
wiederernannt werden können;
133
f) die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses.
(2) Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung.
ERWÄGUNGSGRUND:
(121) Die allgemeinen Anforderungen an das Mitglied oder die Mitglieder der Aufsichtsbehörde sollten durch Rechtsvorschriften von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder im Wege eines transparenten Verfahrens entweder — auf Vorschlag der Regierung, eines Mitglieds der Regierung, des Parlaments oder einer Parlamentskammer — vom Parlament, der Regierung oder dem Staatsoberhaupt des Mitgliedstaats oder von einer unabhängigen Stelle ernannt werden, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Um die Unabhängigkeit der Aufsichtsbehörde zu gewährleisten, sollten ihre Mitglieder ihr Amt integer ausüben, von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen absehen und während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit ausüben. Die Aufsichtsbehörde sollte über eigenes Personal verfügen, das sie selbst oder eine nach dem Recht des Mitgliedstaats eingerichtete unabhängige Stelle auswählt und das ausschließlich der Leitung des Mitglieds oder der Mitglieder der Aufsichtsbehörde unterstehen sollte.
Abschnitt 2
Zuständigkeit, Aufgaben und Befugnisse
Artikel 55
Zuständigkeit
(1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
(2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
134 BfDI – Info 6
(3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen
ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
ERWÄGUNGSGRÜNDE :
(122) Jede Aufsichtsbehörde sollte dafür zuständig sein, im Hoheitsgebiet ihres Mitgliedstaats die
Befugnisse auszuüben und die Aufgaben zu erfüllen, die ihr mit dieser Verordnung übertragen
wurden. Dies sollte insbesondere für Folgendes gelten: die Verarbeitung im Rahmen der Tätigkeiten
einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters im Hoheitsgebiet
ihres Mitgliedstaats, die Verarbeitung personenbezogener Daten durch Behörden oder private
Stellen, die im öffentlichen Interesse handeln, Verarbeitungstätigkeiten, die Auswirkungen auf
betroffene Personen in ihrem Hoheitsgebiet haben, oder Verarbeitungstätigkeiten eines Verantwortlichen
oder Auftragsverarbeiters ohne Niederlassung in der Union, sofern sie auf betroffene
Personen mit Wohnsitz in ihrem Hoheitsgebiet ausgerichtet sind. Dies sollte auch die Bearbeitung
von Beschwerden einer betroffenen Person, die Durchführung von Untersuchungen über
die Anwendung dieser Verordnung sowie die Förderung der Information der Öffentlichkeit über
Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener
Daten einschließen.
(123) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen
und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche
Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener
Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbehörden
untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung
zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige
Zusammenarbeit erforderlich wäre.
Artikel 56
Zuständigkeit der federführenden Aufsichtsbehörde
(1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen
Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren
nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem
Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende
Verarbeitung.
(2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr
eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen,
wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt
oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.
135
(3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht.
(4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.
(5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.
(6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.
ERWÄGUNGSGRUND:
(124) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union statt und hat der Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat oder hat die Verarbeitungstätigkeit im Zusammenhang mit der Tätigkeit einer einzigen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat bzw. wird sie voraussichtlich solche Auswirkungen haben, so sollte die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Behörde fungieren. Sie sollte mit den anderen Behörden zusammenarbeiten, die betroffen sind, weil der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, weil die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbehörde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein. Der Ausschuss sollte — im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung — insbesondere Leitli136
BfDI – Info 6
nien zu den Kriterien ausgeben können, die bei der Feststellung zu berücksichtigen sind, ob die
fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat
hat und was einen maßgeblichen und begründeten Einspruch darstellt.
Artikel 57
Aufgaben
(1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde
in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
b) die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang
mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere
Beachtung finden dabei spezifische Maßnahmen für Kinder;
c) im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung
und andere Einrichtungen und Gremien über legislative und administrative
Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug
auf die Verarbeitung beraten;
d) die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung
entstehenden Pflichten sensibilisieren;
e) auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer
Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu
diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle,
einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand
der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer
innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis
der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung
oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
g) mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch,
und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung
dieser Verordnung zu gewährleisten;
h) Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf
der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen
Behörde;
i) maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener
Daten auswirken, insbesondere die Entwicklung der Informations- und
Kommunikationstechnologie und der Geschäftspraktiken;
j) Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz
2 Buchstabe d festlegen;
137
k) eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
l) Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
m) die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
n) die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
o) gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
p) die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen;
q) die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
r) Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
s) verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
t) Beiträge zur Tätigkeit des Ausschusses leisten;
u) interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
(4) Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
138 BfDI – Info 6
Artikel 58
Befugnisse
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es
ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter
des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen
bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
c) eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
d) den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß
gegen diese Verordnung hinzuweisen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen
Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig
sind, zu erhalten,
f) gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats
Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen
und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte
Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er
mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen
der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden
Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge
gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten
Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener
Daten betroffenen Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich
eines Verbots, zu verhängen,
g) die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung
der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung
der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz
2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
139
h) eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
j) die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
(3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
a) gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,
b) zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
c) die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,
d) eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
e) Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
f) im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
g) Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,
h) Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
i) Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
j) verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
140 BfDI – Info 6
(6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde
neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse
verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des
Kapitels VII beeinträchtigen.
ERWÄGUNGSGRUND:
(129) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union
sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben
und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher
Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse
und beratende Befugnisse, sowie — unbeschadet der Befugnisse der Strafverfolgungsbehörden
nach dem Recht der Mitgliedstaaten — die Befugnis, Verstöße gegen diese
Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen.
Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der
Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Mitgliedstaaten können andere
Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung
festlegen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den
geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten
unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere
sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung
geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls
zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle
Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten
ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden
sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten
im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt
werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche
Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar
und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an
dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom
Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben
sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen
Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht
der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt
voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich
überprüft werden kann.
141
Artikel 59
Tätigkeitsbericht
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.
KAPITEL VII
Zusammenarbeit und Kohärenz
Abschnitt 1
Zusammenarbeit
Artikel 60
Zusammenarbeit zwischen der federführenden Aufsichtsbehörde
und den anderen betroffenen Aufsichtsbehörden
(1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.
(2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.
(3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
(4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so lei142
BfDI – Info 6
tet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die
Angelegenheit
ein.
(5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten
Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen
überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf
wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.
(6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf
ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4
und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde
und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und
sind an ihn gebunden.
(7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung
oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des
Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den
Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der
maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde
eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.
(8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der
die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem
Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
(9) Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden
darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer
Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser
Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss
für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt
ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des
Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer
hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde
den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde
betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen
oder den Auftragsverarbeiter hiervon in Kenntnis setzt.
(10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß
den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen
Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in
143
der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.
(11) Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
(12) Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.
ERWÄGUNGSGRÜNDE:
(125) Die federführende Behörde sollte berechtigt sein, verbindliche Beschlüsse über Maßnahmen zu erlassen, mit denen die ihr gemäß dieser Verordnung übertragenen Befugnisse ausgeübt werden. In ihrer Eigenschaft als federführende Behörde sollte diese Aufsichtsbehörde für die enge Einbindung und Koordinierung der betroffenen Aufsichtsbehörden im Entscheidungsprozess sorgen. Wird beschlossen, die Beschwerde der betroffenen Person vollständig oder teilweise abzuweisen, so sollte dieser Beschluss von der Aufsichtsbehörde angenommen werden, bei der die Beschwerde eingelegt wurde.
(126) Der Beschluss sollte von der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden gemeinsam vereinbart werden und an die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters gerichtet sein und für den Verantwortlichen und den Auftragsverarbeiter verbindlich sein. Der Verantwortliche oder Auftragsverarbeiter sollte die erforderlichen Maßnahmen treffen, um die Einhaltung dieser Verordnung und die Umsetzung des Beschlusses zu gewährleisten, der der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters im Hinblick auf die Verarbeitungstätigkeiten in der Union von der federführenden Aufsichtsbehörde mitgeteilt wurde.
(127) Jede Aufsichtsbehörde, die nicht als federführende Aufsichtsbehörde fungiert, sollte in örtlichen Fällen zuständig sein, wenn der Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, der Gegenstand der spezifischen Verarbeitung aber nur die Verarbeitungstätigkeiten in einem einzigen Mitgliedstaat und nur betroffene Personen in diesem einen Mitgliedstaat betrifft, beispielsweise wenn es um die Verarbeitung von personenbezogenen Daten von Arbeitnehmern im spezifischen Beschäftigungskontext eines Mitgliedstaats geht. In solchen Fällen sollte die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit unterrichten. Nach ihrer Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie den Fall nach den Bestimmungen zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
144 BfDI – Info 6
gemäß der Vorschrift zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und
anderen betroffenen Aufsichtsbehörden (im Folgenden „Verfahren der Zusammenarbeit und
Kohärenz“) regelt oder ob die Aufsichtsbehörde, die sie unterrichtet hat, den Fall auf örtlicher
Ebene regeln sollte. Dabei sollte die federführende Aufsichtsbehörde berücksichtigen, ob der
Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde
sie unterrichtet hat, eine Niederlassung hat, damit Beschlüsse gegenüber dem Verantwortlichen
oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federführende
Aufsichtsbehörde, den Fall selbst zu regeln, sollte die Aufsichtsbehörde, die sie unterrichtet hat,
die Möglichkeit haben, einen Beschlussentwurf vorzulegen, dem die federführende Aufsichtsbehörde
bei der Ausarbeitung ihres Beschlussentwurfs im Rahmen dieses Verfahrens der Zusammenarbeit
und Kohärenz weitestgehend Rechnung tragen sollte.
(128) Die Vorschriften über die federführende Behörde und das Verfahren der Zusammenarbeit und
Kohärenz sollten keine Anwendung finden, wenn die Verarbeitung durch Behörden oder private
Stellen im öffentlichen Interesse erfolgt. In diesen Fällen sollte die Aufsichtsbehörde des
Mitgliedstaats, in dem die Behörde oder private Einrichtung ihren Sitz hat, die einzige Aufsichtsbehörde
sein, die dafür zuständig ist, die Befugnisse auszuüben, die ihr mit dieser Verordnung
übertragen wurden.
(130) Ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht die federführende
Aufsichtsbehörde, so sollte die federführende Aufsichtsbehörde gemäß den Bestimmungen
dieser Verordnung über Zusammenarbeit und Kohärenz eng mit der Aufsichtsbehörde zusammenarbeiten,
bei der die Beschwerde eingereicht wurde. In solchen Fällen sollte die federführende
Aufsichtsbehörde bei Maßnahmen, die rechtliche Wirkungen entfalten sollen, unter anderem
bei der Verhängung von Geldbußen, den Standpunkt der Aufsichtsbehörde, bei der die
Beschwerde eingereicht wurde und die weiterhin befugt sein sollte, in Abstimmung mit der
zuständigen Aufsichtsbehörde Untersuchungen im Hoheitsgebiet ihres eigenen Mitgliedstaats
durchzuführen, weitestgehend berücksichtigen.
(131) Wenn eine andere Aufsichtsbehörde als federführende Aufsichtsbehörde für die Verarbeitungstätigkeiten
des Verantwortlichen oder des Auftragsverarbeiters fungieren sollte, der konkrete
Gegenstand einer Beschwerde oder der mögliche Verstoß jedoch nur die Verarbeitungstätigkeiten
des Verantwortlichen oder des Auftragsverarbeiters in dem Mitgliedstaat betrifft, in dem die
Beschwerde eingereicht wurde oder der mögliche Verstoß aufgedeckt wurde, und die Angelegenheit
keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten
hat oder haben dürfte, sollte die Aufsichtsbehörde, bei der eine Beschwerde eingereicht wurde
oder die Situationen, die mögliche Verstöße gegen diese Verordnung darstellen, aufgedeckt hat
bzw. auf andere Weise darüber informiert wurde, versuchen, eine gütliche Einigung mit dem
Verantwortlichen zu erzielen; falls sich dies als nicht erfolgreich erweist, sollte sie die gesamte
Bandbreite ihrer Befugnisse wahrnehmen. Dies sollte auch Folgendes umfassen: die spezifische
Verarbeitung im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder im Hinblick auf
betroffene Personen im Hoheitsgebiet dieses Mitgliedstaats; die Verarbeitung im Rahmen eines
145
Angebots von Waren oder Dienstleistungen, das speziell auf betroffene Personen im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde ausgerichtet ist; oder eine Verarbeitung, die unter Berücksichtigung der einschlägigen rechtlichen Verpflichtungen nach dem Recht der Mitgliedstaaten bewertet werden muss.
(132) Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.
Artikel 61
Gegenseitige Amtshilfe
(1) Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.
(2) Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören.
(3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden.
(4) Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
a) sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder
b) ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen eingeht, unterliegt.
(5) Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens.
146 BfDI – Info 6
(6) Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen
Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung
eines standardisierten Formats.
(7) Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens
getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander
Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe
entstandene Ausgaben zu erstatten.
(8) Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens
einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die
ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats
gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden
Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren
angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2
erforderlich macht.
(9) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der
Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs
zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem
Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte
Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz
2 genannten Prüfverfahren erlassen.
ERWÄGUNGSGRUND:
(133) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen
und Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung dieser Verordnung
im Binnenmarkt gewährleistet ist. Eine Aufsichtsbehörde, die um Amtshilfe ersucht hat,
kann eine einstweilige Maßnahme erlassen, wenn sie nicht binnen eines Monats nach Eingang
des Amtshilfeersuchens bei der ersuchten Aufsichtsbehörde eine Antwort von dieser erhalten
hat.
Artikel 62
Gemeinsame Maßnahmen der Aufsichtsbehörden
(1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich
gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an
denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
147
(2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme.
(3) Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
(4) Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen bei ihrem Einsatz verursachten Schäden.
(5) Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat.
(6) Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu machen.
148 BfDI – Info 6
(7) Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines
Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach,
so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet
ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden
Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren
angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen
verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich
macht.
ERWÄGUNGSGRUND:
(134) Jede Aufsichtsbehörde sollte gegebenenfalls an gemeinsamen Maßnahmen von anderen Aufsichtsbehörden
teilnehmen. Die ersuchte Aufsichtsbehörde sollte auf das Ersuchen binnen einer
bestimmten Frist antworten müssen.
Abschnitt 2
Kohärenz
Artikel 63
Kohärenzverfahren
Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten
die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens
untereinander und gegebenenfalls mit der Kommission zusammen.
ERWÄGUNGSGRUND:
(135) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte
ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenzverfahren)
für die Zusammenarbeit zwischen den Aufsichtsbehörden eingeführt werden. Dieses Verfahren
sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde beabsichtigt, eine
Maßnahme zu erlassen, die rechtliche Wirkungen in Bezug auf Verarbeitungsvorgänge entfalten
soll, die für eine bedeutende Zahl betroffener Personen in mehreren Mitgliedstaaten erhebliche
Auswirkungen haben. Ferner sollte es zur Anwendung kommen, wenn eine betroffene Aufsichtsbehörde
oder die Kommission beantragt, dass die Angelegenheit im Rahmen des Kohärenzverfahrens
behandelt wird. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise
in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen.
149
Artikel 64
Stellungnahme Ausschusses
(1) Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser
a) der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,
b) eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht,
c) der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,
d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,
e) der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder
f) der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.
(2) Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.
(3) In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt.
(4) Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich — je nach Fall — einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden.
150 BfDI – Info 6
(5) Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege
a) unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses
und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen
sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen
der zweckdienlichen Informationen zur Verfügung und
b) je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission
über die Stellungnahme und veröffentlicht sie.
(6) Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf
nicht vor Ablauf der in Absatz 3 genannten Frist an.
(7) Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend
Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme
auf elektronischem Wege unter Verwendung eines standardisierten Formats
mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt
sie den geänderten Beschlussentwurf.
(8) Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach
Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie
beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen,
so gilt Artikel 65 Absatz 1.
ERWÄGUNGSGRUND:
(136) Bei Anwendung des Kohärenzverfahrens sollte der Ausschuss, falls von der Mehrheit seiner Mitglieder
so entschieden wird oder falls eine andere betroffene Aufsichtsbehörde oder die Kommission
darum ersuchen, binnen einer festgelegten Frist eine Stellungnahme abgeben. […]
Artikel 65
Streitbeilegung durch den Ausschuss
(1) Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen
sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:
a) wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen
maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf
der federführenden Behörde eingelegt hat oder die federführende Behörde einen
solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der
verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen
und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß
gegen diese Verordnung vorliegt;
151
b) wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,
c) wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen.
(2) Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich.
(3) War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.
(4) Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an.
(5) Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat.
(6) Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden _Artikels genannte Beschluss beigefügt.
152 BfDI – Info 6
ERWÄGUNGSGRUND:
(136) […] Dem Ausschuss sollte auch die Befugnis übertragen werden, bei Streitigkeiten zwischen
Aufsichtsbehörden rechtsverbindliche Beschlüsse zu erlassen. Zu diesem Zweck sollte er in klar
bestimmten Fällen, in denen die Aufsichtsbehörden insbesondere im Rahmen des Verfahrens
der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden
widersprüchliche Standpunkte zu dem Sachverhalt, vor allem in der Frage, ob
ein Verstoß gegen diese Verordnung vorliegt, vertreten, grundsätzlich mit einer Mehrheit von
zwei Dritteln seiner Mitglieder rechtsverbindliche Beschlüsse erlassen.
Artikel 66
Dringlichkeitsverfahren
(1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend
vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel
60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei
Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn
sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und
Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen
betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen
Maßnahmen und den Gründen für deren Erlass in Kenntnis.
(2) Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung,
dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter
Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen
Beschluss des Ausschusses ersuchen.
(3) Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf,
im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen
verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde
trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um
die Rechte und Freiheiten von betroffenen Personen zu schützen.
(4) Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder
ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen
zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.
ERWÄGUNGSGRÜNDE :
(137) Es kann dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen
Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung des
Rechts einer betroffenen Person droht. Eine Aufsichtsbehörde sollte daher hinreichend begrün153
dete einstweilige Maßnahmen in ihrem Hoheitsgebiet mit einer festgelegten Geltungsdauer von höchstens drei Monaten erlassen können.
(138) Die Anwendung dieses Verfahrens sollte in den Fällen, in denen sie verbindlich vorgeschrieben ist, eine Bedingung für die Rechtmäßigkeit einer Maßnahme einer Aufsichtsbehörde sein, die rechtliche Wirkungen entfalten soll. In anderen Fällen von grenzüberschreitender Relevanz sollte das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden zur Anwendung gelangen, und die betroffenen Aufsichtsbehörden können auf bilateraler oder multilateraler Ebene Amtshilfe leisten und gemeinsame Maßnahmen durchführen, ohne auf das Kohärenzverfahren zurückzugreifen.
Artikel 67
Informationsaustausch
Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen.
Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
Abschnitt 3
Europäischer Datenschutzausschuss
Artikel 68
Europäischer Datenschutzausschuss
(1) Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet.
(2) Der Ausschuss wird von seinem Vorsitz vertreten.
(3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
(4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.
154 BfDI – Info 6
(5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des
Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses
unterrichtet die Kommission über die Tätigkeiten des Ausschusses.
(6) In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei
Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe,
Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen
und Vorschriften dieser Verordnung entsprechen.
ERWÄGUNGSGRUND:
(139) Zur Förderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als unabhängige
Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele erreichen
kann, sollte er Rechtspersönlichkeit besitzen. Der Ausschuss sollte von seinem Vorsitz vertreten
werden. Er sollte die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der
Rechte von Personen bei der Verarbeitung personenbezogener Daten ersetzen. Er sollte aus
dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten
oder deren jeweiligen Vertretern gebildet werden. An den Beratungen des Ausschusses
sollte die Kommission ohne Stimmrecht teilnehmen und der Europäische Datenschutzbeauftragte
sollte spezifische Stimmrechte haben. […]
Artikel 69
Unabhängigkeit
(1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse
gemäß den Artikeln 70 und 71 unabhängig.
(2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz
2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner
Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.
Artikel 70
Aufgaben des Ausschusses
(1) Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt
der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere
folgende Tätigkeiten wahr:
a) Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung
in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben
der nationalen Aufsichtsbehörden;
b) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz
personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge
zur Änderung dieser Verordnung;
155
c) Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften;
d) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten;
e) Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission — von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;
f) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;
g) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat;
h) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat;
i) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen;
j) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz 1;
156 BfDI – Info 6
k) Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung
von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von
Geldbußen gemäß Artikel 83;
l) Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten
Leitlinien, Empfehlungen und bewährten Verfahren;
m) Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß
Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren
für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen
diese Verordnung gemäß Artikel 54 Absatz 2;
n) Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen
Zertifizierungsverfahren sowie Datenschutzsiegeln und .
-prüfzeichen gemäß den Artikeln 40 und 42;
o) Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung
gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen
gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen
akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz
7;
p) Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf
die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42;
q) Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen
gemäß Artikel 43 Absatz 8;
r) Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel
12 Absatz 7;
s) Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit
des in einem Drittland oder einer internationalen Organisation gebotenen
Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet,
ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale
Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu
diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen,
darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder
spezifischen Sektor oder der internationalen Organisation;
t) Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu
Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel
64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel
65, einschließlich der in Artikel 66 genannten Fälle;
u) Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen
Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;
157
v) Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen;
w) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt;
x) Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9 und
y) Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.
(2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.
(3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie.
(4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.
ERWÄGUNGSGRUND:
(139) […] Der Ausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Kommission insbesondere im Hinblick auf das Schutzniveau in Drittländern oder internationalen Organisationen beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern. Der Ausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln.
Artikel 71
Berichterstattung
(1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt.
(2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.
158 BfDI – Info 6
Artikel 72
Verfahrensweise
(1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse
mit einfacher Mehrheit seiner Mitglieder.
(2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung
und legt seine Arbeitsweise fest.
Artikel 73
Vorsitz
(1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden
und zwei stellvertretende Vorsitzende.
(2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige
Wiederwahl ist zulässig.
Artikel 74
Aufgaben des Vorsitzes
(1) Der Vorsitz hat folgende Aufgaben:
a) Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,
b) Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende
Aufsichtsbehörde und die betroffenen Aufsichtsbehörden,
c) Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere
der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach
Artikel 63.
(2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen
Stellvertretern in seiner Geschäftsordnung fest.
Artikel 75
Sekretariat
(1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten
bereitgestellt wird.
(2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses
aus.
(3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der
dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt
159
anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
(4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist.
(5) Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung.
(6) Das Sekretariat ist insbesondere verantwortlich für
a) das Tagesgeschäft des Ausschusses,
b) die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission,
c) die Kommunikation mit anderen Organen und mit der Öffentlichkeit,
d) den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation,
e) die Übersetzung sachdienlicher Informationen,
f) die Vor- und Nachbereitung der Sitzungen des Ausschusses,
g) die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten.
ERWÄGUNGSGRUND:
(140) Der Ausschuss sollte von einem Sekretariat unterstützt werden, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, sollte diese Aufgaben ausschließlich gemäß den Anweisungen des Vorsitzes des Ausschusses durchführen und diesem Bericht erstatten.
Artikel 76
Vertraulichkeit
(1) Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält.
160 BfDI – Info 6
(2) Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern
von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des
Europäischen Parlaments und des Rates15 geregelt.
KAPITEL VIII
Rechtsbehelfe, Haftung und Sanktionen
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder
gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere
in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des
mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung
der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer
über den Stand und die Ergebnisse der Beschwerde einschließlich der
Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.
ERWÄGUNGSGRUND:
(141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere
in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß
Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich
in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf
eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt
oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.
Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung
so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene
Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der
Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen
Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand
informiert werden. Jede Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung
von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch
elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen
werden.
15 Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit
zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, .
S. 43).
161
Artikel 78
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.
(3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.
(4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.
ERWÄGUNGSGRUND:
(143) Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof eine Klage auf Nichtigerklärung eines Beschlusses des Ausschusses zu erheben. Als Adressaten solcher Beschlüsse müssen die betroffenen Aufsichtsbehörden, die diese Beschlüsse anfechten möchten, binnen zwei Monaten nach deren Übermittlung gemäß Artikel 263 AEUV Klage erheben. Sofern Beschlüsse des Ausschusses einen Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdeführer unmittelbar und individuell betreffen, so können diese Personen binnen zwei Monaten nach Veröffentlichung der betreffenden Beschlüsse auf der Website des Ausschusses im Einklang mit Artikel 263 AEUV eine Klage auf Nichtigerklärung erheben. Unbeschadet dieses Rechts nach Artikel 263 AEUV sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbehörde sollten bei den Gerichten des Mitgliedstaats angestrengt werden,
162 BfDI – Info 6
in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mit dem Verfahrensrecht dieses
Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit
besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit
maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt. Wurde eine Beschwerde von einer
Aufsichtsbehörde abgelehnt oder abgewiesen, kann der Beschwerdeführer Klage bei den Gerichten
desselben Mitgliedstaats erheben. Im Zusammenhang mit gerichtlichen Rechtsbehelfen
in Bezug auf die Anwendung dieser Verordnung können einzelstaatliche Gerichte, die eine
Entscheidung über diese Frage für erforderlich halten, um ihr Urteil erlassen zu können, bzw.
müssen einzelstaatliche Gerichte in den Fällen nach Artikel 267 AEUV den Gerichtshof um eine
Vorabentscheidung zur Auslegung des Unionsrechts — das auch diese Verordnung einschließt
— ersuchen. Wird darüber hinaus der Beschluss einer Aufsichtsbehörde zur Umsetzung eines
Beschlusses des Ausschusses vor einem einzelstaatlichen Gericht angefochten und wird die Gültigkeit
des Beschlusses des Ausschusses in Frage gestellt, so hat dieses einzelstaatliche Gericht
nicht die Befugnis, den Beschluss des Ausschusses für nichtig zu erklären, sondern es muss im
Einklang mit Artikel 267 AEUV in der Auslegung des Gerichtshofs den Gerichtshof mit der Frage
der Gültigkeit befassen, wenn es den Beschluss für nichtig hält. Allerdings darf ein einzelstaatliches
Gericht den Gerichtshof nicht auf Anfrage einer natürlichen oder juristischen Person mit
Fragen der Gültigkeit des Beschlusses des Ausschusses befassen, wenn diese Person Gelegenheit
hatte, eine Klage auf Nichtigerklärung dieses Beschlusses zu erheben — insbesondere wenn sie
unmittelbar und individuell von dem Beschluss betroffen war –, diese Gelegenheit jedoch nicht
innerhalb der Frist gemäß Artikel 263 AEUV genutzt hat.
Artikel 79
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
(1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder
außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde
gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf,
wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte
infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen
Daten verletzt wurden.
(2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die
Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter
eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten
des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat,
es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um
eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden
ist.
163
ERWÄGUNGSGRUND:
(145) Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem Verantwortlichen um eine Behörde eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Artikel 80
Vertretung von betroffenen Personen
(1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
(2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.
ERWÄGUNGSGRUND
(142) Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organi164
BfDI – Info 6
sationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet
werden, im Namen einer betroffenen Person Schadenersatz zu verlangen.
Artikel 81
Aussetzung des Verfahrens
(1) Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu
demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen
oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig
ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches
Verfahren existiert.
(2) Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben
Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat
anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige
Verfahren aussetzen.
(3) Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht
auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene
Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem
Recht zulässig ist.
ERWÄGUNGSGRUND:
(144) Hat ein mit einem Verfahren gegen die Entscheidung einer Aufsichtsbehörde befasstes Gericht
Anlass zu der Vermutung, dass ein dieselbe Verarbeitung betreffendes Verfahren — etwa zu demselben
Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter
oder wegen desselben Anspruchs — vor einem zuständigen Gericht in einem
anderen Mitgliedstaat anhängig ist, so sollte es mit diesem Gericht Kontakt aufnehmen, um sich
zu vergewissern, dass ein solches verwandtes Verfahren existiert. Sind verwandte Verfahren
vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene
Gericht das Verfahren aussetzen oder sich auf Anfrage einer Partei auch zugunsten des zuerst
angerufenen Gerichts für unzuständig erklären, wenn dieses später angerufene Gericht für die
betreffenden Verfahren zuständig ist und die Verbindung von solchen verwandten Verfahren
nach seinem Recht zulässig ist. Verfahren gelten als miteinander verwandt, wenn zwischen ihnen
eine so enge Beziehung gegeben ist, dass eine gemeinsame Verhandlung und Entscheidung
geboten erscheint, um zu vermeiden, dass in getrennten Verfahren einander widersprechende
Entscheidungen ergehen.
165
Artikel 82
Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
(5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
(6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.
ERWÄGUNGSGRÜNDE:
(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der
166 BfDI – Info 6
Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn
er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens
sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt
werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet
von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts
oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung
nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe
der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten
und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden
Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen
und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Sind Verantwortliche oder
Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder
Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. Werden sie jedoch
nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können
sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche
oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu
tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen
Schadenersatz für den erlittenen Schaden erhält. Jeder Verantwortliche oder Auftragsverarbeiter,
der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren
gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter
anstrengen.
(147) Soweit in dieser Verordnung spezifische Vorschriften über die Gerichtsbarkeit — insbesondere in
Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich Schadenersatz
gegen einen Verantwortlichen oder Auftragsverarbeiter — enthalten sind, sollten die allgemeinen
Vorschriften über die Gerichtsbarkeit, wie sie etwa in der Verordnung (EU) Nr. 1215/2012
des Europäischen Parlaments und des Rates16 enthalten sind, der Anwendung dieser spezifischen
Vorschriften nicht entgegenstehen.
Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel
für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall
wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von
Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entschei-
16 Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche
Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom
20.12.2012, S. 1).
167
dung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
168 BfDI – Info 6
a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln
8, 11, 25 bis 39, 42 und 43;
b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen
von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt,
je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung,
gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen
des Kapitels IX erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen
Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde
gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen
Artikel 58 Absatz 1.
(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz
2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu .
20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit
erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher
der Beträge höher ist.
(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2
kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen
Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen
sind, Geldbußen verhängt werden können.
(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel
muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der
Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer
Verfahren, unterliegen.
(9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so
angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege
geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzu169
stellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.
ERWÄGUNGSGRÜNDE:
(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.
(150) Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung
170 BfDI – Info 6
erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe
dieser Verordnung verhängen.
(151) Nach den Rechtsordnungen Dänemarks und Estlands sind die in dieser Verordnung vorgesehenen
Geldbußen nicht zulässig. Die Vorschriften über die Geldbußen können so angewandt werden,
dass die Geldbuße in Dänemark durch die zuständigen nationalen Gerichte als Strafe und
in Estland durch die Aufsichtsbehörde im Rahmen eines Verfahrens bei Vergehen verhängt wird,
sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten die gleiche Wirkung
wie die von den Aufsichtsbehörden verhängten Geldbußen hat. Daher sollten die zuständigen
nationalen Gerichte die Empfehlung der Aufsichtsbehörde, die die Geldbuße in die Wege geleitet
hat, berücksichtigen. In jeden Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig
und abschreckend sein.
Artikel 84
Sanktionen
(1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen
diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen
— fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese
Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
(2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die
er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften
mit.
ERWÄGUNGSGRÜNDE :
(149) Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung,
auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene
nationale Vorschriften, festlegen können. Diese strafrechtlichen Sanktionen können auch die
Einziehung der durch die Verstöße gegen diese Verordnung erzielten Gewinne ermöglichen. Die
Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften
und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes
„ne bis in idem“, wie er vom Gerichtshof ausgelegt worden ist, führen.
(152) Soweit diese Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in
anderen Fällen — beispielsweise bei schweren Verstößen gegen diese Verordnung — erforderlich
ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verhältnismäßige und
abschreckende Sanktionen vorsieht. Es sollte im Recht der Mitgliedstaaten geregelt werden, ob
diese Sanktionen strafrechtlicher oder verwaltungsrechtlicher Art sind.
171
KAPITEL IX
Vorschriften für besondere Verarbeitungssituationen
Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
(1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
(2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
(3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.
ERWÄGUNGSGRUND:
(153) Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftrags172
BfDI – Info 6
verarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale
Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit und Kohärenz
und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen
von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats
angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts
auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen
Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.
Artikel 86
Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer
öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse
liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem
Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt
werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht
auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.
ERWÄGUNGSGRUND:
(154) Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der Öffentlichkeit
zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit zu
amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene
Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden,
sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies
im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese
Rechtsvorschriften sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die
Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener
Daten in Einklang bringen und können daher die notwendige Übereinstimmung
mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung regeln. Die Bezugnahme
auf Behörden und öffentliche Stellen sollte in diesem Kontext sämtliche Behörden
oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats über den Zugang
der Öffentlichkeit zu Dokumenten erfasst werden. Die Richtlinie 2003/98/EG des Europäischen
Parlaments und des Rates17 lässt das Schutzniveau für natürliche Personen in Bezug auf die
Verarbeitung personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und des
Rechts der Mitgliedstaaten unberührt und beeinträchtigt diesen in keiner Weise, und sie bewirkt
insbesondere keine Änderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere
sollte die genannte Richtlinie nicht für Dokumente gelten, die nach den Zugangsregelungen
der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder
nur eingeschränkt zugänglich sind, oder für Teile von Dokumenten, die nach diesen Regelungen
17 Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von
Informationen des öffentlichen Sektors (ABl. L 345 vom 31.12.2003, S. 90).
173
zugänglich sind, wenn sie personenbezogene Daten enthalten, bei denen Rechtsvorschriften vorsehen, dass ihre Weiterverwendung nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist.
Artikel 87
Verarbeitung der nationalen Kennziffer
Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden.
Artikel 88
Datenverarbeitung im Beschäftigungskontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
(2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
(3) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.
174 BfDI – Info 6
ERWÄGUNGSGRUND:
(155) Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich ’Betriebsvereinbarungen’)
können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten
im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften
über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf
der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, über die Verarbeitung
dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich
der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten
Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und
Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der
Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven
Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses.
Artikel 89
Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse
liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken
und zu statistischen Zwecken
(1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen
oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt
geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser
Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische
Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung
gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung
gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in
denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen
Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese
Zwecke auf diese Weise erfüllt.
(2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken
oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen
und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im
Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16,
18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen
Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen
für die Erfüllung dieser Zwecke notwendig sind.
(3) Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke
verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des
vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen
von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden,
175
als ..diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.
(4) Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten Zwecken.
ERWÄGUNGSGRÜNDE:
(156) Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollte geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung unterliegen. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Garantien bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Mitgliedstaaten sollten geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen. Es sollte den Mitgliedstaaten erlaubt sein, unter bestimmten Bedingungen und vorbehaltlich geeigneter Garantien für die betroffenen Personen Präzisierungen und Ausnahmen in Bezug auf die Informationsanforderungen sowie der Rechte auf Berichtigung, Löschung, Vergessenwerden, zur Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Widerspruch bei der Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorzusehen. Im Rahmen der betreffenden Bedingungen und Garantien können spezifische Verfahren für die Ausübung dieser Rechte durch die betroffenen Personen vorgesehen sein — sofern dies angesichts der mit der spezifischen Verarbeitung verfolgten Zwecke angemessen ist — sowie technische und organisatorische Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick auf die Grundsätze der Verhältnismäßigkeit und der Notwendigkeit. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken sollte auch anderen einschlägigen Rechtsvorschriften, beispielsweise für klinische Prüfungen, genügen.
(157) Durch die Verknüpfung von Informationen aus Registern können Forscher neue Erkenntnisse von großem Wert in Bezug auf weit verbreiteten Krankheiten wie Herz-Kreislauferkrankungen, Krebs und Depression erhalten. Durch die Verwendung von Registern können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil gestützt sind. Im Bereich
176 BfDI – Info 6
der Sozialwissenschaften ermöglicht die Forschung anhand von Registern es den Forschern,
entscheidende Erkenntnisse über den langfristigen Zusammenhang einer Reihe sozialer Umstände
zu erlangen, wie Arbeitslosigkeit und Bildung mit anderen Lebensumständen. Durch
Register erhaltene Forschungsergebnisse bieten solide, hochwertige Erkenntnisse, die die Basis
für die Erarbeitung und Umsetzung wissensgestützter politischer Maßnahmen darstellen, die
Lebensqualität zahlreicher Menschen verbessern und die Effizienz der Sozialdienste verbessern
können. Zur Erleichterung der wissenschaftlichen Forschung können daher personenbezogene
Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden, wobei sie angemessenen
Bedingungen und Garantien unterliegen, die im Unionsrecht oder im Recht der Mitgliedstaaten
festgelegt sind.
(158) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu Archivzwecken
gelten, wobei darauf hinzuweisen ist, dass die Verordnung nicht für verstorbene Personen gelten
sollte. Behörden oder öffentliche oder private Stellen, die Aufzeichnungen von öffentlichem
Interesse führen, sollten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten rechtlich
verpflichtet sein, Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse
zu erwerben, zu erhalten, zu bewerten, aufzubereiten, zu beschreiben, mitzuteilen, zu fördern,
zu verbreiten sowie Zugang dazu bereitzustellen. Es sollte den Mitgliedstaaten ferner erlaubt
sein vorzusehen, dass personenbezogene Daten zu Archivzwecken weiterverarbeitet werden,
beispielsweise im Hinblick auf die Bereitstellung spezifischer Informationen im Zusammenhang
mit dem politischen Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen
gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen.
(159) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wissenschaftlichen
Forschungszwecken gelten. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen
Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die
Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die
Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen.
Darüber hinaus sollte sie dem in Artikel 179 Absatz 1 AEUV festgeschriebenen Ziel, einen
europäischen Raum der Forschung zu schaffen, Rechnung tragen. Die wissenschaftlichen
Forschungszwecke sollten auch Studien umfassen, die im öffentlichen Interesse im Bereich der
öffentlichen Gesundheit durchgeführt werden. Um den Besonderheiten der Verarbeitung personenbezogener
Daten zu wissenschaftlichen Forschungszwecken zu genügen, sollten spezifische
Bedingungen insbesondere hinsichtlich der Veröffentlichung oder sonstigen Offenlegung
personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten. Geben die Ergebnisse
wissenschaftlicher Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Maßnahmen
im Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung
für diese Maßnahmen gelten.
(160) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu historischen
Forschungszwecken gelten. Dazu sollte auch historische Forschung und Forschung im Bereich
der Genealogie zählen, wobei darauf hinzuweisen ist, dass diese Verordnung nicht für verstorbene
Personen gelten sollte.
177
(161) Für die Zwecke der Einwilligung in die Teilnahme an wissenschaftlichen Forschungstätigkeiten im Rahmen klinischer Prüfungen sollten die einschlägigen Bestimmungen der Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates18 gelten.
(162) Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu statistischen Zwecken gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte in den Grenzen dieser Verordnung den statistischen Inhalt, die Zugangskontrolle, die Spezifikationen für die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete Maßnahmen zur Sicherung der Rechte und Freiheiten der betroffenen Personen und zur Sicherstellung der statistischen Geheimhaltung bestimmen. Unter dem Begriff „statistische Zwecke“ ist jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten zu verstehen. Diese statistischen Ergebnisse können für verschiedene Zwecke, so auch für wissenschaftliche Forschungszwecke, weiterverwendet werden. Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Daten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet werden.
(163) Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden, wobei die nationalen Statistiken auch mit dem Recht der Mitgliedstaaten übereinstimmen müssen. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates19 enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken.
Artikel 90
Geheimhaltungspflichten
(1) Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und
18 Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR (ABl. L 158 vom 27.5.2014, S. 1).
19 Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).
178 BfDI – Info 6
verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht
zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf
personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer
Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
(2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er
aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen
dieser Vorschriften in Kenntnis.
ERWÄGUNGSGRUND:
(164) Hinsichtlich der Befugnisse der Aufsichtsbehörden, von dem Verantwortlichen oder vom Auftragsverarbeiter
Zugang zu personenbezogenen Daten oder zu seinen Räumlichkeiten zu erlangen,
können die Mitgliedstaaten in den Grenzen dieser Verordnung den Schutz des Berufsgeheimnisses
oder anderer gleichwertiger Geheimhaltungspflichten durch Rechtsvorschriften
regeln, soweit dies notwendig ist, um das Recht auf Schutz der personenbezogenen Daten mit
einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen. Dies berührt nicht die
bestehenden Verpflichtungen der Mitgliedstaaten zum Erlass von Vorschriften über das Berufsgeheimnis,
wenn dies aufgrund des Unionsrechts erforderlich ist.
Artikel 91
Bestehende Datenschutzvorschriften von Kirchen
und religiösen Vereinigungen oder Gemeinschaften
(1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat
zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz
natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt
werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
(2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende
Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige
Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten
Bedingungen erfüllt.
ERWÄGUNGSGRUND:
(165) Im Einklang mit Artikel 17 AEUV achtet diese Verordnung den Status, den Kirchen und religiöse
Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen
Vorschriften genießen, und beeinträchtigt ihn nicht.
179
KAPITEL X
Delegierte Rechtsakte und Durchführungsrechtsakte
Artikel 92
Ausübung der Befugnisübertragung
(1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
(2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24. Mai 2016 übertragen.
(3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
(4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
(5) Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert.
ERWÄGUNGSGRÜNDE:
(166) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zu erlassen. Delegierte Rechtsakte sollten insbesondere in Bezug auf die für Zertifizierungsverfahren geltenden Kriterien und Anforderungen, die durch standardisierte Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung dieser Bildsymbole erlassen werden. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsar180
BfDI – Info 6
beit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt. Bei
der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gewährleisten,
dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig,
rechtzeitig und auf angemessene Weise übermittelt werden.
(167) Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten
der Kommission Durchführungsbefugnisse übertragen werden, wenn dies in dieser Verordnung
vorgesehen ist. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des
Europäischen Parlaments und des Rates ausgeübt werden. In diesem Zusammenhang sollte die
Kommission besondere Maßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen
erwägen.
(168) Für den Erlass von Durchführungsrechtsakten bezüglich Standardvertragsklauseln für Verträge
zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern;
Verhaltensregeln; technische Standards und Verfahren für die Zertifizierung; Anforderungen an
die Angemessenheit des Datenschutzniveaus in einem Drittland, einem Gebiet oder bestimmten
Sektor dieses Drittlands oder in einer internationalen Organisation; Standardschutzklauseln;
Formate und Verfahren für den Informationsaustausch zwischen Verantwortlichen, Auftragsverarbeitern
und Aufsichtsbehörden im Hinblick auf verbindliche interne Datenschutzvorschriften;
Amtshilfe; sowie Vorkehrungen für den elektronischen Informationsaustausch zwischen Aufsichtsbehörden
und zwischen Aufsichtsbehörden und dem Ausschuss sollte das Prüfverfahren
angewandt werden.
(169) Die Kommission sollte sofort geltende Durchführungsrechtsakte erlassen, wenn anhand vorliegender
Beweise festgestellt wird, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor in
diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gewährleistet,
und dies aus Gründen äußerster Dringlichkeit erforderlich ist.
(170) Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Datenschutzniveaus
für natürliche Personen und des freien Verkehrs personenbezogener Daten in der Union,
von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen
des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen ist,
kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV)
verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten
Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung
dieses Ziels erforderliche Maß hinaus.
Artikel 93
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss
im Sinne der Verordnung (EU) Nr. 182/2011.
181
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
(3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.
KAPITEL XI
Schlussbestimmungen
Artikel 94
Aufhebung der Richtlinie 95/46/EG
(1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
(2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.
ERWÄGUNGSGRÜNDE:
(171) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.
(172) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat am 7. März 201217 eine Stellungnahme abgegeben.
Artikel 95
Verhältnis zur Richtlinie 2002/58/EG
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie
182 BfDI – Info 6
besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
ERWÄGUNGSGRUND:
(173) Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei
der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie
2002/58/EG des Europäischen Parlaments und des Rates20 bestimmte Pflichten, die dasselbe Ziel
verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen und der Rechte natürlicher
Personen. Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie
2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung
angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden,
um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten.
Artikel 96
Verhältnis zu bereits geschlossenen Übereinkünften
Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer
oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24. Mai
2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht
stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden.
Artikel 97
Berichte der Kommission
(1) Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen
Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung
vor. Die Berichte werden öffentlich gemacht.
(2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere
die Anwendung und die Wirkungsweise
a) des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer
oder an internationale Organisationen insbesondere im Hinblick auf die gemäß
Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die
gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,
b) des Kapitels VII über Zusammenarbeit und Kohärenz.
(3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten
und den Aufsichtsbehörden anfordern.
20 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener
Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische
Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).
183
(4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen.
(5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft.
Artikel 98
Überprüfung anderer Rechtsakte der Union zum Datenschutz
Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch
die Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher
Daten.
Artikel 99
Inkrafttreten und Anwendung
(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Sie gilt ab dem 25. Mai 2018.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Geschehen zu Brüssel am 27. April 2016.
Im Namen des Europäischen Parlaments ..Im Namen des Rates
Der Präsident ....Die Präsidentin
M. SCHULZ ....J.A. HENNIS-PLASSCHAERT
184 BfDI – Info 6
185
Bundesdatenschutzgesetz
(BDSG)
Art. 1 des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU – DSAnpUG-EU
vom 30. Juni 2017, BGBl. I, S. 20971
Nicht-amtliche Fassung
Inhaltsübersicht
Teil 1
Gemeinsame Bestimmungen
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen
§ 1 Anwendungsbereich des Gesetzes
§ 2 Begriffsbestimmungen
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen
§ 4 Videoüberwachung öffentlich zugänglicher Räume
Kapitel 3
Datenschutzbeauftragte öffentlicher Stellen
§ 5 Benennung
§ 6 Stellung
§ 7 Aufgaben
Kapitel 4
Die oder der Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit
§ 8 Errichtung
§ 9 Zuständigkeit
§ 10 Unabhängigkeit
§ 11 Ernennung und Amtszeit
§ 12 Amtsverhältnis
1 Das Gesetz tritt am 25. Mai 2018 in Kraft.
186 BfDI – Info 6
§ 13 Rechte und Pflichten
§ 14 Aufgaben
§ 15 Tätigkeitsbericht
§ 16 Befugnisse
Kapitel 5
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle,
Zusammenarbeit der A ufsichtsbehörden des Bundes und der Länder in Angelegenheiten
der Europäischen Union
§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
§ 19 Zuständigkeiten
Kapitel 6
Rechtsbehelfe
§ 20 Gerichtlicher Rechtsschutz
§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit
eines Beschlusses der Europäischen Kommission
Teil 2
Durchführungsbestimmungen für V erarbeitungen zu Zwecken
gemäß Artikel 2 der V erordnung (EU) 2016/679
Kapitel 1
Rechtsgrundlagen der V erarbeitung personenbezogener Daten
Abschnitt 1
Verarbeitung besonderer Kategorien personenbezogener Daten
und Verarbeitung zu anderen Zwecken
§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
§ 25 Datenübermittlungen durch öffentliche Stellen
Abschnitt 2
Besondere Verarbeitungssituationen
§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
187
§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
§ 30 Verbraucherkredite
§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
Kapitel 2
Rechte der betroffenen Person
§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen
Person
§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
§ 34 Auskunftsrecht der betroffenen Person
§ 35 Recht auf Löschung
§ 36 Widerspruchsrecht
§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Kapitel 3
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
§ 39 Akkreditierung
Kapitel 4
Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen
§ 40 Aufsichtsbehörden der Länder
Kapitel 5
Sanktionen
§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
§ 42 Strafvorschriften
§ 43 Bußgeldvorschriften
Kapitel 6
Rechtsbehelfe
§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
188 BfDI – Info 6
Teil 3
Bestimmungen für V erarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1
der Richtlinie (EU) 2016/680
Kapitel 1
Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze
für die V erarbeitung personenbezogener Daten
§ 45 Anwendungsbereich
§ 46 Begriffsbestimmungen
§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Kapitel 2
Rechtsgrundlagen der V erarbeitung personenbezogener Daten
§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten
§ 49 Verarbeitung zu anderen Zwecken
§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
§ 51 Einwilligung
§ 52 Verarbeitung auf Weisung des Verantwortlichen
§ 53 Datengeheimnis
§ 54 Automatisierte Einzelentscheidung
Kapitel 3
Rechte der betroffenen Person
§ 55 Allgemeine Informationen zu Datenverarbeitungen
§ 56 Benachrichtigung betroffener Personen
§ 57 Auskunftsrecht
§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person
§ 60 Anrufung der oder des Bundesbeauftragten
§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren
oder dessen Untätigkeit
Kapitel 4
Pflichten der V erantwortlichen und A uftragsverarbeiter
§ 62 Auftragsverarbeitung
§ 63 Gemeinsam Verantwortliche
§ 64 Anforderungen an die Sicherheit der Datenverarbeitung
§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener
Daten
189
§ 67 Durchführung einer Datenschutz-Folgenabschätzung
§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
§ 69 Anhörung der oder des Bundesbeauftragten
§ 70 Verzeichnis von Verarbeitungstätigkeiten
§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
§ 74 Verfahren bei Übermittlungen
§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
§ 76 Protokollierung
§ 77 Vertrauliche Meldung von Verstößen
Kapitel 5
Datenübermittlungen an Drittstaaten und an internationale Organisationen
§ 78 Allgemeine Voraussetzungen
§ 79 Datenübermittlung bei geeigneten Garantien
§ 80 Datenübermittlung ohne geeignete Garantien
§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten
Kapitel 6
Zusammenarbeit der Aufsichtsbehörden
§ 82 Gegenseitige Amtshilfe
Kapitel 7
Haftung und Sanktionen
§ 83 Schadensersatz und Entschädigung
§ 84 Strafvorschriften
Teil 4
Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
190 BfDI – Info 6
Teil 1
Gemeinsame Bestimmungen
Kapitel 1
Anwendungsbereich und Begriffsbestimmungen
§ 1
Anwendungsbereich des Gesetzes
(1) Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
1. öffentliche Stellen des Bundes,
2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz
geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten
handelt.
Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener
Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden
sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten.
(2) Andere Rechtsvorschriften des Bundes über den Datenschutz gehen den Vorschriften dieses
Gesetzes vor. Regeln sie einen Sachverhalt, für den dieses Gesetz gilt, nicht oder nicht
abschließend, finden die Vorschriften dieses Gesetzes Anwendung. Die Verpflichtung zur
Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen,
die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt.
(3) Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit
bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
(4) Dieses Gesetz findet Anwendung auf öffentliche Stellen. Auf nichtöffentliche Stellen findet
es Anwendung, sofern
1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland
verarbeitet,
2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen
Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt
oder
3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem
Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des
191
Abkommens über den Europäischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) fällt.
Sofern dieses Gesetz nicht gemäß Satz 2 Anwendung findet, gelten für den Verantwortlichen oder Auftragsverarbeiter nur die §§ 8 bis 21, 39 bis 44.
(5) Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(7) Bei Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten.
(8) Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.
§ 2
Begriffsbestimmungen
(1) Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
192 BfDI – Info 6
(2) Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere
öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes
oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen
des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.
(3) Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die
Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung
nichtöffentlicher Stellen als öffentliche Stellen des Bundes, wenn
1. sie über den Bereich eines Landes hinaus tätig werden oder
2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der
Stimmen zusteht.
Andernfalls gelten sie als öffentliche Stellen der Länder.
(4) Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere
Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3
fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung
wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
(5) Öffentliche Stellen des Bundes gelten als nichtöffentliche Stellen im Sinne dieses Gesetzes,
soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Als nichtöffentliche
Stellen im Sinne dieses Gesetzes gelten auch öffentliche Stellen der Länder, soweit
sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, Bundesrecht ausführen
und der Datenschutz nicht durch Landesgesetz geregelt ist.
Kapitel 2
Rechtsgrundlagen der V erarbeitung personenbezogener Daten
§ 3
Verarbeitung personenbezogener Daten durch öffentliche Stellen
Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur
Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher
Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
§ 4
Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen
(Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung öffentlicher Stellen,
2. zur Wahrnehmung des Hausrechts oder
193
3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Bei der Videoüberwachung von
1. öffentlich zugänglichen großflächigen Anlagen, wie insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen, oder
2. Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs
gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse.
(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.
(3) Die Speicherung oder Verwendung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Absatz 1 Satz 2 gilt entsprechend. Für einen anderen Zweck dürfen sie nur weiterverarbeitet werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679. § 32 gilt entsprechend.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Kapitel 3
Datenschutzbeauftragte öffentlicher Stellen
§ 5
Benennung
(1) Öffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen nach § 2 Absatz 5, die am Wettbewerb teilnehmen.
194 BfDI – Info 6
(2) Für mehrere öffentliche Stellen kann unter Berücksichtigung ihrer Organisationsstruktur
und ihrer Größe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter
benannt werden.
(3) Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen
Qualifikation und insbesondere ihres oder seines Fachwissens benannt, das sie oder
er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der
Grundlage ihrer oder seiner Fähigkeit zur Erfüllung der in § 7 genannten Aufgaben.
(4) Die oder der Datenschutzbeauftragte kann Beschäftigte oder Beschäftigter der öffentlichen
Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags
erfüllen.
(5) Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten
und teilt diese Daten der oder dem Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit mit.
§ 6
Stellung
(1) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgemäß
und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden
Fragen eingebunden wird.
(2) Die öffentliche Stelle unterstützt die Datenschutzbeauftragte oder den Datenschutzbeauftragten
bei der Erfüllung ihrer oder seiner Aufgaben gemäß § 7, indem sie die für die Erfüllung
dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen
Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens
erforderlichen Ressourcen zur Verfügung stellt.
(3) Die öffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erfüllung
ihrer oder seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben
erhält. Die oder der Datenschutzbeauftragte berichtet unmittelbar der höchsten
Leitungsebene der öffentlichen Stelle. Die oder der Datenschutzbeauftragte darf von der
öffentlichen Stelle wegen der Erfüllung ihrer oder seiner Aufgaben nicht abberufen oder
benachteiligt werden.
(4) Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung
des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses
ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur
Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. 
195
Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
(5) Betroffene Personen können die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften über den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
(6) Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner Tätigkeit Kenntnis von Daten erhält, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Beschäftigten zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.
§ 7
Aufgaben
(1) Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
1. Unterrichtung und Beratung der öffentlichen Stelle und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften;
2. Überwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, sowie der Strategien der öffentlichen Stelle für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Beschäftigten und der diesbezüglichen Überprüfungen;
3. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß § 67 dieses Gesetzes;
196 BfDI – Info 6
4. Zusammenarbeit mit der Aufsichtsbehörde;
5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden
Fragen, einschließlich der vorherigen Konsultation gemäß § 69
dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen
sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.
(2) Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die öffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem
Interessenkonflikt führen.
(3) Die oder der Datenschutzbeauftragte trägt bei der Erfüllung ihrer oder seiner Aufgaben
dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei
sie oder er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Kapitel 4
Die oder der Bundesbeauftragte für den Datenschutz
und die Informationsfreiheit
§8
Errichtung
(1) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Bundesbeauftragte)
ist eine oberste Bundesbehörde. Der Dienstsitz ist Bonn.
(2) Die Beamtinnen und Beamten der oder des Bundesbeauftragten sind Beamtinnen und Beamte
des Bundes.
(3) Die oder der Bundesbeauftragte kann Aufgaben der Personalverwaltung und Personalwirtschaft
auf andere Stellen des Bundes übertragen, soweit hierdurch die Unabhängigkeit
der oder des Bundesbeauftragten nicht beeinträchtigt wird. Diesen Stellen dürfen personenbezogene
Daten der Beschäftigten übermittelt werden, soweit deren Kenntnis zur
Erfüllung der übertragenen Aufgaben erforderlich ist.
§ 9
Zuständigkeit
(1) Die oder der Bundesbeauftragte ist zuständig für die Aufsicht über die öffentlichen Stellen
des Bundes, auch soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teil197
nehmen. Die Vorschriften dieses Kapitels gelten auch für Auftragsverarbeiter, soweit sie nichtöffentliche Stellen sind, bei denen dem Bund die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle des Bundes ist.
(2) Die oder der Bundesbeauftragte ist nicht zuständig für die Aufsicht über die von den Bundesgerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
§ 10
Unabhängigkeit
(1) Die oder der Bundesbeauftragte handelt bei der Erfüllung ihrer oder seiner Aufgaben und bei der Ausübung ihrer oder seiner Befugnisse völlig unabhängig. Sie oder er unterliegt weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisung noch nimmt sie oder er Weisungen entgegen.
(2) Die oder der Bundesbeauftragte unterliegt der Rechnungsprüfung durch den Bundesrechnungshof, soweit hierdurch ihre oder seine Unabhängigkeit nicht beeinträchtigt wird.
§ 11
Ernennung und Amtszeit
(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.
(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe.“ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.
(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.
198 BfDI – Info 6
§ 12
Amtsverhältnis
(1) Die oder der Bundesbeauftragte steht nach Maßgabe dieses Gesetzes zum Bund in einem
öffentlich-rechtlichen Amtsverhältnis.
(2) Das Amtsverhältnis beginnt mit der Aushändigung der Ernennungsurkunde. Es endet mit
dem Ablauf der Amtszeit oder mit dem Rücktritt. Die Bundespräsidentin oder der Bundespräsident
enthebt auf Vorschlag der Präsidentin oder des Präsidenten des Bundestages die
Bundesbeauftragte ihres oder den Bundesbeauftragten seines Amtes, wenn die oder der
Bundesbeauftragte eine schwere Verfehlung begangen hat oder die Voraussetzungen für
die Wahrnehmung ihrer oder seiner Aufgaben nicht mehr erfüllt. Im Fall der Beendigung
des Amtsverhältnisses oder der Amtsenthebung erhält die oder der Bundesbeauftragte
eine von der Bundespräsidentin oder dem Bundespräsidenten vollzogene Urkunde. Eine
Amtsenthebung wird mit der Aushändigung der Urkunde wirksam. Endet das Amtsverhältnis
mit Ablauf der Amtszeit, ist die oder der Bundesbeauftragte verpflichtet, auf Ersuchen
der Präsidentin oder des Präsidenten des Bundestages die Geschäfte bis zur Ernennung
einer Nachfolgerin oder eines Nachfolgers für die Dauer von höchstens sechs Monaten
weiterzuführen.
(3) Die Leitende Beamtin oder der Leitende Beamte nimmt die Rechte der oder des Bundesbeauftragten
wahr, wenn die oder der Bundesbeauftragte an der Ausübung ihres oder seines
Amtes verhindert ist oder wenn ihr oder sein Amtsverhältnis endet und sie oder er nicht zur
Weiterführung der Geschäfte verpflichtet ist. § 10 Absatz 1 ist entsprechend anzuwenden.
(4) Die oder der Bundesbeauftragte erhält vom Beginn des Kalendermonats an, in dem das
Amtsverhältnis beginnt, bis zum Schluss des Kalendermonats, in dem das Amtsverhältnis
endet, im Fall des Absatzes 2 Satz 6 bis zum Ende des Monats, in dem die Geschäftsführung
endet, Amtsbezüge in Höhe der Besoldungsgruppe B 11 sowie den Familienzuschlag
entsprechend Anlage V des Bundesbesoldungsgesetzes. Das Bundesreisekostengesetz
und das Bundesumzugskostengesetz sind entsprechend anzuwenden. Im Übrigen sind
§ 12 Absatz 6 sowie die §§ 13 bis 20 und 21a Absatz 5 des Bundesministergesetzes mit den
Maßgaben anzuwenden, dass an die Stelle der vierjährigen Amtszeit in § 15 Absatz 1 des
Bundesministergesetzes eine Amtszeit von fünf Jahren tritt. Abweichend von Satz 3 in Verbindung
mit den §§ 15 bis 17 und 21a Absatz 5 des Bundesministergesetzes berechnet sich
das Ruhegehalt der oder des Bundesbeauftragten unter Hinzurechnung der Amtszeit als
ruhegehaltsfähige Dienstzeit in entsprechender Anwendung des Beamtenversorgungsgesetzes,
wenn dies günstiger ist und die oder der Bundesbeauftragte sich unmittelbar vor
ihrer oder seiner Wahl zur oder zum Bundesbeauftragten als Beamtin oder Beamter oder
als Richterin oder Richter mindestens in dem letzten gewöhnlich vor Erreichen der Besoldungsgruppe
B 11 zu durchlaufenden Amt befunden hat.
199
§ 13
Rechte und Pflichten
(1) Die oder der Bundesbeauftragte sieht von allen mit den Aufgaben ihres oder seines Amtes nicht zu vereinbarenden Handlungen ab und übt während ihrer oder seiner Amtszeit keine andere mit ihrem oder seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. Insbesondere darf die oder der Bundesbeauftragte neben ihrem oder seinem Amt kein anderes besoldetes Amt, kein Gewerbe und keinen Beruf ausüben und weder der Leitung oder dem Aufsichtsrat oder Verwaltungsrat eines auf Erwerb gerichteten Unternehmens noch einer Regierung oder einer gesetzgebenden Körperschaft des Bundes oder eines Landes angehören. Sie oder er darf nicht gegen Entgelt außergerichtliche Gutachten abgeben.
(2) Die oder der Bundesbeauftragte hat der Präsidentin oder dem Präsidenten des Bundestages Mitteilung über Geschenke zu machen, die sie oder er in Bezug auf das Amt erhält. Die Präsidentin oder der Präsident des Bundestages entscheidet über die Verwendung der Geschenke. Sie oder er kann Verfahrensvorschriften erlassen.
(3) Die oder der Bundesbeauftragte ist berechtigt, über Personen, die ihr oder ihm in ihrer oder seiner Eigenschaft als Bundesbeauftragte oder Bundesbeauftragter Tatsachen anvertraut haben, sowie über diese Tatsachen selbst das Zeugnis zu verweigern. Dies gilt auch für die Mitarbeiterinnen und Mitarbeiter der oder des Bundesbeauftragten mit der Maßgabe, dass über die Ausübung dieses Rechts die oder der Bundesbeauftragte entscheidet. Soweit das Zeugnisverweigerungsrecht der oder des Bundesbeauftragten reicht, darf die Vorlegung oder Auslieferung von Akten oder anderen Dokumenten von ihr oder ihm nicht gefordert werden.
(4) Die oder der Bundesbeauftragte ist, auch nach Beendigung ihres oder seines Amtsverhältnisses, verpflichtet, über die ihr oder ihm amtlich bekanntgewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen. Die oder der Bundesbeauftragte entscheidet nach pflichtgemäßem Ermessen, ob und inwieweit sie oder er über solche Angelegenheiten vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt; wenn sie oder er nicht mehr im Amt ist, ist die Genehmigung der oder des amtierenden Bundesbeauftragten erforderlich. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen und bei einer Gefährdung der freiheitlichen demokratischen Grundordnung für deren Erhaltung einzutreten. Für die Bundesbeauftragte oder den Bundesbeauftragten und ihre oder seine Mitarbeiterinnen und Mitarbeiter gelten die §§ 93, 97 und 105 Absatz 1, § 111 Absatz 5 in Verbindung mit § 105 Absatz 1 sowie § 116 Absatz 1 der Abgabenordnung nicht. Satz 5 findet keine Anwendung, soweit die Finanzbehörden die Kenntnis für die Durchführung eines Verfahrens wegen ei200
BfDI – Info 6
ner Steuerstraftat sowie eines damit zusammenhängenden Steuerverfahrens benötigen,
an deren Verfolgung ein zwingendes öffentliches Interesse besteht, oder soweit es sich um
vorsätzlich falsche Angaben der oder des Auskunftspflichtigen oder der für sie oder ihn tätigen
Personen handelt. Stellt die oder der Bundesbeauftragte einen Datenschutzverstoß
fest, ist sie oder er befugt, diesen anzuzeigen und die betroffene Person hierüber zu informieren.
(5) Die oder der Bundesbeauftragte darf als Zeugin oder Zeuge aussagen, es sei denn, die Aussage
würde
1. dem Wohl des Bundes oder eines Landes Nachteile bereiten, insbesondere Nachteile
für die Sicherheit der Bundesrepublik Deutschland oder ihre Beziehungen zu
anderen Staaten, oder
2. Grundrechte verletzen.
Betrifft die Aussage laufende oder abgeschlossene Vorgänge, die dem Kernbereich exekutiver
Eigenverantwortung der Bundesregierung zuzurechnen sind oder sein könnten, darf
die oder der Bundesbeauftragte nur im Benehmen mit der Bundesregierung aussagen. § 28 des Bundesverfassungsgerichtsgesetzes bleibt unberührt.
(6) Die Absätze 3 und 4 Satz 5 bis 7 gelten entsprechend für die öffentlichen Stellen, die für die
Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig
sind.
§ 14
Aufgaben
(1) Die oder der Bundesbeauftragte hat neben den in der Verordnung (EU) 2016/679 genannten
Aufgaben die Aufgaben,
1. die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz,
einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften,
zu überwachen und durchzusetzen,
2. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang
mit der Verarbeitung personenbezogener Daten zu sensibilisieren und
sie darüber aufzuklären, wobei spezifische Maßnahmen für Kinder besondere Beachtung
finden,
3. den Deutschen Bundestag und den Bundesrat, die Bundesregierung und andere
Einrichtungen und Gremien über legislative und administrative Maßnahmen zum
Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung
personenbezogener Daten zu beraten,
4. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus diesem Gesetz
und sonstigen Vorschriften über den Datenschutz, einschließlich den zur Umset201
zung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, entstehenden Pflichten zu sensibilisieren,
5. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zur Verfügung zu stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenzuarbeiten,
6. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 55 der Richtlinie (EU) 2016/680 zu befassen, den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung zu unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,
7. mit anderen Aufsichtsbehörden zusammenzuarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe zu leisten, um die einheitliche Anwendung und Durchsetzung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, zu gewährleisten,
8. Untersuchungen über die Anwendung dieses Gesetzes und sonstiger Vorschriften über den Datenschutz, einschließlich der zur Umsetzung der Richtlinie (EU) 2016/680 erlassenen Rechtsvorschriften, durchzuführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,
9. maßgebliche Entwicklungen zu verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken,
10. Beratung in Bezug auf die in § 69 genannten Verarbeitungsvorgänge zu leisten und
11. Beiträge zur Tätigkeit des Europäischen Datenschutzausschusses zu leisten.
Im Anwendungsbereich der Richtlinie (EU) 2016/680 nimmt die oder der Bundesbeauftragte zudem die Aufgabe nach § 60 wahr.
(2) Zur Erfüllung der in Absatz 1 Satz 1 Nummer 3 genannten Aufgabe kann die oder der Bundesbeauftragte zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an den Deutschen Bundestag oder einen seiner Ausschüsse, den Bundesrat, die Bundesregierung, sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit richten. Auf Ersuchen des Deutschen Bundestages, eines seiner Ausschüsse oder der Bundesregierung geht die oder der Bundesbeauftragte ferner Hinweisen auf Angelegenheiten und Vorgänge des Datenschutzes bei den öffentlichen Stellen des Bundes nach.
202 BfDI – Info 6
(3) Die oder der Bundesbeauftragte erleichtert das Einreichen der in Absatz 1 Satz 1 Nummer 6
genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars,
das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel
ausgeschlossen werden.
(4) Die Erfüllung der Aufgaben der oder des Bundesbeauftragten ist für die betroffene Person
unentgeltlich. Bei offenkundig unbegründeten oder, insbesondere im Fall von häufiger
Wiederholung, exzessiven Anfragen kann die oder der Bundesbeauftragte eine angemessene
Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund
der Anfrage tätig zu werden. In diesem Fall trägt die oder der Bundesbeauftragte die
Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
§ 15
Tätigkeitsbericht
Die oder der Bundesbeauftragte erstellt einen Jahresbericht über ihre oder seine Tätigkeit, der eine
Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen, einschließlich
der verhängten Sanktionen und der Maßnahmen nach Artikel 58 Absatz 2 der Verordnung (EU)
2016/679, enthalten kann. Die oder der Bundesbeauftragte übermittelt den Bericht dem Deutschen
Bundestag, dem Bundesrat und der Bundesregierung und macht ihn der Öffentlichkeit, der Europäischen
Kommission und dem Europäischen Datenschutzausschuss zugänglich.
§ 16
Befugnisse
(1) Die oder der Bundesbeauftragte nimmt im Anwendungsbereich der Verordnung (EU)
2016/679 die Befugnisse gemäß Artikel 58 der Verordnung (EU) 2016/679 wahr. Kommt die
oder der Bundesbeauftragte zu dem Ergebnis, dass Verstöße gegen die Vorschriften über
den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten
vorliegen, teilt sie oder er dies der zuständigen Rechts- oder Fachaufsichtsbehörde mit
und gibt dieser vor der Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis
g, i und j der Verordnung (EU) 2016/679 gegenüber dem Verantwortlichen Gelegenheit
zur Stellungnahme innerhalb einer angemessenen Frist. Von der Einräumung der Gelegenheit
zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung
wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein
zwingendes öffentliches Interesse entgegensteht. Die Stellungnahme soll auch eine Darstellung
der Maßnahmen enthalten, die aufgrund der Mitteilung der oder des Bundesbeauftragten
getroffen worden sind.
(2) Stellt die oder der Bundesbeauftragte bei Datenverarbeitungen durch öffentliche Stellen
des Bundes zu Zwecken außerhalb des Anwendungsbereichs der Verordnung (EU)
203
2016/679 Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung oder Nutzung personenbezogener Daten fest, so beanstandet sie oder er dies gegenüber der zuständigen obersten Bundesbehörde und fordert diese zur Stellungnahme innerhalb einer von ihr oder ihm zu bestimmenden Frist auf. Die oder der Bundesbeauftragte kann von einer Beanstandung absehen oder auf eine Stellungnahme verzichten, insbesondere wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Die Stellungnahme soll auch eine Darstellung der Maßnahmen enthalten, die aufgrund der Beanstandung der oder des Bundesbeauftragten getroffen worden sind. Die oder der Bundesbeauftragte kann den Verantwortlichen auch davor warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen in diesem Gesetz enthaltene und andere auf die jeweilige Datenverarbeitung anzuwendende Vorschriften über den Datenschutz verstoßen.
(3) Die Befugnisse der oder des Bundesbeauftragten erstrecken sich auch auf
1. von öffentlichen Stellen des Bundes erlangte personenbezogene Daten über den Inhalt und die näheren Umstände des Brief-, Post- und Fernmeldeverkehrs und
2. personenbezogene Daten, die einem besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
Das Grundrecht des Brief-, Post- und Fernmeldegeheimnisses des Artikels 10 des Grundgesetzes wird insoweit eingeschränkt.
(4) Die öffentlichen Stellen des Bundes sind verpflichtet, der oder dem Bundesbeauftragten und ihren oder seinen Beauftragten
1. jederzeit Zugang zu den Grundstücken und Diensträumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, sowie zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer oder seiner Aufgaben notwendig sind, zu gewähren und
2. alle Informationen, die für die Erfüllung ihrer oder seiner Aufgaben erforderlich sind, bereitzustellen.
(5) Die oder der Bundesbeauftragte wirkt auf die Zusammenarbeit mit den öffentlichen Stellen, die für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz in den Ländern zuständig sind, sowie mit den Aufsichtsbehörden nach § 40 hin. § 40 Absatz 3 Satz 1 zweiter Halbsatz gilt entsprechend.
204 BfDI – Info 6
Kapitel 5
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle,
Zusammenarbeit der A ufsichtsbehörden des Bundes
und der Länder in Angelegenheiten der Europäischen Union
§ 17
Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle
(1) Gemeinsamer Vertreter im Europäischen Datenschutzausschuss und zentrale Anlaufstelle
ist die oder der Bundesbeauftragte (gemeinsamer Vertreter). Als Stellvertreterin oder Stellvertreter
des gemeinsamen Vertreters wählt der Bundesrat eine Leiterin oder einen Leiter
der Aufsichtsbehörde eines Landes (Stellvertreter). Die Wahl erfolgt für fünf Jahre. Mit dem
Ausscheiden aus dem Amt als Leiterin oder Leiter der Aufsichtsbehörde eines Landes endet
zugleich die Funktion als Stellvertreter. Wiederwahl ist zulässig.
(2) Der gemeinsame Vertreter überträgt in Angelegenheiten, die die Wahrnehmung einer
Aufgabe betreffen, für welche die Länder allein das Recht zur Gesetzgebung haben, oder
welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, dem Stellvertreter
auf dessen Verlangen die Verhandlungsführung und das Stimmrecht im Europäischen
Datenschutzausschuss.
§ 18
Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder
(1) Die oder der Bundesbeauftragte und die Aufsichtsbehörden der Länder (Aufsichtsbehörden
des Bundes und der Länder) arbeiten in Angelegenheiten der Europäischen Union mit
dem Ziel einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie
(EU) 2016/680 zusammen. Vor der Übermittlung eines gemeinsamen Standpunktes an die
Aufsichtsbehörden der anderen Mitgliedstaaten, die Europäische Kommission oder den
Europäischen Datenschutzausschuss geben sich die Aufsichtsbehörden des Bundes und
der Länder frühzeitig Gelegenheit zur Stellungnahme. Zu diesem Zweck tauschen sie untereinander
alle zweckdienlichen Informationen aus. Die Aufsichtsbehörden des Bundes
und der Länder beteiligen die nach den Artikeln 85 und 91 der Verordnung (EU) 2016/679
eingerichteten spezifischen Aufsichtsbehörden, sofern diese von der Angelegenheit betroffen
sind.
(2) Soweit die Aufsichtsbehörden des Bundes und der Länder kein Einvernehmen über den gemeinsamen
Standpunkt erzielen, legen die federführende Behörde oder in Ermangelung
einer solchen der gemeinsame Vertreter und sein Stellvertreter einen Vorschlag für einen
gemeinsamen Standpunkt vor. Einigen sich der gemeinsame Vertreter und sein Stellvertreter
nicht auf einen Vorschlag für einen gemeinsamen Standpunkt, legt in Angelegen205
heiten, die die Wahrnehmung von Aufgaben betreffen, für welche die Länder allein das Recht der Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, der Stellvertreter den Vorschlag für einen gemeinsamen Standpunkt fest. In den übrigen Fällen fehlenden Einvernehmens nach Satz 2 legt der gemeinsame Vertreter den Standpunkt fest. Der nach den Sätzen 1 bis 3 vorgeschlagene Standpunkt ist den Verhandlungen zu Grunde zu legen, wenn nicht die Aufsichtsbehörden von Bund und Ländern einen anderen Standpunkt mit einfacher Mehrheit beschließen. Der Bund und jedes Land haben jeweils eine Stimme. Enthaltungen werden nicht gezählt.
(3) Der gemeinsame Vertreter und dessen Stellvertreter sind an den gemeinsamen Standpunkt nach den Absätzen 1 und 2 gebunden und legen unter Beachtung dieses Standpunktes einvernehmlich die jeweilige Verhandlungsführung fest. Sollte ein Einvernehmen nicht erreicht werden, entscheidet in den in § 18 Absatz 2 Satz 2 genannten Angelegenheiten der Stellvertreter über die weitere Verhandlungsführung. In den übrigen Fällen gibt die Stimme des gemeinsamen Vertreters den Ausschlag.
§ 19
Zuständigkeiten
(1) Federführende Aufsichtsbehörde eines Landes im Verfahren der Zusammenarbeit und Kohärenz nach Kapitel VII der Verordnung (EU) 2016/679 ist die Aufsichtsbehörde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung im Sinne des Artikels 4 Nummer 16 der Verordnung (EU) 2016/679 oder seine einzige Niederlassung in der Europäischen Union im Sinne des Artikels 56 Absatz 1 der Verordnung (EU) 2016/679 hat. Im Zuständigkeitsbereich der oder des Bundesbeauftragten gilt Artikel 56 Absatz 1 in Verbindung mit Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechend. Besteht über die Federführung kein Einvernehmen, findet für die Festlegung der federführenden Aufsichtsbehörde das Verfahren des § 18 Absatz 2 entsprechende Anwendung.
(2) Die Aufsichtsbehörde, bei der eine betroffene Person Beschwerde eingereicht hat, gibt die Beschwerde an die federführende Aufsichtsbehörde nach Absatz 1, in Ermangelung einer solchen an die Aufsichtsbehörde eines Landes ab, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wird eine Beschwerde bei einer sachlich unzuständigen Aufsichtsbehörde eingereicht, gibt diese, sofern eine Abgabe nach Satz 1 nicht in Betracht kommt, die Beschwerde an die Aufsichtsbehörde am Wohnsitz des Beschwerdeführers ab. Die empfangende Aufsichtsbehörde gilt als die Aufsichtsbehörde nach Maßgabe des Kapitels VII der Verordnung (EU) 2016/679, bei der die Beschwerde eingereicht worden ist, und kommt den Verpflichtungen aus Artikel 60 Absatz 7 bis 9 und Artikel 65 Absatz 6 der Verordnung (EU) 2016/679 nach.
206 BfDI – Info 6
Kapitel 6
Rechtsbehelfe
§ 20
Gerichtlicher Rechtsschutz
(1) Für Streitigkeiten zwischen einer natürlichen oder einer juristischen Person und einer Aufsichtsbehörde
des Bundes oder eines Landes über Rechte gemäß Artikel 78 Absatz 1 und 2
der Verordnung (EU) 2016/679 sowie § 61 ist der Verwaltungsrechtsweg gegeben. Satz 1 gilt
nicht für Bußgeldverfahren.
(2) Die Verwaltungsgerichtsordnung ist nach Maßgabe der Absätze 3 bis 7 anzuwenden.
(3) Für Verfahren nach Absatz 1 Satz 1 ist das Verwaltungsgericht örtlich zuständig, in dessen
Bezirk die Aufsichtsbehörde ihren Sitz hat.
(4) In Verfahren nach Absatz 1 Satz 1 ist die Aufsichtsbehörde beteiligungsfähig.
(5) Beteiligte eines Verfahrens nach Absatz 1 Satz 1 sind
1. die natürliche oder juristische Person als Klägerin oder Antragstellerin und
2. die Aufsichtsbehörde als Beklagte oder Antragsgegnerin.
§ 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unberührt.
(6) Ein Vorverfahren findet nicht statt.
(7) Die Aufsichtsbehörde darf gegenüber einer Behörde oder deren Rechtsträger nicht die
sofortige Vollziehung gemäß § 80 Absatz 2 Satz 1 Nummer 4 der Verwaltungsgerichtsordnung
anordnen.
§ 21
Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit
eines Beschlusses der Europäischen Kommission
(1) Hält eine Aufsichtsbehörde einen Angemessenheitsbeschluss der Europäischen Kommission,
einen Beschluss über die Anerkennung von Standardschutzklauseln oder über die
Allgemeingültigkeit von genehmigten Verhaltensregeln, auf dessen Gültigkeit es für eine
Entscheidung der Aufsichtsbehörde ankommt, für rechtswidrig, so hat die Aufsichtsbehörde
ihr Verfahren auszusetzen und einen Antrag auf gerichtliche Entscheidung zu stellen.
(2) Für Verfahren nach Absatz 1 ist der Verwaltungsrechtsweg gegeben. Die Verwaltungsgerichtsordnung
ist nach Maßgabe der Absätze 3 bis 6 anzuwenden.
207
(3) Über einen Antrag der Aufsichtsbehörde nach Absatz 1 entscheidet im ersten und letzten Rechtszug das Bundesverwaltungsgericht.
(4) In Verfahren nach Absatz 1 ist die Aufsichtsbehörde beteiligungsfähig. An einem Verfahren nach Absatz 1 ist die Aufsichtsbehörde als Antragstellerin beteiligt; § 63 Nummer 3 und 4 der Verwaltungsgerichtsordnung bleibt unberührt. Das Bundesverwaltungsgericht kann der Europäischen Kommission Gelegenheit zur Äußerung binnen einer zu bestimmenden Frist geben.
(5) Ist ein Verfahren zur Überprüfung der Gültigkeit eines Beschlusses der Europäischen Kommission nach Absatz 1 bei dem Gerichtshof der Europäischen Union anhängig, so kann das Bundesverwaltungsgericht anordnen, dass die Verhandlung bis zur Erledigung des Verfahrens vor dem Gerichtshof der Europäischen Union auszusetzen sei.
(6) In Verfahren nach Absatz 1 ist § 47 Absatz 5 Satz 1 und Absatz 6 der Verwaltungsgerichtsordnung entsprechend anzuwenden. Kommt das Bundesverwaltungsgericht zu der Überzeugung, dass der Beschluss der Europäischen Kommission nach Absatz 1 gültig ist, so stellt es dies in seiner Entscheidung fest. Andernfalls legt es die Frage nach der Gültigkeit des Beschlusses gemäß Artikel 267 des Vertrags über die Arbeitsweise der Europäischen Union dem Gerichtshof der Europäischen Union zur Entscheidung vor.
Teil 2
Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679
Kapitel 1
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
Abschnitt 1
Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung
zu anderen Zwecken
§ 22
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 zulässig
1. durch öffentliche und nichtöffentliche Stellen, wenn sie
208 BfDI – Info 6
a) erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes
erwachsenden Rechte auszuüben und den diesbezüglichen
Pflichten nachzukommen,
b) zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit
des Beschäftigten, für die medizinische Diagnostik, die Versorgung
oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung
von Systemen und Diensten im Gesundheits- und Sozialbereich oder
aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen
eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem
Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht
unterliegen, oder unter deren Verantwortung verarbeitet
werden, oder
c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
wie des Schutzes vor schwerwiegenden grenzüberschreitenden
Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards
bei der Gesundheitsversorgung und bei Arzneimitteln
und Medizinprodukten erforderlich ist; ergänzend zu den in Absatz 2 genannten
Maßnahmen sind insbesondere die berufsrechtlichen und strafrechtlichen
Vorgaben zur Wahrung des Berufsgeheimnisses einzuhalten,
2. durch öffentliche Stellen, wenn sie
a) aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich
ist,
b) zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich
ist,
c) zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung
erheblicher Belange des Gemeinwohls zwingend erforderlich ist oder
d) aus zwingenden Gründen der Verteidigung oder der Erfüllung über- oder
zwischenstaatlicher Verpflichtungen einer öffentlichen Stelle des Bundes
auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung oder
für humanitäre Maßnahmen erforderlich ist
und soweit die Interessen des Verantwortlichen an der Datenverarbeitung in den Fällen
der Nummer 2 die Interessen der betroffenen Person überwiegen.
(2) In den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung
der Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der
Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher
Personen können dazu insbesondere gehören:
209
1. technisch organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU) 2016/679 erfolgt,
2. Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind,
3. Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. Benennung einer oder eines Datenschutzbeauftragten,
5. Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle und von Auftragsverarbeitern,
6. Pseudonymisierung personenbezogener Daten,
7. Verschlüsselung personenbezogener Daten,
8. Sicherstellung der Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
9. zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
10. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzes sowie der Verordnung (EU) 2016/679 sicherstellen.
§ 23
Verarbeitung zu anderen Zwecken durch öffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
3. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist,
4. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im
210 BfDI – Info 6
Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich
ist,
5. sie zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen
Person erforderlich ist oder
6. sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung
oder der Durchführung von Organisationsuntersuchungen des Verantwortlichen
dient; dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken
durch den Verantwortlichen, soweit schutzwürdige Interessen der
betroffenen Person dem nicht entgegenstehen.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels
9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu
dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und
ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach
§ 22 vorliegen.
§ 24
Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
(1) Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen,
zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur
Verfolgung von Straftaten erforderlich ist oder
2. sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche
erforderlich ist,
sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung
überwiegen.
(2) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels
9 Absatz 1 der Verordnung (EU) 2016/679 zu einem anderen Zweck als zu demjenigen, zu
dem die Daten erhoben wurden, ist zulässig, wenn die Voraussetzungen des Absatzes 1 und
ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach
§ 22 vorliegen.
§ 25
Datenübermittlungen durch öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an öffentliche Stellen
ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle
oder des Dritten, an den die Daten übermittelt werden, liegenden Aufgaben erforderlich
ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden. 
211
Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist unter den Voraussetzungen des § 23 zulässig.
(2) Die Übermittlung personenbezogener Daten durch öffentliche Stellen an nichtöffentliche Stellen ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Verarbeitung nach § 23 zulassen würden,
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat oder
3. es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist
und der Dritte sich gegenüber der übermittelnden öffentlichen Stelle verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Eine Verarbeitung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Satz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.
(3) Die Übermittlung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 ist zulässig, wenn die Voraussetzungen des Absatzes 1 oder 2 und ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen.
Abschnitt 2
Besondere Verarbeitungssituationen
§ 26
Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verar212
BfDI – Info 6
beitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht
unverhältnismäßig sind.
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage
einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere
die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person
sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher
oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person
gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit
nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat
die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht
nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
(3) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer
Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur
Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem
Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der
Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss
der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung
besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei
ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.
(4) Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener
Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist
auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner
Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
(5) Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere
die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die
Verarbeitung personenbezogener Daten eingehalten werden.
(6) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
(7) Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich
besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden,
ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(8) Beschäftigte im Sinne dieses Gesetzes sind:
213
1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
2. zu ihrer Berufsbildung Beschäftigte,
3. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
5. Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
6. Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
7. Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.
§ 27
Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und
zu statistischen Zwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 auch ohne Einwilligung für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zulässig, wenn die Verarbeitung zu diesen Zwecken erforderlich ist und die Interessen des Verantwortlichen an der Verarbeitung die Interessen der betroffenen Person an einem Ausschluss der Verarbeitung erheblich überwiegen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
(2) Die in den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 vorgesehenen Rechte der betroffenen Person sind insoweit beschränkt, als diese Rechte voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich machen oder ernsthaft beinträchtigen und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Das Recht auf Auskunft gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht darüber hinaus nicht, wenn die Daten für Zwecke der wissenschaftlichen Forschung erforderlich sind und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen sind zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitete besondere
214 BfDI – Info 6
Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU)
2016/679 zu anonymisieren, sobald dies nach dem Forschungs- oder Statistikzweck möglich
ist, es sei denn, berechtigte Interessen der betroffenen Person stehen dem entgegen. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche
oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet
werden können. Sie dürfen mit den Einzelangaben nur zusammengeführt werden,
soweit der Forschungs- oder Statistikzweck dies erfordert.
(4) Der Verantwortliche darf personenbezogene Daten nur veröffentlichen, wenn die betroffene
Person eingewilligt hat oder dies für die Darstellung von Forschungsergebnissen über
Ereignisse der Zeitgeschichte unerlässlich ist.
§ 28
Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer
Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung
(EU) 2016/679 zulässig, wenn sie für im öffentlichen Interesse liegende Archivzwecke
erforderlich ist. Der Verantwortliche sieht angemessene und spezifische Maßnahmen
zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
(2) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU)
2016/679 besteht nicht, wenn das Archivgut nicht durch den Namen der Person erschlossen
ist oder keine Angaben gemacht werden, die das Auffinden des betreffenden Archivguts
mit vertretbarem Verwaltungsaufwand ermöglichen.
(3) Das Recht auf Berichtigung der betroffenen Person gemäß Artikel 16 der Verordnung (EU)
2016/679 besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im öffentlichen
Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen
Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das
zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.
(4) Die in Artikel 18 Absatz 1 Buchstabe a, b und d, den Artikeln 20 und 21 der Verordnung (EU)
2016/679 vorgesehenen Rechte bestehen nicht, soweit diese Rechte voraussichtlich die
Verwirklichung der im öffentlichen Interesse liegenden Archivzwecke unmöglich machen
oder ernsthaft beeinträchtigen und die Ausnahmen für die Erfüllung dieser Zwecke erforderlich
sind.
215
§ 29
Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse
im Fall von Geheimhaltungspflichten
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die Pflicht zur Benachrichtigung gemäß Artikel 34 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach Artikel 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen.
(2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Berufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt.
(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde.
§ 30
Verbraucherkredite
(1) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung er216
BfDI – Info 6
hebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen
Mitgliedstaaten der Europäischen Union genauso zu behandeln wie Auskunftsverlangen
inländischer Darlehensgeber.
(29 Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche
Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im
Sinne des Absatzes 1 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die
erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt, soweit hierdurch die
öffentliche Sicherheit oder Ordnung gefährdet würde. § 37 bleibt unberührt.
§ 31
Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten
einer natürlichen Person zum Zweck der Entscheidung über die Begründung,
Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist
nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung
eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens
nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten
Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten
genutzt wurden und
4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung
des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet
worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die
Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung
von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen
nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die
trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt
worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung
vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin
bestritten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
217
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.
Kapitel 2
Rechte der betroffenen Person
§ 32
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 13 Absatz 4 der Verordnung (EU) 2016/679 genannten Ausnahme dann nicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung
1. eine Weiterverarbeitung analog gespeicherter Daten betrifft, bei der sich der Verantwortliche durch die Weiterverarbeitung unmittelbar an die betroffene Person wendet, der Zweck mit dem ursprünglichen Erhebungszweck gemäß der Verordnung (EU) 2016/679 vereinbar ist, die Kommunikation mit der betroffenen Person nicht in digitaler Form erfolgt und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere mit Blick auf den Zusammenhang, in dem die Daten erhoben wurden, als gering anzusehen ist,
2. im Fall einer öffentlichen Stelle die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis e der Verordnung (EU) 2016/679 gefährden würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
3. die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen,
218 BfDI – Info 6
4. die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigen
würde und die Interessen des Verantwortlichen an der Nichterteilung
der Information die Interessen der betroffenen Person überwiegen oder
5. eine vertrauliche Übermittlung von Daten an öffentliche Stellen gefährden würde.
(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift
der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der
betroffenen Person, einschließlich der Bereitstellung der in Artikel 13 Absatz 1 und 2 der
Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser,
transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen
Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information
abgesehen hat. Die Sätze 1 und 2 finden in den Fällen des Absatzes 1 Nummer 4 und
5 keine Anwendung.
(3) Unterbleibt die Benachrichtigung in den Fällen des Absatzes 1 wegen eines vorübergehenden
Hinderungsgrundes, kommt der Verantwortliche der Informationspflicht unter
Berücksichtigung der spezifischen Umstände der Verarbeitung innerhalb einer angemessenen
Frist nach Fortfall des Hinderungsgrundes, spätestens jedoch innerhalb von zwei
Wochen, nach.
§ 33
Informationspflicht, wenn die personenbezogenen Daten nicht bei der
betroffenen Person erhoben wurden
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1, 2 und 4 der
Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Absatz 5 der Verordnung
(EU) 2016/679 und der in § 29 Absatz 1 Satz 1 genannten Ausnahme nicht, wenn die Erteilung
der Information
1. im Fall einer öffentlichen Stelle
a) die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen
liegenden Aufgaben im Sinne des Artikels 23 Absatz 1 Buchstabe a bis
e der Verordnung (EU) 2016/679 gefährden würde oder
b) die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl
des Bundes oder eines Landes Nachteile bereiten würde
und deswegen das Interesse der betroffenen Person an der Informationserteilung
zurücktreten muss,
2. im Fall einer nichtöffentlichen Stelle
a) die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche
beeinträchtigen würde oder die Verarbeitung Daten aus zivilrechtlichen
Verträgen beinhaltet und der Verhütung von Schäden durch
219
Straftaten dient, sofern nicht das berechtigte Interesse der betroffenen Person an der Informationserteilung überwiegt, oder
b) die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde; im Fall der Datenverarbeitung für Zwecke der Strafverfolgung bedarf es keiner Feststellung nach dem ersten Halbsatz.
(2) Unterbleibt eine Information der betroffenen Person nach Maßgabe des Absatzes 1, ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung der in Artikel 14 Absatz 1 und 2 der Verordnung (EU) 2016/679 genannten Informationen für die Öffentlichkeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache. Der Verantwortliche hält schriftlich fest, aus welchen Gründen er von einer Information abgesehen hat.
(3) Bezieht sich die Informationserteilung auf die Übermittlung personenbezogener Daten durch öffentliche Stellen an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
§ 34
Auskunftsrecht der betroffenen Person
(1) Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen nicht, wenn
1. die betroffene Person nach § 33 Absatz 1 Nummer 1, 2 Buchstabe b oder Absatz 3 nicht zu informieren ist, oder
2. die Daten
a) nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder
b) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
220 BfDI – Info 6
(2) Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung
ist gegenüber der betroffenen Person zu begründen, soweit nicht durch
die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt
wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. Die zum
Zweck der Auskunftserteilung an die betroffene Person und zu deren Vorbereitung gespeicherten
Daten dürfen nur für diesen Zweck sowie für Zwecke der Datenschutzkontrolle
verarbeitet werden; für andere Zwecke ist die Verarbeitung nach Maßgabe des Artikels 18
der Verordnung (EU) 2016/679 einzuschränken.
(3) Wird der betroffenen Person durch eine öffentliche Stelle des Bundes keine Auskunft erteilt,
so ist sie auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht
die jeweils zuständige oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit
des Bundes oder eines Landes gefährdet würde. Die Mitteilung der oder des Bundesbeauftragten
an die betroffene Person über das Ergebnis der datenschutzrechtlichen
Prüfung darf keine Rückschlüsse auf den Erkenntnisstand des Verantwortlichen zulassen,
sofern dieser nicht einer weitergehenden Auskunft zustimmt.
(4) Das Recht der betroffenen Person auf Auskunft über personenbezogene Daten, die durch
eine öffentliche Stelle weder automatisiert verarbeitet noch nicht automatisiert verarbeitet
und in einem Dateisystem gespeichert werden, besteht nur, soweit die betroffene Person
Angaben macht, die das Auffinden der Daten ermöglichen, und der für die Erteilung
der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen
Person geltend gemachten Informationsinteresse steht.
§ 35
Recht auf Löschung
(1) Ist eine Löschung im Fall nicht automatisierter Datenverarbeitung wegen der besonderen
Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und
ist das Interesse der betroffenen Person an der Löschung als gering anzusehen, besteht das
Recht der betroffenen Person auf und die Pflicht des Verantwortlichen zur Löschung personenbezogener
Daten gemäß Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ergänzend
zu den in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung gemäß
Artikel 18 der Verordnung (EU) 2016/679. Die Sätze 1 und 2 finden keine Anwendung, wenn
die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
(2) Ergänzend zu Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 gilt Absatz
1 Satz 1 und 2 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a und d der Verordnung
(EU) 2016/679, solange und soweit der Verantwortliche Grund zu der Annahme
hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beein221
trächtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, sofern sich die Unterrichtung nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.
(3) Ergänzend zu Artikel 17 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 gilt Absatz 1 entsprechend im Fall des Artikels 17 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen.
§ 36
Widerspruchsrecht
Das Recht auf Widerspruch gemäß Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.
§ 37
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
(1) Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und
1. dem Begehren der betroffenen Person stattgegeben wurde oder
2. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt; der Verantwortliche informiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.
(2) Entscheidungen nach Absatz 1 dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 beruhen. Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
222 BfDI – Info 6
Kapitel 3
Pflichten der V erantwortlichen und A uftragsverarbeiter
§ 38
Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen
der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder
einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig
mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen
der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-
Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen,
oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die
Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.
§ 39
Akkreditierung
Die Erteilung der Befugnis, als Zertifizierungsstelle gemäß Artikel 43 Absatz 1 Satz 1 der Verordnung
(EU) 2016/679 tätig zu werden, erfolgt durch die für die datenschutzrechtliche Aufsicht über
die Zertifizierungsstelle zuständige Aufsichtsbehörde des Bundes oder der Länder auf der Grundlage
einer Akkreditierung durch die Deutsche Akkreditierungsstelle. § 2 Absatz 3 Satz 2, § 4 Absatz 3
und § 10 Absatz 1 Satz 1 Nummer 3 des Akkreditierungsstellengesetzes finden mit der Maßgabe Anwendung,
dass der Datenschutz als ein dem Anwendungsbereich des § 1 Absatz 2 Satz 2 unterfallender
Bereich gilt.
Kapitel 4
Aufsichtsbehörde für die Daten verarbeitung durch nichtöffentliche Stellen
§ 40
Aufsichtsbehörden der Länder
(1) Die nach Landesrecht zuständigen Behörden überwachen im Anwendungsbereich der
Verordnung (EU) 2016/679 bei den nichtöffentlichen Stellen die Anwendung der Vorschriften
über den Datenschutz.
223
(2) Hat der Verantwortliche oder Auftragsverarbeiter mehrere inländische Niederlassungen, findet für die Bestimmung der zuständigen Aufsichtsbehörde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechende Anwendung. Wenn sich mehrere Behörden für zuständig oder für unzuständig halten oder wenn die Zuständigkeit aus anderen Gründen zweifelhaft ist, treffen die Aufsichtsbehörden die Entscheidung gemeinsam nach Maßgabe des § 18 Absatz 2. § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.
(3) Die Aufsichtsbehörde darf die von ihr gespeicherten Daten nur für Zwecke der Aufsicht verarbeiten; hierbei darf sie Daten an andere Aufsichtsbehörden übermitteln. Eine Verarbeitung zu einem anderen Zweck ist über Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 hinaus zulässig, wenn
1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
2. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist oder
3. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist.
Stellt die Aufsichtsbehörde einen Verstoß gegen die Vorschriften über den Datenschutz fest, so ist sie befugt, die betroffenen Personen hierüber zu unterrichten, den Verstoß anderen für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten. § 13 Absatz 4 Satz 4 bis 7 gilt entsprechend.
(4) Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen.
(5) Die von einer Aufsichtsbehörde mit der Überwachung der Einhaltung der Vorschriften über den Datenschutz beauftragten Personen sind befugt, zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverar224
BfDI – Info 6
beitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet. § 16 Absatz 4 gilt entsprechend.
(6) Die Aufsichtsbehörden beraten und unterstützen die Datenschutzbeauftragten mit Rücksicht
auf deren typische Bedürfnisse. Sie können die Abberufung der oder des Datenschutzbeauftragten
verlangen, wenn sie oder er die zur Erfüllung ihrer oder seiner Aufgaben erforderliche
Fachkunde nicht besitzt oder im Fall des Artikels 38 Absatz 6 der Verordnung
(EU) 2016/679 ein schwerwiegender Interessenkonflikt vorliegt.
(7) Die Anwendung der Gewerbeordnung bleibt unberührt.
Kapitel 5
Sanktionen
§ 41
Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
(1) Für Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679 gelten, soweit
dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten
sinngemäß. Die §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden
keine Anwendung. § 68 des Gesetzes über Ordnungswidrigkeiten findet mit der Maßgabe
Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag
von einhunderttausend Euro übersteigt.
(2) Für Verfahren wegen eines Verstoßes nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU)
2016/679 gelten, soweit dieses Gesetz nichts anderes bestimmt, die Vorschriften des Gesetzes
über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren,
namentlich der Strafprozessordnung und des Gerichtsverfassungsgesetzes, entsprechend. Die §§ 56 bis 58, 87, 88, 99 und 100 des Gesetzes über Ordnungswidrigkeiten finden keine
Anwendung. § 69 Absatz 4 Satz 2 des Gesetzes über Ordnungswidrigkeiten findet mit der
Maßgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der
Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.
§ 42
Strafvorschriften
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich
nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen,
ohne hierzu berechtigt zu sein,
1. einem Dritten übermittelt oder
2. auf andere Art und Weise zugänglich macht
und hierbei gewerbsmäßig handelt.
225
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,
1. ohne hierzu berechtigt zu sein, verarbeitet oder
2. durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
(3) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
§ 43
Bußgeldvorschriften
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. entgegen § 30 Absatz 1 ein Auskunftsverlangen nicht richtig behandelt oder
2. entgegen § 30 Absatz 2 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.
(4) Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
226 BfDI – Info 6
Kapitel 6
Rechtsbehelfe
§ 44
Klagen gegen den Verantwortlichen oder Auftragsverarbeiter
(1) Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter
wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich
der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen
Person können bei dem Gericht des Ortes erhoben werden, an dem sich eine Niederlassung
des Verantwortlichen oder Auftragsverarbeiters befindet. Klagen nach Satz 1 können
auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren
gewöhnlichen Aufenthaltsort hat.
(2) Absatz 1 gilt nicht für Klagen gegen Behörden, die in Ausübung ihrer hoheitlichen Befugnisse
tätig geworden sind.
(3) Hat der Verantwortliche oder Auftragsverarbeiter einen Vertreter nach Artikel 27 Absatz 1
der Verordnung (EU) 2016/679 benannt, gilt dieser auch als bevollmächtigt, Zustellungen
in zivilgerichtlichen Verfahren nach Absatz 1 entgegenzunehmen. § 184 der Zivilprozessordnung
bleibt unberührt.
Teil 3
Bestimmungen für V erarbeitungen zu Zwecken gemäß
Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680
Kapitel 1
Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze
für die V erarbeitung personenbezogener Daten
§ 45
Anwendungsbereich
Die Vorschriften dieses Teils gelten für die Verarbeitung personenbezogener Daten durch die
für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten
zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung
dieser Aufgaben verarbeiten. Die öffentlichen Stellen gelten dabei als Verantwortliche. Die Verhütung
von Straftaten im Sinne des Satzes 1 umfasst den Schutz vor und die Abwehr von Gefahren für
die öffentliche Sicherheit. Die Sätze 1 und 2 finden zudem Anwendung auf diejenigen öffentlichen
Stellen, die für die Vollstreckung von Strafen, von Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8
227
des Strafgesetzbuchs, von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes und von Geldbußen zuständig sind. Soweit dieser Teil Vorschriften für Auftragsverarbeiter enthält, gilt er auch für diese.
§ 46
Begriffsbestimmungen
Es bezeichnen die Begriffe:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, bei der diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, der Aufenthaltsorte oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, in der die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die Daten keiner betroffenen Person zugewiesen werden können;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;
228 BfDI – Info 6
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich
bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder anderen Rechtsvorschriften personenbezogene
Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser
Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften
gemäß den Zwecken der Verarbeitung;
10. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die
zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung
oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen
Daten geführt hat, die verarbeitet wurden;
11. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen
Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie
oder die Gesundheit dieser Person liefern, insbesondere solche, die aus der Analyse
einer biologischen Probe der Person gewonnen wurden;
12. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene
Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer
natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen
oder bestätigen, insbesondere Gesichtsbilder oder daktyloskopische Daten;
13. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige
Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen,
beziehen und aus denen Informationen über deren Gesundheitszustand
hervorgehen;
14. „besondere Kategorien personenbezogener Daten“
a) Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen,
religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen,
b) genetische Daten,
c) biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
d) Gesundheitsdaten und
e) Daten zum Sexualleben oder zur sexuellen Orientierung;
15. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 41 der Richtlinie (EU)
2016/680 eingerichtete unabhängige staatliche Stelle;
16. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten
Stellen sowie jede sonstige Einrichtung, die durch eine von zwei oder mehr Staaten geschlossene
Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen
wurde;
229
17. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
§ 47
Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
Personenbezogene Daten müssen
1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,
2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,
3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,
4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,
5. nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und
6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Kapitel 2
Rechtsgrundlagen der Verarbeitung personenbezogener Daten
§ 48
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.
(2) Werden besondere Kategorien personenbezogener Daten verarbeitet, sind geeignete Garantien für die Rechtsgüter der betroffenen Personen vorzusehen. Geeignete Garantien können insbesondere sein
1. spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
2. die Festlegung von besonderen Aussonderungsprüffristen,
230 BfDI – Info 6
3. die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
4. die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen
Stelle,
5. die von anderen Daten getrennte Verarbeitung,
6. die Pseudonymisierung personenbezogener Daten,
7. die Verschlüsselung personenbezogener Daten oder
8. spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für
andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.
§ 49
Verarbeitung zu anderen Zwecken
Eine Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem
sie erhoben wurden, ist zulässig, wenn es sich bei dem anderen Zweck um einen der in § 45 genannten
Zwecke handelt, der Verantwortliche befugt ist, Daten zu diesem Zweck zu verarbeiten, und die
Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig ist. Die Verarbeitung personenbezogener
Daten zu einem anderen, in § 45 nicht genannten Zweck ist zulässig, wenn sie in einer
Rechtsvorschrift vorgesehen ist.
§ 50
Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
Personenbezogene Daten dürfen im Rahmen der in § 45 genannten Zwecke in archivarischer, wissenschaftlicher
oder statistischer Form verarbeitet werden, wenn hieran ein öffentliches Interesse
besteht und geeignete Garantien für die Rechtsgüter der betroffenen Personen vorgesehen werden. Solche
Garantien können in einer so zeitnah wie möglich erfolgenden Anonymisierung der
personenbezogenen Daten, in Vorkehrungen gegen ihre unbefugte Kenntnisnahme durch Dritte
oder in ihrer räumlich und organisatorisch von den sonstigen Fachaufgaben getrennten Verarbeitung
bestehen.
§ 51
Einwilligung
(1) Soweit die Verarbeitung personenbezogener Daten nach einer Rechtsvorschrift auf der
Grundlage einer Einwilligung erfolgen kann, muss der Verantwortliche die Einwilligung
der betroffenen Person nachweisen können.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch
andere Sachverhalte betrifft, muss das Ersuchen um Einwilligung in verständlicher und
leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von
den anderen Sachverhalten klar zu unterscheiden ist.
231
(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person ist vor Abgabe der Einwilligung hiervon in Kenntnis zu setzen.
(4) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, müssen die Umstände der Erteilung berücksichtigt werden. Die betroffene Person ist auf den vorgesehenen Zweck der Verarbeitung hinzuweisen. Ist dies nach den Umständen des Einzelfalles erforderlich oder verlangt die betroffene Person dies, ist sie auch über die Folgen der Verweigerung der Einwilligung zu belehren.
(5) Soweit besondere Kategorien personenbezogener Daten verarbeitet werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen.
§ 52
Verarbeitung auf Weisung des Verantwortlichen
Jede einem Verantwortlichen oder einem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach einer Rechtsvorschrift zur Verarbeitung verpflichtet ist.
§ 53
Datengeheimnis
Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.
§ 54
Automatisierte Einzelentscheidung
(1) Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung, die mit einer nachteiligen Rechtsfolge für die betroffene Person verbunden ist oder sie erheblich beeinträchtigt, ist nur zulässig, wenn sie in einer Rechtsvorschrift vorgesehen ist.
(2) Entscheidungen nach Absatz 1 dürfen nicht auf besonderen Kategorien personenbezogener Daten beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechtsgüter sowie der berechtigten Interessen der betroffenen Personen getroffen wurden.
(3) Profiling, das zur Folge hat, dass betroffene Personen auf der Grundlage von besonderen Kategorien personenbezogener Daten diskriminiert werden, ist verboten.
232 BfDI – Info 6
Kapitel 3
Rechte der betroffenen Person
§ 55
Allgemeine Informationen zu Datenverarbeitungen
Der Verantwortliche hat in allgemeiner Form und für jedermann zugänglich Informationen zur
Verfügung zu stellen über
1. die Zwecke der von ihm vorgenommenen Verarbeitungen,
2. die im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten bestehenden Rechte
der betroffenen Personen auf Auskunft, Berichtigung, Löschung und Einschränkung der
Verarbeitung,
3. den Namen und die Kontaktdaten des Verantwortlichen und der oder des Datenschutzbeauftragten,
4. das Recht, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, und
5. die Erreichbarkeit der oder des Bundesbeauftragten.
§ 56
Benachrichtigung betroffener Personen
(1) Ist die Benachrichtigung betroffener Personen über die Verarbeitung sie betreffender
personenbezogener Daten in speziellen Rechtsvorschriften, insbesondere bei verdeckten
Maßnahmen, vorgesehen oder angeordnet, so hat diese Benachrichtigung zumindest die
folgenden Angaben zu enthalten:
1. die in § 55 genannten Angaben,
2. die Rechtsgrundlage der Verarbeitung,
3. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien
für die Festlegung dieser Dauer,
4. gegebenenfalls die Kategorien von Empfängern der personenbezogenen Daten
sowie
5. erforderlichenfalls weitere Informationen, insbesondere, wenn die personenbezogenen
Daten ohne Wissen der betroffenen Person erhoben wurden.
(2) In den Fällen des Absatzes 1 kann der Verantwortliche die Benachrichtigung insoweit und
solange aufschieben, einschränken oder unterlassen, wie andernfalls
1. die Erfüllung der in § 45 genannten Aufgaben,
2. die öffentliche Sicherheit oder
3. Rechtsgüter Dritter
gefährdet würden, wenn das Interesse an der Vermeidung dieser Gefahren das Informationsinteresse
der betroffenen Person überwiegt.
233
(3) Bezieht sich die Benachrichtigung auf die Übermittlung personenbezogener Daten an Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(4) Im Fall der Einschränkung nach Absatz 2 gilt § 57 Absatz 7 entsprechend.
§ 57
Auskunftsrecht
(1) Der Verantwortliche hat betroffenen Personen auf Antrag Auskunft darüber zu erteilen, ob er sie betreffende Daten verarbeitet. Betroffene Personen haben darüber hinaus das Recht, Informationen zu erhalten über
1. die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, und die Kategorie, zu der sie gehören,
2. die verfügbaren Informationen über die Herkunft der Daten,
3. die Zwecke der Verarbeitung und deren Rechtsgrundlage,
4. die Empfänger oder die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind, insbesondere bei Empfängern in Drittstaaten oder bei internationalen Organisationen,
5. die für die Daten geltende Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
6. das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung der Daten durch den Verantwortlichen,
7. das Recht nach § 60, die Bundesbeauftragte oder den Bundesbeauftragten anzurufen, sowie
8. Angaben zur Erreichbarkeit der oder des Bundesbeauftragten.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb verarbeitet werden, weil sie aufgrund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder die ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, wenn die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde und eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist.
(3) Von der Auskunftserteilung ist abzusehen, wenn die betroffene Person keine Angaben macht, die das Auffinden der Daten ermöglichen, und deshalb der für die Erteilung der Auskunft erforderliche Aufwand außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse steht.
234 BfDI – Info 6
(4) Der Verantwortliche kann unter den Voraussetzungen des § 56 Absatz 2 von der Auskunft
nach Absatz 1 Satz 1 absehen oder die Auskunftserteilung nach Absatz 1 Satz 2 teilweise oder
vollständig einschränken.
(5) Bezieht sich die Auskunftserteilung auf die Übermittlung personenbezogener Daten an
Verfassungsschutzbehörden, den Bundesnachrichtendienst, den Militärischen Abschirmdienst
und, soweit die Sicherheit des Bundes berührt wird, andere Behörden des Bundesministeriums
der Verteidigung, ist sie nur mit Zustimmung dieser Stellen zulässig.
(6) Der Verantwortliche hat die betroffene Person über das Absehen von oder die Einschränkung
einer Auskunft unverzüglich schriftlich zu unterrichten. Dies gilt nicht, wenn bereits
die Erteilung dieser Informationen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich
bringen würde. Die Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung
der Gründe den mit dem Absehen von oder der Einschränkung der Auskunft verfolgten
Zweck gefährden würde.
(7) Wird die betroffene Person nach Absatz 6 über das Absehen von oder die Einschränkung
der Auskunft unterrichtet, kann sie ihr Auskunftsrecht auch über die Bundesbeauftragte
oder den Bundesbeauftragten ausüben. Der Verantwortliche hat die betroffene Person
über diese Möglichkeit sowie darüber zu unterrichten, dass sie gemäß § 60 die Bundesbeauftragte
oder den Bundesbeauftragten anrufen oder gerichtlichen Rechtsschutz suchen
kann. Macht die betroffene Person von ihrem Recht nach Satz 1 Gebrauch, ist die Auskunft
auf ihr Verlangen der oder dem Bundesbeauftragten zu erteilen, soweit nicht die zuständige
oberste Bundesbehörde im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes
oder eines Landes gefährdet würde. Die oder der Bundesbeauftragte hat die betroffene
Person zumindest darüber zu unterrichten, dass alle erforderlichen Prüfungen erfolgt sind
oder eine Überprüfung durch sie stattgefunden hat. Diese Mitteilung kann die Information
enthalten, ob datenschutzrechtliche Verstöße festgestellt wurden. Die Mitteilung der
oder des Bundesbeauftragten an die betroffene Person darf keine Rückschlüsse auf den
Erkenntnisstand des Verantwortlichen zulassen, sofern dieser keiner weitergehenden
Auskunft zustimmt. Der Verantwortliche darf die Zustimmung nur insoweit und solange
verweigern, wie er nach Absatz 4 von einer Auskunft absehen oder sie einschränken könnte. Die
oder der Bundesbeauftragte hat zudem die betroffene Person über ihr Recht auf gerichtlichen
Rechtsschutz zu unterrichten.
(8) Der Verantwortliche hat die sachlichen oder rechtlichen Gründe für die Entscheidung zu
dokumentieren.
235
§ 58
Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. Insbesondere im Fall von Aussagen oder Beurteilungen betrifft die Frage der Richtigkeit nicht den Inhalt der Aussage oder Beurteilung. Wenn die Richtigkeit oder Unrichtigkeit der Daten nicht festgestellt werden kann, tritt an die Stelle der Berichtigung eine Einschränkung der Verarbeitung. In diesem Fall hat der Verantwortliche die betroffene Person zu unterrichten, bevor er die Einschränkung wieder aufhebt. Die betroffene Person kann zudem die Vervollständigung unvollständiger personenbezogener Daten verlangen, wenn dies unter Berücksichtigung der Verarbeitungszwecke angemessen ist.
(2) Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Löschung sie betreffender Daten zu verlangen, wenn deren Verarbeitung unzulässig ist, deren Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich ist oder diese zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen.
(3) Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
1. Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer betroffenen Person beeinträchtigen würde,
2. die Daten zu Beweiszwecken in Verfahren, die Zwecken des § 45 dienen, weiter aufbewahrt werden müssen oder
3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.
In ihrer Verarbeitung nach Satz 1 eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.
(4) Bei automatisierten Dateisystemen ist technisch sicherzustellen, dass eine Einschränkung der Verarbeitung eindeutig erkennbar ist und eine Verarbeitung für andere Zwecke nicht ohne weitere Prüfung möglich ist.
(5) Hat der Verantwortliche eine Berichtigung vorgenommen, hat er einer Stelle, die ihm die personenbezogenen Daten zuvor übermittelt hat, die Berichtigung mitzuteilen. In Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1 bis 3 hat der Verantwortliche Empfängern, denen die Daten übermittelt wurden, diese Maßnahmen mitzuteilen. Der Empfänger hat die Daten zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.
236 BfDI – Info 6
(6) Der Verantwortliche hat die betroffene Person über ein Absehen von der Berichtigung oder
Löschung personenbezogener Daten oder über die an deren Stelle tretende Einschränkung
der Verarbeitung schriftlich zu unterrichten. Dies gilt nicht, wenn bereits die Erteilung dieser
Informationen eine Gefährdung im Sinne des § 56 Absatz 2 mit sich bringen würde. Die
Unterrichtung nach Satz 1 ist zu begründen, es sei denn, dass die Mitteilung der Gründe
den mit dem Absehen von der Unterrichtung verfolgten Zweck gefährden würde.
(7) § 57 Absatz 7 und 8 findet entsprechende Anwendung.
§ 59
Verfahren für die Ausübung der Rechte der betroffenen Person
(1) Der Verantwortliche hat mit betroffenen Personen unter Verwendung einer klaren und
einfachen Sprache in präziser, verständlicher und leicht zugänglicher Form zu kommunizieren. Unbeschadet
besonderer Formvorschriften soll er bei der Beantwortung von Anträgen
grundsätzlich die für den Antrag gewählte Form verwenden.
(2) Bei Anträgen hat der Verantwortliche die betroffene Person unbeschadet des § 57 Absatz 6
und des § 58 Absatz 6 unverzüglich schriftlich darüber in Kenntnis zu setzen, wie verfahren
wurde.
(3) Die Erteilung von Informationen nach § 55, die Benachrichtigungen nach den §§ 56 und
66 und die Bearbeitung von Anträgen nach den §§ 57 und 58 erfolgen unentgeltlich. Bei
offenkundig unbegründeten oder exzessiven Anträgen nach den §§ 57 und 58 kann der
Verantwortliche entweder eine angemessene Gebühr auf der Grundlage der Verwaltungskosten
verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. In diesem Fall
muss der Verantwortliche den offenkundig unbegründeten oder exzessiven Charakter des
Antrags belegen können.
(4) Hat der Verantwortliche begründete Zweifel an der Identität einer betroffenen Person, die
einen Antrag nach den §§ 57 oder 58 gestellt hat, kann er von ihr zusätzliche Informationen
anfordern, die zur Bestätigung ihrer Identität erforderlich sind.
§ 60
Anrufung der oder des Bundesbeauftragten
(1) Jede betroffene Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde
an die Bundesbeauftragte oder den Bundesbeauftragten wenden, wenn sie der
Auffassung ist, bei der Verarbeitung ihrer personenbezogenen Daten durch öffentliche
Stellen zu den in § 45 genannten Zwecken in ihren Rechten verletzt worden zu sein. Dies
gilt nicht für die Verarbeitung von personenbezogenen Daten durch Gerichte, soweit diese
237
die Daten im Rahmen ihrer justiziellen Tätigkeit verarbeitet haben. Die oder der Bundesbeauftragte hat die betroffene Person über den Stand und das Ergebnis der Beschwerde zu unterrichten und sie hierbei auf die Möglichkeit gerichtlichen Rechtsschutzes nach § 61 hinzuweisen.
(2) Die oder der Bundesbeauftragte hat eine bei ihr oder ihm eingelegte Beschwerde über eine Verarbeitung, die in die Zuständigkeit einer Aufsichtsbehörde in einem anderen Mitgliedstaat der Europäischen Union fällt, unverzüglich an die zuständige Aufsichtsbehörde des anderen Staates weiterzuleiten. Sie oder er hat in diesem Fall die betroffene Person über die Weiterleitung zu unterrichten und ihr auf deren Ersuchen weitere Unterstützung zu leisten.
§ 61
Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten
oder bei deren oder dessen Untätigkeit
(1) Jede natürliche oder juristische Person kann unbeschadet anderer Rechtsbehelfe gerichtlich gegen eine verbindliche Entscheidung der oder des Bundesbeauftragten vorgehen.
(2) Absatz 1 gilt entsprechend zugunsten betroffener Personen, wenn sich die oder der Bundesbeauftragte mit einer Beschwerde nach § 60 nicht befasst oder die betroffene Person nicht innerhalb von drei Monaten nach Einlegung der Beschwerde über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.
Kapitel 4
Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 62
Auftragsverarbeitung
(1) Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.
(2) Ein Verantwortlicher darf nur solche Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.
238 BfDI – Info 6
(3) Auftragsverarbeiter dürfen ohne vorherige schriftliche Genehmigung des Verantwortlichen
keine weiteren Auftragsverarbeiter hinzuziehen. Hat der Verantwortliche dem Auftragsverarbeiter
eine allgemeine Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter
erteilt, hat der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte
Hinzuziehung oder Ersetzung zu informieren. Der Verantwortliche kann in diesem Fall die
Hinzuziehung oder Ersetzung untersagen.
(4) Zieht ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter hinzu, so hat er diesem
dieselben Verpflichtungen aus seinem Vertrag mit dem Verantwortlichen nach Absatz 5
aufzuerlegen, die auch für ihn gelten, soweit diese Pflichten für den weiteren Auftragsverarbeiter
nicht schon aufgrund anderer Vorschriften verbindlich sind. Erfüllt ein weiterer
Auftragsverarbeiter diese Verpflichtungen nicht, so haftet der ihn beauftragende Auftragsverarbeiter
gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des
weiteren Auftragsverarbeiters.
(5) Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags
oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter
an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art
und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt. Der
Vertrag oder das andere Rechtsinstrument haben insbesondere vorzusehen, dass der Auftragsverarbeiter
1. nur auf dokumentierte Weisung des Verantwortlichen handelt; ist der Auftragsverarbeiter
der Auffassung, dass eine Weisung rechtswidrig ist, hat er den Verantwortlichen
unverzüglich zu informieren;
2. gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten
Personen zur Vertraulichkeit verpflichtet werden, soweit sie keiner angemessenen
gesetzlichen Verschwiegenheitspflicht unterliegen;
3. den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung
der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten;
4. alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
nach Wahl des Verantwortlichen zurückgibt oder löscht und bestehende
Kopien vernichtet, wenn nicht nach einer Rechtsvorschrift eine Verpflichtung
zur Speicherung der Daten besteht;
5. dem Verantwortlichen alle erforderlichen Informationen, insbesondere die gemäß
§ 76 erstellten Protokolle, zum Nachweis der Einhaltung seiner Pflichten zur
Verfügung stellt;
6. Überprüfungen, die von dem Verantwortlichen oder einem von diesem beauftragten
Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;
239
7. die in den Absätzen 3 und 4 aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
8. alle gemäß § 64 erforderlichen Maßnahmen ergreift und
9. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den §§ 64 bis 67 und § 69 genannten Pflichten unterstützt.
(6) Der Vertrag im Sinne des Absatzes 5 ist schriftlich oder elektronisch abzufassen.
(7) Ein Auftragsverarbeiter, der die Zwecke und Mittel der Verarbeitung unter Verstoß gegen diese Vorschrift bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
§ 63
Gemeinsam Verantwortliche
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Gemeinsam Verantwortliche haben ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festzulegen, soweit diese nicht bereits in Rechtsvorschriften festgelegt sind. Aus der Vereinbarung muss insbesondere hervorgehen, wer welchen Informationspflichten nachzukommen hat und wie und gegenüber wem betroffene Personen ihre Rechte wahrnehmen können. Eine entsprechende Vereinbarung hindert die betroffene Person nicht, ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen geltend zu machen.
§ 64
Anforderungen an die Sicherheit der Datenverarbeitung
(1) Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.
(2) Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbe240
BfDI – Info 6
tracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu
führen, dass
1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und
Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden
und
2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei
einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden
können.
(3) Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter
nach einer Risikobewertung Maßnahmen zu ergreifen, die folgendes bezwecken:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung
durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von
Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der
unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen
Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von
Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems
Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten
personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen
personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung
übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche
personenbezogenen Daten zu welcher Zeit und von wem in automatisierte
Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim
Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt
werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden
können (Wiederherstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende
Fehlfunktionen gemeldet werden (Zuverlässigkeit),
241
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Ein Zweck nach Satz 1 Nummer 2 bis 5 kann insbesondere durch die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren erreicht werden.
§ 65
Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
(1) Der Verantwortliche hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie ihm bekannt geworden ist, der oder dem Bundesbeauftragten zu melden, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat. Erfolgt die Meldung an die Bundesbeauftragte oder den Bundesbeauftragten nicht innerhalb von 72 Stunden, so ist die Verzögerung zu begründen.
(2) Ein Auftragsverarbeiter hat eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
(3) Die Meldung nach Absatz 1 hat zumindest folgende Informationen zu enthalten:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, die, soweit möglich, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen, zu den betroffenen Kategorien personenbezogener Daten und zu der ungefähren Anzahl der betroffenen personenbezogenen Datensätze zu enthalten hat,
2. den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Person oder Stelle, die weitere Informationen erteilen kann,
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung und der getroffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(4) Wenn die Informationen nach Absatz 3 nicht zusammen mit der Meldung übermittelt werden können, hat der Verantwortliche sie unverzüglich nachzureichen, sobald sie ihm vorliegen.
242 BfDI – Info 6
(5) Der Verantwortliche hat Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Die
Dokumentation hat alle mit den Vorfällen zusammenhängenden Tatsachen,
deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen.
(6) Soweit von einer Verletzung des Schutzes personenbezogener Daten personenbezogene
Daten betroffen sind, die von einem oder an einen Verantwortlichen in einem anderen
Mitgliedstaat der Europäischen Union übermittelt wurden, sind die in Absatz 3 genannten
Informationen dem dortigen Verantwortlichen unverzüglich zu übermitteln.
(7) § 42 Absatz 4 findet entsprechende Anwendung.
(8) Weitere Pflichten des Verantwortlichen zu Benachrichtigungen über Verletzungen des
Schutzes personenbezogener Daten bleiben unberührt.
§ 66
Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
(1) Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich eine erhebliche
Gefahr für Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche die
betroffenen Personen unverzüglich über den Vorfall zu benachrichtigen.
(2) Die Benachrichtigung nach Absatz 1 hat in klarer und einfacher Sprache die Art der Verletzung
des Schutzes personenbezogener Daten zu beschreiben und zumindest die in § 65
Absatz 3 Nummer 2 bis 4 genannten Informationen und Maßnahmen zu enthalten.
(3) Von der Benachrichtigung nach Absatz 1 kann abgesehen werden, wenn
1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen
getroffen hat und diese Vorkehrungen auf die von der Verletzung des
Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies
gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten
für unbefugte Personen unzugänglich gemacht wurden;
2. der Verantwortliche durch im Anschluss an die Verletzung getroffene Maßnahmen
sichergestellt hat, dass aller Wahrscheinlichkeit nach keine erhebliche Gefahr
im Sinne des Absatzes 1 mehr besteht, oder
3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre; in diesem Fall
hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme
zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert
werden.
(4) Wenn der Verantwortliche die betroffenen Personen über eine Verletzung des Schutzes
personenbezogener Daten nicht benachrichtigt hat, kann die oder der Bundesbeauftragte
243
förmlich feststellen, dass ihrer oder seiner Auffassung nach die in Absatz 3 genannten Voraussetzungen nicht erfüllt sind. Hierbei hat sie oder er die Wahrscheinlichkeit zu berücksichtigen, dass die Verletzung eine erhebliche Gefahr im Sinne des Absatzes 1 zur Folge hat.
(5) Die Benachrichtigung der betroffenen Personen nach Absatz 1 kann unter den in § 56 Absatz 2 genannten Voraussetzungen aufgeschoben, eingeschränkt oder unterlassen werden, soweit nicht die Interessen der betroffenen Person aufgrund der von der Verletzung ausgehenden erheblichen Gefahr im Sinne des Absatzes 1 überwiegen.
(6) § 42 Absatz 4 findet entsprechende Anwendung.
§ 67
Durchführung einer Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
(2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.
(3) Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.
(4) Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
3. eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
4. die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
(5) Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
244 BfDI – Info 6
§ 68
Zusammenarbeit mit der oder dem Bundesbeauftragten
Der Verantwortliche hat mit der oder dem Bundesbeauftragten bei der Erfüllung ihrer oder seiner
Aufgaben zusammenzuarbeiten.
§ 69
Anhörung der oder des Bundesbeauftragten
(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen
die Bundesbeauftragte oder den Bundesbeauftragten anzuhören, wenn
1. aus einer Datenschutz-Folgenabschätzung nach § 67 hervorgeht, dass die Verarbeitung
eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur
Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde,
oder
2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien,
Mechanismen oder Verfahren, eine erhebliche Gefahr für die Rechtsgüter der
betroffenen Personen zur Folge hat.
Die oder der Bundesbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die
der Pflicht zur Anhörung nach Satz 1 unterliegen.
(2) Der oder dem Bundesbeauftragten sind im Fall des Absatzes 1 vorzulegen:
1. die nach § 67 durchgeführte Datenschutz-Folgenabschätzung,
2. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen,
der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten
Auftragsverarbeiter,
3. Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,
4. Angaben zu den zum Schutz der Rechtsgüter der betroffenen Personen vorgesehenen
Maßnahmen und Garantien und
5. Name und Kontaktdaten der oder des Datenschutzbeauftragten.
Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln,
die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die
in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden
Gefahren und die diesbezüglichen Garantien bewerten zu können.
(3) Falls die oder der Bundesbeauftragte der Auffassung ist, dass die geplante Verarbeitung gegen
gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko
nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen
hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter
innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche
Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder
245
der Bundesbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren.
(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 Satz 1 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Bundesbeauftragten im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
§ 70
Verzeichnis von Verarbeitungstätigkeiten
(1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten der oder des Datenschutzbeauftragten,
2. die Zwecke der Verarbeitung,
3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
5. gegebenenfalls die Verwendung von Profiling,
6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
7. Angaben über die Rechtsgrundlage der Verarbeitung,
8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 64.
(2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls der oder des Datenschutzbeauftragten,
246 BfDI – Info 6
2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem
Drittstaat oder an eine internationale Organisation unter Angabe des Staates
oder der Organisation und
3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
gemäß § 64.
(3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu
führen.
(4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse der
oder dem Bundesbeauftragten zur Verfügung zu stellen.
§ 71
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
(1) Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung
als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu
treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datensparsamkeit
wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten
und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den
Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände
und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit
und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der
betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener
Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an
dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder
zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
(2) Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu
treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen
Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen
bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen
Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die
Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen
nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden
können.
247
§ 72
Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
Der Verantwortliche hat bei der Verarbeitung personenbezogener Daten so weit wie möglich zwischen den verschiedenen Kategorien betroffener Personen zu unterscheiden. Dies betrifft insbesondere folgende Kategorien:
1. Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben,
2. Personen, gegen die ein begründeter Verdacht besteht, dass sie in naher Zukunft eine Straftat begehen werden,
3. verurteilte Straftäter,
4. Opfer einer Straftat oder Personen, bei denen bestimmte Tatsachen darauf hindeuten, dass sie Opfer einer Straftat sein könnten, und
5. andere Personen wie insbesondere Zeugen, Hinweisgeber oder Personen, die mit den in den Nummern 1 bis 4 genannten Personen in Kontakt oder Verbindung stehen.
§ 73
Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
Der Verantwortliche hat bei der Verarbeitung so weit wie möglich danach zu unterscheiden, ob personenbezogene Daten auf Tatsachen oder auf persönlichen Einschätzungen beruhen. Zu diesem Zweck soll er, soweit dies im Rahmen der jeweiligen Verarbeitung möglich und angemessen ist, Beurteilungen, die auf persönlichen Einschätzungen beruhen, als solche kenntlich machen. Es muss außerdem feststellbar sein, welche Stelle die Unterlagen führt, die der auf einer persönlichen Einschätzung beruhenden Beurteilung zugrunde liegen.
§ 74
Verfahren bei Übermittlungen
(1) Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden. Zu diesem Zweck hat er, soweit dies mit angemessenem Aufwand möglich ist, die Qualität der Daten vor ihrer Übermittlung oder Bereitstellung zu überprüfen. Bei jeder Übermittlung personenbezogener Daten hat er zudem, soweit dies möglich und angemessen ist, Informationen beizufügen, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen.
(2) Gelten für die Verarbeitung von personenbezogenen Daten besondere Bedingungen, so hat bei Datenübermittlungen die übermittelnde Stelle den Empfänger auf diese Bedingungen und die Pflicht zu ihrer Beachtung hinzuweisen. Die Hinweispflicht kann dadurch erfüllt werden, dass die Daten entsprechend markiert werden.
248 BfDI – Info 6
(3) Die übermittelnde Stelle darf auf Empfänger in anderen Mitgliedstaaten der Europäischen
Union und auf Einrichtungen und sonstige Stellen, die nach den Kapiteln 4 und 5 des Titels
V des Dritten Teils des Vertrags über die Arbeitsweise der Europäischen Union errichtet
wurden, keine Bedingungen anwenden, die nicht auch für entsprechende innerstaatliche
Datenübermittlungen gelten.
§ 75
Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
(1) Der Verantwortliche hat personenbezogene Daten zu berichtigen, wenn sie unrichtig sind.
(2) Der Verantwortliche hat personenbezogene Daten unverzüglich zu löschen, wenn ihre
Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht
werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich
ist.
(3) § 58 Absatz 3 bis 5 ist entsprechend anzuwenden. Sind unrichtige personenbezogene Daten
oder personenbezogene Daten unrechtmäßig übermittelt worden, ist auch dies dem
Empfänger mitzuteilen.
(4) Unbeschadet in Rechtsvorschriften festgesetzter Höchstspeicher- oder Löschfristen hat der
Verantwortliche für die Löschung von personenbezogenen Daten oder eine regelmäßige
Überprüfung der Notwendigkeit ihrer Speicherung angemessene Fristen vorzusehen und
durch verfahrensrechtliche Vorkehrungen sicherzustellen, dass diese Fristen eingehalten
werden.
§ 76
Protokollierung
(1) In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter
mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:
1. Erhebung,
2. Veränderung,
3. Abfrage,
4. Offenlegung einschließlich Übermittlung,
5. Kombination und
6. Löschung.
(2) Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung,
das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität
der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die
Identität des Empfängers der Daten festzustellen.
249
(3) Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.
(4) Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.
(5) Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.
§ 77
Vertrauliche Meldung von Verstößen
Der Verantwortliche hat zu ermöglichen, dass ihm vertrauliche Meldungen über in seinem Verantwortungsbereich erfolgende Verstöße gegen Datenschutzvorschriften zugeleitet werden können.
Kapitel 5
Datenübermittlungen an Drittstaaten und an internationale Organisationen
§ 78
Allgemeine Voraussetzungen
(1) Die Übermittlung personenbezogener Daten an Stellen in Drittstaaten oder an internationale Organisationen ist bei Vorliegen der übrigen für Datenübermittlungen geltenden Voraussetzungen zulässig, wenn
1. die Stelle oder internationale Organisation für die in § 45 genannten Zwecke zuständig ist und
2. die Europäische Kommission gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 einen Angemessenheitsbeschluss gefasst hat.
(2) Die Übermittlung personenbezogener Daten hat trotz des Vorliegens eines Angemessenheitsbeschlusses im Sinne des Absatzes 1 Nummer 2 und des zu berücksichtigenden öffentlichen Interesses an der Datenübermittlung zu unterbleiben, wenn im Einzelfall ein datenschutzrechtlich angemessener und die elementaren Menschenrechte wahrender Umgang mit den Daten beim Empfänger nicht hinreichend gesichert ist oder sonst überwiegende schutzwürdige Interessen einer betroffenen Person entgegenstehen. Bei seiner Beurteilung hat der Verantwortliche maßgeblich zu berücksichtigen, ob der Empfänger im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.
250 BfDI – Info 6
(3) Wenn personenbezogene Daten, die aus einem anderen Mitgliedstaat der Europäischen
Union übermittelt oder zur Verfügung gestellt wurden, nach Absatz 1 übermittelt werden
sollen, muss diese Übermittlung zuvor von der zuständigen Stelle des anderen Mitgliedstaats
genehmigt werden. Übermittlungen ohne vorherige Genehmigung sind nur dann
zulässig, wenn die Übermittlung erforderlich ist, um eine unmittelbare und ernsthafte Gefahr
für die öffentliche Sicherheit eines Staates oder für die wesentlichen Interessen eines
Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt
werden kann. Im Fall des Satzes 2 ist die Stelle des anderen Mitgliedstaats, die für die Erteilung
der Genehmigung zuständig gewesen wäre, unverzüglich über die Übermittlung zu
unterrichten.
(4) Der Verantwortliche, der Daten nach Absatz 1 übermittelt, hat durch geeignete Maßnahmen
sicherzustellen, dass der Empfänger die übermittelten Daten nur dann an andere
Drittstaaten oder andere internationale Organisationen weiterübermittelt, wenn der
Verantwortliche diese Übermittlung zuvor genehmigt hat. Bei der Entscheidung über die
Erteilung der Genehmigung hat der Verantwortliche alle maßgeblichen Faktoren zu berücksichtigen,
insbesondere die Schwere der Straftat, den Zweck der ursprünglichen Übermittlung
und das in dem Drittstaat oder der internationalen Organisation, an das oder an
die die Daten weiterübermittelt werden sollen, bestehende Schutzniveau für personenbezogene
Daten. Eine Genehmigung darf nur dann erfolgen, wenn auch eine direkte Übermittlung
an den anderen Drittstaat oder die andere internationale Organisation zulässig
wäre. Die Zuständigkeit für die Erteilung der Genehmigung kann auch abweichend geregelt
werden.
§ 79
Datenübermittlung bei geeigneten Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie
(EU) 2016/680 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen
des § 78 auch dann zulässig, wenn
1. in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener
Daten vorgesehen sind oder
2. der Verantwortliche nach Beurteilung aller Umstände, die bei der Übermittlung
eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den
Schutz personenbezogener Daten bestehen.
(2) Der Verantwortliche hat Übermittlungen nach Absatz 1 Nummer 2 zu dokumentieren. Die
Dokumentation hat den Zeitpunkt der Übermittlung, die Identität des Empfängers, den
Grund der Übermittlung und die übermittelten personenbezogenen Daten zu enthalten. Sie ist der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.
251
(3) Der Verantwortliche hat die Bundesbeauftragte oder den Bundesbeauftragten zumindest jährlich über Übermittlungen zu unterrichten, die aufgrund einer Beurteilung nach Absatz 1 Nummer 2 erfolgt sind. In der Unterrichtung kann er die Empfänger und die Übermittlungszwecke angemessen kategorisieren.
§ 80
Datenübermittlung ohne geeignete Garantien
(1) Liegt entgegen § 78 Absatz 1 Nummer 2 kein Beschluss nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vor und liegen auch keine geeigneten Garantien im Sinne des § 79 Absatz 1 vor, ist eine Übermittlung bei Vorliegen der übrigen Voraussetzungen des § 78 auch dann zulässig, wenn die Übermittlung erforderlich ist
1. zum Schutz lebenswichtiger Interessen einer natürlichen Person,
2. zur Wahrung berechtigter Interessen der betroffenen Person,
3. zur Abwehr einer gegenwärtigen und erheblichen Gefahr für die öffentliche Sicherheit eines Staates,
4. im Einzelfall für die in § 45 genannten Zwecke oder
5. im Einzelfall zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit den in § 45 genannten Zwecken.
(2) Der Verantwortliche hat von einer Übermittlung nach Absatz 1 abzusehen, wenn die Grundrechte der betroffenen Person das öffentliche Interesse an der Übermittlung überwiegen.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Absatz 2 entsprechend.
§ 81
Sonstige Datenübermittlung an Empfänger in Drittstaaten
(1) Verantwortliche können bei Vorliegen der übrigen für die Datenübermittlung in Drittstaaten geltenden Voraussetzungen im besonderen Einzelfall personenbezogene Daten unmittelbar an nicht in § 78 Absatz 1 Nummer 1 genannte Stellen in Drittstaaten übermitteln, wenn die Übermittlung für die Erfüllung ihrer Aufgaben unbedingt erforderlich ist und
1. im konkreten Fall keine Grundrechte der betroffenen Person das öffentliche Interesse an einer Übermittlung überwiegen,
2. die Übermittlung an die in § 78 Absatz 1 Nummer 1 genannten Stellen wirkungslos oder ungeeignet wäre, insbesondere weil sie nicht rechtzeitig durchgeführt werden kann, und
3. der Verantwortliche dem Empfänger die Zwecke der Verarbeitung mitteilt und ihn darauf hinweist, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.
252 BfDI – Info 6
(2) Im Fall des Absatzes 1 hat der Verantwortliche die in § 78 Absatz 1 Nummer 1 genannten
Stellen unverzüglich über die Übermittlung zu unterrichten, sofern dies nicht wirkungslos
oder ungeeignet ist.
(3) Für Übermittlungen nach Absatz 1 gilt § 79 Absatz 2 und 3 entsprechend.
(4) Bei Übermittlungen nach Absatz 1 hat der Verantwortliche den Empfänger zu verpflichten,
die übermittelten personenbezogenen Daten ohne seine Zustimmung nur für den Zweck
zu verarbeiten, für den sie übermittelt worden sind.
(5) Abkommen im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen
Zusammenarbeit bleiben unberührt.
Kapitel 6
Zusammenarbeit der A ufsichtsbehörden
§82
Gegenseitige Amtshilfe
(1) Die oder der Bundesbeauftragte hat den Datenschutzaufsichtsbehörden in anderen Mitgliedstaaten
der Europäischen Union Informationen zu übermitteln und Amtshilfe zu
leisten, soweit dies für eine einheitliche Umsetzung und Anwendung der Richtlinie (EU)
2016/680 erforderlich ist. Die Amtshilfe betrifft insbesondere Auskunftsersuchen und aufsichtsbezogene
Maßnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme
von Nachprüfungen und Untersuchungen.
(2) Die oder der Bundesbeauftragte hat alle geeigneten Maßnahmen zu ergreifen, um Amtshilfeersuchen
unverzüglich und spätestens innerhalb eines Monats nach deren Eingang
nachzukommen.
(3) Die oder der Bundesbeauftragte darf Amtshilfeersuchen nur ablehnen, wenn
1. sie oder er für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie oder
er durchführen soll, nicht zuständig ist oder
2. ein Eingehen auf das Ersuchen gegen Rechtsvorschriften verstoßen würde.
(4) Die oder der Bundesbeauftragte hat die ersuchende Aufsichtsbehörde des anderen Staates
über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen zu informieren,
die getroffen wurden, um dem Amtshilfeersuchen nachzukommen. Sie oder er hat im
Fall des Absatzes 3 die Gründe für die Ablehnung des Ersuchens zu erläutern.
253
(5) Die oder der Bundesbeauftragte hat die Informationen, um die sie oder er von der Aufsichtsbehörde des anderen Staates ersucht wurde, in der Regel elektronisch und in einem standardisierten Format zu übermitteln.
(6) Die oder der Bundesbeauftragte hat Amtshilfeersuchen kostenfrei zu erledigen, soweit sie oder er nicht im Einzelfall mit der Aufsichtsbehörde des anderen Staates die Erstattung entstandener Ausgaben vereinbart hat.
(7) Ein Amtshilfeersuchen der oder des Bundesbeauftragten hat alle erforderlichen Informationen zu enthalten; hierzu gehören insbesondere der Zweck und die Begründung des Ersuchens. Die auf das Ersuchen übermittelten Informationen dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie angefordert wurden.
Kapitel 7
Haftung und Sanktionen
§ 83
Schadensersatz und Entschädigung
(1) Hat ein Verantwortlicher einer betroffenen Person durch eine Verarbeitung personenbezogener Daten, die nach diesem Gesetz oder nach anderen auf ihre Verarbeitung anwendbaren Vorschriften rechtswidrig war, einen Schaden zugefügt, ist er oder sein Rechtsträger der betroffenen Person zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit bei einer nicht automatisierten Verarbeitung der Schaden nicht auf ein Verschulden des Verantwortlichen zurückzuführen ist.
(2) Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.
(3) Lässt sich bei einer automatisierten Verarbeitung personenbezogener Daten nicht ermitteln, welche von mehreren beteiligten Verantwortlichen den Schaden verursacht hat, so haftet jeder Verantwortliche beziehungsweise sein Rechtsträger.
(4) Hat bei der Entstehung des Schadens ein Verschulden der betroffenen Person mitgewirkt, ist § 254 des Bürgerlichen Gesetzbuchs entsprechend anzuwenden.
(5) Auf die Verjährung finden die für unerlaubte Handlungen geltenden Verjährungsvorschriften des Bürgerlichen Gesetzbuchs entsprechende Anwendung.
254 BfDI – Info 6
§ 84
Strafvorschriften
Für Verarbeitungen personenbezogener Daten durch öffentliche Stellen im Rahmen von Tätigkeiten
nach § 45 Satz 1, 3 oder 4 findet § 42 entsprechende Anwendung.
Teil 4
Besondere Bestimmungen für V erarbeitungen im Rahmen
von nicht in die An wendungsbereiche der V erordnung (EU)
2016/679 und der Richtlinie (EU) 2016/680 fallenden
Tätigkeiten
§ 85
Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche
der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten
(1) Die Übermittlung personenbezogener Daten an einen Drittstaat oder an über- oder zwischenstaatliche
Stellen oder internationale Organisationen im Rahmen von nicht in die
Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680
fallenden Tätigkeiten ist über die bereits gemäß der Verordnung (EU) 2016/679 zulässigen
Fälle hinaus auch dann zulässig, wenn sie zur Erfüllung eigener Aufgaben aus zwingenden
Gründen der Verteidigung oder zur Erfüllung über- oder zwischenstaatlicher Verpflichtungen
einer öffentlichen Stelle des Bundes auf dem Gebiet der Krisenbewältigung oder
Konfliktverhinderung oder für humanitäre Maßnahmen erforderlich ist. Der Empfänger
ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verwendet werden
dürfen, zu dem sie übermittelt wurden.
(2) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung
(EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch Dienststellen
im Geschäftsbereich des Bundesministeriums der Verteidigung gilt § 16 Absatz 4 nicht,
soweit das Bundesministerium der Verteidigung im Einzelfall feststellt, dass die Erfüllung
der dort genannten Pflichten die Sicherheit des Bundes gefährden würde.
(3) Für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung
(EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten durch öffentliche Stellen
des Bundes besteht keine Informationspflicht gemäß Artikel 13 Absatz 1 und 2 der Verordnung
(EU) 2016/679, wenn
1. es sich um Fälle des § 32 Absatz 1 Nummer 1 bis 3 handelt oder
2. durch ihre Erfüllung Informationen offenbart würden, die nach einer Rechtsvorschrift
oder ihrem Wesen nach, insbesondere wegen der überwiegenden berech255
tigten Interessen eines Dritten, geheim gehalten werden müssen, und deswegen das Interesse der betroffenen Person an der Erteilung der Information zurücktreten muss.
Ist die betroffene Person in den Fällen des Satzes 1 nicht zu informieren, besteht auch kein Recht auf Auskunft. § 32 Absatz 2 und § 33 Absatz 2 finden keine Anwendung.
256 BfDI – Info 6
257
258 BfDI – Info 6

Unterhalten Sie Ihren Besucher! Machen Sie es einfach interessant und originell. Bringen Sie die Dinge auf den Punkt und seien Sie spannend.

Druckversion Druckversion | Sitemap Diese Seite weiterempfehlen Diese Seite weiterempfehlen
Auflösung meiner Porzellansammlung aus Altersgründen.Chinesisches Porzellan aus verschiedenen Dynastien - China,Vasen, Schalen, Teller, Figuren, Bilder, Incense Burner,Weihrauchbrenner,Tee Service, Tee Zubehör, Malerei Pinselbecher, Bronze und vieles mehr. Die hier abgebildeten Objekte stammen alle aus meiner Privatsammlung, die in den Hochgebirgen zum Himalaya auf Märkten, und bei Familien selbst ausgesucht und durch bekannte Händler erworben wurden. Die Objekte sind alle Hand-bemalt und keine maschinelle Massenware, wie etwa bei Ebay angeboten wird.