Datenschutzgesetze 2018 E-Book

Inhaltsverzeichnis

Vorwort

Vorwort zur 2.Auflage

VERORDNUNG (EU) 2016/679

KAPITEL 1 - Allgemeine Bestimmungen

Artikel 1 Gegenstand und Ziele

Artikel 2 Sachlicher Anwendungsbereich

Artikel 3 Räumlicher Anwendungsbereich

Artikel 4 Begriffsbestimmungen

KAPITEL II - Grundsätze

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten

Artikel 6 Rechtmäßigkeit der Verarbeitung

Artikel 7 Bedingungen für die Einwilligung

Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

KAPITEL III - Rechte der betroffenen Person

Abschnitt 1 - Transparenz und Modalitäten

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2 - Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Artikel 15 Auskunftsrecht der betroffenen Person

Abschnitt 3 - Berichtigung und Löschung

Artikel 16 Recht auf Berichtigung

Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“)

Artikel 18 Recht auf Einschränkung der Verarbeitung

Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Artikel 20 Recht auf Datenübertragbarkeit

Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21 Widerspruchsrecht

Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Abschnitt 5 - Beschränkungen

Artikel 23 Beschränkungen

KAPITEL IV - Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 - Allgemeine Pflichten

Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen

Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 26 Gemeinsam Verantwortliche

Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

Artikel 28 Auftragsverarbeiter

Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Artikel 30 Verzeichnis von Verarbeitungstätigkeiten

Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde

Abschnitt 2 -Sicherheit personenbezogener Daten

Artikel 32 Sicherheit der Verarbeitung

Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3 - Datenschutz -Folgenabschätzung und vorherige Konsultation

Artikel 35 Datenschutz-Folgenabschätzung

Artikel 36 Vorherige Konsultation

Abschnitt 4 - Datenschutzbeauftragter

Artikel 37 Benennung eines Datenschutzbeauftragten

Artikel 38 Stellung des Datenschutzbeauftragten

Artikel 39 Aufgaben des Datenschutzbeauftragten

Abschnitt 5 - Verhaltensregeln und Zertifizierung

Artikel 40 Verhaltensregeln

Artikel 41 Überwachung der genehmigten Verhaltensregeln

Artikel 42 Zertifizierung

Artikel 43 Zertifizierungsstellen

KAPITEL V - Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

Artikel 44 Allgemeine Grundsätze der Datenübermittlung

Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien

Artikel 47 Verbindliche interne Datenschutzvorschriften

Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Artikel 49 Ausnahmen für bestimmte Fälle

Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten

KAPITEL VI - Unabhängige Aufsichtsbehörden

Abschnitt 1 - Unabhängigkeit

Artikel 51 Aufsichtsbehörde

Artikel 52 Unabhängigkeit

Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

Artikel 54 Errichtung der Aufsichtsbehörde

Abschnitt 2 - Zuständigkeit, Aufgaben und Befugnisse

Artikel 55 Zuständigkeit

Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde

Artikel 57 Aufgaben

Artikel 58 Befugnisse

Artikel 59 Tätigkeitsbericht

KAPITEL VII - Zusammenarbeit und Kohärenz

Abschnitt 1 - Zusammenarbeit

Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden

Artikel 61 Gegenseitige Amtshilfe

Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden

Abschnitt 2 - Kohärenz

Artikel 63 Kohärenzverfahren

Artikel 64 Stellungnahme des Ausschusses

Artikel 65 Streitbeilegung durch den Ausschuss

Artikel 66 Dringlichkeitsverfahren

Artikel 67 Informationsaustausch

Abschnitt 3 - Europäischer Datenschutzausschuss

Artikel 68 Europäischer Datenschutzausschuss

Artikel 69 Unabhängigkeit

Artikel 70 Aufgaben des Ausschusses

Artikel 71 Berichterstattung

Artikel 72 Verfahrensweise

Artikel 73 Vorsitz

Artikel 74 Aufgaben des Vorsitzes

Artikel 75 Sekretariat

Artikel 76 Vertraulichkeit

KAPITEL VIII - Rechtsbehelfe, Haftung und Sanktionen

Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde

Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Artikel 80 Vertretung von betroffenen Personen

Artikel 81 Aussetzung des Verfahrens

Artikel 82 Haftung und Recht auf Schadenersatz

Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen

Artikel 84 Sanktionen

KAPITEL IX - Vorschriften für besondere Verarbeitungssituationen

Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

Artikel 87 Verarbeitung der nationalen Kennziffer

Artikel 88 Datenverarbeitung im Beschäftigungskontext

Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Artikel 90 Geheimhaltungspflichten

Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

KAPITEL X - Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 92 Ausübung der Befugnisübertragung

Artikel 93 Ausschussverfahren

KAPITEL XI - Schlussbestimmungen

Artikel 94 Aufhebung der Richtlinie 95/46/EG

Artikel 95 Verhältnis zur Richtlinie 2002/58/EG

Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften

Artikel 97 Berichte der Kommission

Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz

Artikel 99 Inkrafttreten und Anwendung

Bundesdatenschutzgesetz (BDSG 2018)

Teil 1 - Gemeinsame Bestimmungen

Kapitel 1 - Anwendungsbereich und Begriffsbestimmungen

§ 1 Anwendungsbereich des Gesetzes

§ 2 Begriffsbestimmungen

Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 3 Verarbeitung personenbezogener Daten durch öffentliche Stellen.

§ 4 Videoüberwachung öffentlich zugänglicher Räume

Kapitel 3 - Datenschutzbeauftragte öffentlicher Stellen

§ 5 Benennung

§ 6 Stellung

§ 7 Aufgaben

Kapitel 4 - Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

§ 8 Errichtung

§ 9 Zuständigkeit

§ 10 Unabhängigkeit

§ 11 Ernennung und Amtszeit

§ 12 Amtsverhältnis

§ 13 Rechte und Pflichten

§ 14 Aufgaben

§ 15 Tätigkeitsbericht

§ 16 Befugnisse

Kapitel 5 - Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union

§ 17 Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle

§ 18 Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder

§ 19 Zuständigkeiten

Kapitel 6 - Rechtsbehelfe

§ 20 Gerichtlicher Rechtsschutz

§ 21 Antrag der Aufsichtsbehörde auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission

Teil 2 - Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679

Kapitel 1 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten

Abschnitt 1 - Verarbeitung besonderer Kategorien personenbezogener Daten und Verarbeitung zu anderen Zwecken

§ 22 Verarbeitung besonderer Kategorien personenbezogener Daten.

§ 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen

§ 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

§ 25 Datenübermittlungen durch öffentliche Stellen

Abschnitt 2 - Besondere Verarbeitungssituationen

§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

§ 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

§ 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken

§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten

§ 30 Verbraucherkredite

§ 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften

Kapitel 2 - Rechte der betroffenen Person

§ 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

§ 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

§ 34 Auskunftsrecht der betroffenen Person

§ 35 Recht auf Löschung

§ 36 Widerspruchsrecht

§ 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Kapitel 3 - Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen

§ 39 Akkreditierung

Kapitel 4 - Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen

§ 40 Aufsichtsbehörden der Länder

Kapitel 5 - Sanktionen

§ 41 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren

§ 42 Strafvorschriften

§ 43 Bußgeldvorschriften

Kapitel 6 - Rechtsbehelfe

§ 44 Klagen gegen den Verantwortlichen oder Auftragsverarbeiter

Teil 3 Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

Kapitel 1 - Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

§ 45 Anwendungsbereich

§ 46 Begriffsbestimmungen

§ 47 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten

Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten

§ 48 Verarbeitung besonderer Kategorien personenbezogener Daten

§ 49 Verarbeitung zu anderen Zwecken

§ 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken

§ 51 Einwilligung

§ 52 Verarbeitung auf Weisung des Verantwortlichen

§ 53 Datengeheimnis

§ 54 Automatisierte Einzelentscheidung

Kapitel 3 - Rechte der betroffenen Person

§ 55 Allgemeine Informationen zu Datenverarbeitungen

§ 56 Benachrichtigung betroffener Personen

§ 57 Auskunftsrecht

§ 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung

§ 59 Verfahren für die Ausübung der Rechte der betroffenen Person

§ 60 Anrufung der oder des Bundesbeauftragten

§ 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit

Kapitel 4 - Pflichten der Verantwortlichen und Auftragsverarbeiter

§ 62 Auftragsverarbeitung

§ 63 Gemeinsam Verantwortliche

§ 64 Anforderungen an die Sicherheit der Datenverarbeitung

§ 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten

§ 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten

§ 67 Durchführung einer Datenschutz-Folgenabschätzung

§ 68 Zusammenarbeit mit der oder dem Bundesbeauftragten

§ 69 Anhörung der oder des Bundesbeauftragten

§ 70 Verzeichnis von Verarbeitungstätigkeiten

§ 71 Datenschutz durch Technikgestaltung und datenschutz-freundliche Voreinstellungen

§ 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen

§ 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen

§ 74 Verfahren bei Übermittlungen

§ 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung

§ 76 Protokollierung

§ 77 Vertrauliche Meldung von Verstößen

Kapitel 5 - Datenübermittlungen an Drittstaaten und an internationale Organisationen

§ 78 Allgemeine Voraussetzungen

§ 79 Datenübermittlung bei geeigneten Garantien

§ 80 Datenübermittlung ohne geeignete Garantien

§ 81 Sonstige Datenübermittlung an Empfänger in Drittstaaten

Kapitel 6 - Zusammenarbeit der Aufsichtsbehörden

§ 82 Gegenseitige Amtshilfe

Kapitel 7 - Haftung und Sanktionen

§ 83 Schadensersatz und Entschädigung

§ 84 Strafvorschriften

Teil 4 - Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

§ 85 Verarbeitung personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

Anhang Stichwortverzeichnis

Vorwort

Am 25.Mai 2018 wird das Bundesdatenschutzgesetz mit seinen heutigen Bestimmungen Geschichte sein. An diesem Tag tritt die EU Datenschutzgrundverordnung EU-DSGVO als unmittelbar wirkendes Recht in allen Staaten der EU in Kraft, ohne dass es hierfür nationale Umsetzungsgesetze geben wird.

Am gleichen Tag tritt eine vollständige Neufassung des Bundesdatenschutzgesetzes in Kraft, die von in der EU-DSGVO angelegten Befugnisse für nationale Abweichungen ausfüllt, Festlegungen für die Aufgabenverteilung in Deutschland trifft und den Datenschutz der Strafverfolgungsbehörden als nationale Umsetzung der neuen EU Richtlinie 2016/680 regelt.

Aktuell sind Regierung und Bundestag teilweise unter Beteiligung des Bundesrates damit befasst, eine ganze Reihe von Fachgesetzen wie Telekommunikationsgesetz und Sozialgesetzbuch auf die EU-DSGVO anzupassen. Ähnliches gilt für die Länder und ihre Landesgesetze. Auf europäischer Ebene ist bereits absehbar mit einer Verordnung zu rechnen, die die aktuelle E-Privacy Richtlinie 2002/58/EC ersetzt.

Im vorliegenden Textband finden Sie die ab dem 25.Mai 2018 geltenden Fassungen der EU-DSGVO und des BDSG. Ein Schlagwortverzeichnis im Anhang wird es Ihnen erleichtern, die jeweils relevanten Gesetzespassagen schneller aufzufinden. Wir empfehlen Ihnen, sich baldmöglichst mit den neuen Bestimmungen auseinander zu setzen.

Im Juli 2017

Mathias Reinis

Vorwort zur 2.Auflage

Es zeugt nicht gerade von Weitsicht, wenn der Gesetzgeber seinen eigenen Gesetzestext zwei Tage vor dessen Inkrafttreten noch einmal verändert. Genau das ist aber geschehen, als die Europäische Union in ihrem Amtsblatt L 127/2 vom 23. Mai 2018 eine mehrseitige Berichtigung der EU Datenschutzgrundverordnung bekannt gab.

Auch wenn die meisten Änderungen als Kosmetik erscheinen mögen, habe ich mich entschlossen, die erste Auflage unverzüglich zu aktualisieren.

27.Mai 2017

Mathias Reinis

VERORDNUNG (EU) 2016/679

DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 27. April 2016 (ABl. L 119 vom 4.5.2016)

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Zuletzt geändert durch Berichtigung vom 23.5.2018 (Abl. L127 vom 23.5.2018)

KAPITEL 1 Allgemeine Bestimmungen

Artikel 1 Gegenstand und Ziele

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Artikel 2 Sachlicher Anwendungsbereich

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.

Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

Artikel 3 Räumlicher Anwendungsbereich

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;

„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

„Hauptniederlassung“

im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

„Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

„Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

„Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

„verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;

„Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;

„betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil

der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,

diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder

eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;

„grenzüberschreitende Verarbeitung“ entweder

eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

„maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;

„Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates

1

;

„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

KAPITEL II Grundsätze

Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

Unionsrecht oder

das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem

jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,

die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Artikel 7 Bedingungen für die Einwilligung

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.

Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Absatz 1 gilt nicht in folgenden Fällen:

Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

KAPITEL III Rechte der betroffenen Person

Abschnitt 1 Transparenz und Modalitäten

Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder

sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von