EU-Datenschutz-Grundverordnung E-Book

Inhaltsverzeichnis

DATENSCHUTZ-GRUNDVERORDNUNG

Kapitel I – Allgemeine Bestimmungen

Artikel 1 - Gegenstand und Ziele

Artikel 2 - Sachlicher Anwendungsbereich

Artikel 3 - Räumlicher Anwendungsbereich

Artikel 4 - Begriffsbestimmungen

Kapitel II – Grundsätze

Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten

Artikel 6 - Rechtmäßigkeit der Verarbeitung

Artikel 7 - Bedingungen für die Einwilligung

Artikel 8 - Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Artikel 9 - Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 10 - Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Artikel 11 - Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Kapitel III – Rechte der betroffenen Person

Abschnitt 1 – Transparenz und Modalitäten

Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Artikel 15 - Auskunftsrecht der betroffenen Person

Abschnitt 3 – Berichtigung und Löschung

Artikel 16 - Recht auf Berichtigung

Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)

Artikel 18 - Recht auf Einschränkung der Verarbeitung

Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Artikel 20 - Recht auf Datenübertragbarkeit

Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21 - Widerspruchsrecht

Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Abschnitt 5 – Beschränkungen

Artikel 23 - Beschränkungen

Kapitel IV – Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 – Allgemeine Pflichten

Artikel 24 - Verantwortung des für die Verarbeitung Verantwortlichen

Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 26 - Gemeinsam für die Verarbeitung Verantwortliche

Artikel 27 - Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

Artikel 28 - Auftragsverarbeiter

Artikel 29 - Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten

Artikel 31 - Zusammenarbeit mit der Aufsichtsbehörde

Abschnitt 2 – Sicherheit personenbezogener Daten

Artikel 32 - Sicherheit der Verarbeitung

Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3 – Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 35 - Datenschutz-Folgenabschätzung

Artikel 36 - Vorherige Konsultation

Abschnitt 4 – Datenschutzbeauftragter

Artikel 37 - Benennung eines Datenschutzbeauftragten

Artikel 38 - Stellung des Datenschutzbeauftragten

Artikel 39 - Aufgaben des Datenschutzbeauftragten

Abschnitt 5 – Verhaltensregeln und Zertifizierung

Artikel 40 - Verhaltensregeln

Artikel 41 - Überwachung der genehmigten Verhaltensregeln

Artikel 42 - Zertifizierung

Artikel 43 - Zertifizierungsstellen

Kapitel V – Übermittlung an Drittländer oder internationale Organisationen

Artikel 44 - Allgemeine Grundsätze der Datenübermittlung

Artikel 45 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Artikel 46 - Datenübermittlung vorbehaltlich geeigneter Garantien

Artikel 47 - Verbindliche interne Datenschutzvorschriften

Artikel 48 - Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Artikel 49 - Ausnahmen für bestimmte Fälle

Artikel 50 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Kapitel VI – Unabhängige Aufsichtsbehörden

Abschnitt 1 – Unabhängigkeit

Artikel 51 - Aufsichtsbehörde

Artikel 52 - Unabhängigkeit

Artikel 53 - Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

Artikel 54 - Errichtung der Aufsichtsbehörde

Abschnitt 2 – Zuständigkeit, Aufgaben und Befugnisse

Artikel 55 - Zuständigkeit

Artikel 56 - Zuständigkeit der federführenden Aufsichtsbehörde

Artikel 57 - Aufgaben

Artikel 58 - Befugnisse

Artikel 59 - Tätigkeitsbericht

Kapitel VII – Zusammenarbeit und Kohärenz

Abschnitt 1 – Zusammenarbeit

Artikel 60 - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden

Artikel 61 - Gegenseitige Amtshilfe

Artikel 62 - Gemeinsame Maßnahmen der Aufsichtsbehörden

Abschnitt 2 – Kohärenz

Artikel 63 - Kohärenzverfahren

Artikel 64 - Stellungnahme des Ausschusses

Artikel 65 - Streitbeilegung durch den Ausschuss

Artikel 66 - Dringlichkeitsverfahren

Artikel 67 - Informationsaustausch

Abschnitt 3 – Europäischer Datenschutzausschuss

Artikel 68 - Europäischer Datenschutzausschuss

Artikel 69 - Unabhängigkeit

Artikel 70 - Aufgaben des Ausschusses

Artikel 71 - Berichterstattung

Artikel 72 - Verfahrensweise

Artikel 73 - Vorsitz

Artikel 74 - Aufgaben des Vorsitzes

Artikel 75 - Sekretariat

Artikel 76 - Vertraulichkeit

Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen

Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde

Artikel 78 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Artikel 79 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Artikel 80 - Vertretung von betroffenen Personen

Artikel 81 - Aussetzung des Verfahrens

Artikel 82 - Haftung und Recht auf Schadenersatz

Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen

Artikel 84 - Sanktionen

Kapitel IX – Vorschriften für besondere Verarbeitungssituationen

Artikel 85 - Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Artikel 86 - Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

Artikel 87 - Verarbeitung der nationalen Kennziffer

Artikel 88 - Datenverarbeitung im Beschäftigungskontext

Artikel 89 - Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Artikel 90 - Geheimhaltungspflichten

Artikel 91 - Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

Kapitel X – Delegierte Rechtsakte und Durchführungsrechtsakte

Artikel 92 - Ausübung der Befugnisübertragung

Artikel 93 - Ausschussverfahren

Kapitel XI – Schlussbestimmungen

Artikel 94 - Aufhebung der Richtlinie 95/46/EG

Artikel 95 - Verhältnis zur Richtlinie 2002/58/EG

Artikel 96 - Verhältnis zu bereits geschlossenen Übereinkünften

Artikel 97 - Berichte der Kommission

Artikel 98 - Überprüfung anderer Rechtsakte der Union zum Datenschutz

Artikel 99 - Inkrafttreten und Anwendung

BEGRÜNDUNG DER DATENSCHUTZ-GRUNDVERORDNUNG

I. Einleitung

II. Ziel

III. Analyse des Standpunkts des Rates in erster Lesung

A. Allgemeine Bemerkungen

B. Kernpunkte

1. Anwendungsbereich

1.1. Sachlicher Anwendungsbereich der Verordnung und Abgrenzung gegenüber der Richtlinie zum Datenschutz bei der Strafverfolgung

1.2. Organe und Einrichtungen der EU

1.3. Ausnahmeregelung für Privathaushalte

1.4. Räumlicher Anwendungsbereich

2. Grundsätze für die Verarbeitung personenbezogener Daten

3. Rechtmäßigkeit der Verarbeitung

3.1. Bedingungen für die Rechtmäßigkeit

3.2. Spezifische Vorschriften der Mitgliedstaaten zur Anpassung der Anwendung der Verordnung

3.3. Weiterverarbeitung

3.4. Verarbeitung besonderer Kategorien von personenbezogenen Daten

4. Stärkung der Stellung der betroffenen Personen

4.1. Einleitung

4.2. Transparenz

4.3. Von dem Verantwortlichen bereitzustellende Informationen und Mitteilungen

4.4. Bildsymbole

4.5. Recht auf Zugang

4.6. Recht auf Löschung („Recht auf Vergessenwerden“)

4.7. Recht auf Datenübertragbarkeit

4.8. Widerspruchsrecht

4.9. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

5. Verantwortlicher und Auftragsverarbeiter

5.1. Einleitung

5.2. Folgenabschätzungen

5.3. Verzeichnis von Verarbeitungstätigkeiten

5.4. Verletzungen des Schutzes personenbezogener Daten

5.5. Datenschutzbeauftragter

5.6. Verhaltensregeln und Zertifizierungsverfahren

6. Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

6.1. Einleitung

6.2. Angemessenheitsbeschlüsse

6.3. Geeignete Garantien

6.4. Ausnahmeregelungen

7. Aufsichtsbehörden

7.1. Unabhängigkeit

7.2. Verschwiegenheitspflicht

8. Zusammenarbeit und Kohärenz

8.1. Europäischer Datenschutzausschuss

8.2. Kohärenzverfahren

9. Rechtsbehelfe, Haftung und Sanktionen

9.1. Recht auf Beschwerde und Recht auf gerichtlichen Rechtsbehelf

9.2. Vertretung von betroffenen Personen

9.3. Aussetzung des Verfahrens

9.4. Haftung und Recht auf Schadensersatz

9.5. Sanktionen

10. Besondere Datenverarbeitungssituationen

10.1. Verarbeitung personenbezogener Daten und Freiheit der Meinungsäußerung und Informationsfreiheit

10.2. Datenverarbeitung im Beschäftigungskontext

10.3. Garantien und Ausnahmen in Bezug auf die Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

11. Bereits geschlossene Übereinkünfte

IV. Fazit

DATENSCHUTZRICHTLINIE FÜR DIE STRAFVERFOLGUNG

Kapitel I – Allgemeine Bestimmungen

Artikel 1 - Gegenstand und Ziele

Artikel 2 - Anwendungsbereich

Artikel 3 - Begriffsbestimmungen

Kapitel II – Grundsätze

Artikel 4 - Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Artikel 5 - Fristen für die Speicherung und Überprüfung

Artikel 6 - Unterscheidung verschiedener Kategorien betroffener Personen

Artikel 7 - Unterscheidung zwischen personenbezogenen Daten und Überprüfung der Qualität der personenbezogenen Daten

Artikel 8 - Rechtmäßigkeit der Verarbeitung

Artikel 9 - Besondere Verarbeitungsbedingungen

Artikel 10 - Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 11 - Automatisierte Entscheidungsfindung im Einzelfall

Kapitel III – Rechte der betroffenen Person

Artikel 12 - Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person

Artikel 13 - Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen

Artikel 14 - Auskunftsrecht der betroffenen Person

Artikel 15 - Einschränkung des Auskunftsrechts

Artikel 16 - Recht auf Berichtigung oder Löschung personenbezogener Daten und Einschränkung der Verarbeitung

Artikel 17 - Ausübung von Rechten durch die betroffene Person und Prüfung durch die Aufsichtsbehörde

Artikel 18 - Rechte der betroffenen Person in strafrechtlichen Ermittlungen und in Strafverfahren

Kapitel IV – Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 – Allgemeine Pflichten

Artikel 19 - Pflichten des Verantwortlichen

Artikel 20 - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Artikel 21 - Gemeinsam Verantwortliche

Artikel 22 - Auftragsverarbeiter

Artikel 23 - Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Artikel 24 - Verzeichnis von Verarbeitungstätigkeiten

Artikel 25 - Protokollierung

Artikel 26 - Zusammenarbeit mit der Aufsichtsbehörde

Artikel 27 - Datenschutz-Folgenabschätzung

Artikel 28 - Vorherige Konsultation der Aufsichtsbehörde

Abschnitt 2 – Sicherheit personenbezogener Daten

Artikel 29 - Sicherheit der Verarbeitung

Artikel 30 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Artikel 31 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3 - Datenschutzbeauftragter

Artikel 32 - Benennung eines Datenschutzbeauftragten

Artikel 33 - Stellung des Datenschutzbeauftragten

Artikel 34 - Aufgaben des Datenschutzbeauftragten

Kapitel V – Übermittlung an Drittländer oder internationale Organisationen

Artikel 35 - Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

Artikel 36 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Artikel 37 - Datenübermittlung vorbehaltlich geeigneter Garantien

Artikel 38 - Ausnahmen für bestimmte Fälle

Artikel 39 - Übermittlung personenbezogener Daten an in Drittländern niedergelassene Empfänger

Artikel 40 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten

Kapitel VI – Unabhängige Aufsichtsbehörden

Abschnitt 1 - Unabhängigkeit

Artikel 41 - Aufsichtsbehörde

Artikel 42 - Unabhängigkeit

Artikel 43 - Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

Artikel 44 - Errichtung der Aufsichtsbehörde

Abschnitt 2 – Zuständigkeit, Aufgaben und Befugnisse

Artikel 45 - Zuständigkeit

Artikel 46 - Aufgaben

Artikel 47 - Befugnisse

Artikel 48 - Meldung von Verstößen

Artikel 49 - Tätigkeitsbericht

Kapitel VII – Zusammenarbeit

Artikel 50 - Gegenseitige Amtshilfe

Artikel 51 - Aufgaben des Ausschusses

Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen

Artikel 52 - Recht auf Beschwerde bei einer Aufsichtsbehörde

Artikel 53 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Artikel 54 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Artikel 55 - Vertretung von betroffenen Personen

Artikel 56 - Recht auf Schadenersatz

Artikel 57 - Sanktionen

Kapitel IX - Durchführungsrechtsakte

Artikel 58 - Ausschussverfahren

Kapitel X - Schlussbestimmungen

Artikel 59 - Aufhebung des Rahmenbeschlusses 2008/977/JI

Artikel 60 - Bestehende Unionsrechtsakte

Artikel 61 - Verhältnis zu bereits geschlossenen internationalen Übereinkünften im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit

Artikel 62 - Berichte der Kommission

Artikel 63 - Umsetzung

Artikel 64 - Inkrafttreten

Artikel 65 - Adressaten

BEGRÜNDUNG DER DATENSCHUTZRICHTLINIE FÜR DIE STRAFVERFOLGUNG

I. Einleitung

II. Ziel des Vorschlags

III. Analyse des Standpunkts des Rates in erster Lesung

A. Allgemeine Bemerkungen

B. Zentrale politische Fragen

1. Anwendungsbereich (sachlicher Anwendungsbereich und persönlicher Anwendungsbereich)

2. Grundsätze in Bezug auf personenbezogene Daten

3. Weiterverarbeitung

4. Fristen für die Speicherung und Überprüfung

5. Verschiedene Kategorien betroffener Personen

6. Rechtmäßigkeit der Verarbeitung

7. Besondere Verarbeitungsbedingungen

8. Besondere Kategorien personenbezogener Daten

9. Automatisierte Entscheidungsfindung im Einzelfall, einschließlich Profiling

10. Rechte der betroffenen Person

11. Ausübung der Rechte der betroffenen Person und Überprüfung

12. Verantwortlicher und Auftragsverarbeiter

13. Verzeichnis von Verarbeitungstätigkeiten

14. Protokollierung

15. Folgenabschätzung

16. Datenschutzbeauftragter

17. Übermittlungen

18. Aufsichtsbehörden

19. Befugnisse der Aufsichtsbehörden

20. Verhältnis zu bereits geschlossenen internationalen Übereinkünften

IV. Fazit

NICHTAMTLICHE LISTE DER EU-MITGLIEDSTAATEN

Datenschutz-Grundverordnung

VERORDNUNG (EU) 2016/679

DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom

27. April 2016

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16, auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses1,

nach Stellungnahme des Ausschusses der Regionen2,

gemäß dem ordentlichen Gesetzgebungsverfahren3,

in Erwägung nachstehender Gründea:

(1) bis (13)

Art. 1

(14) bis (21)

Art. 2

(22) bis (25)

Art. 3

(26) bis (31)

Art. 4

(32), (33)

Art. 7

(34) bis (37)

Art. 4

(38)

Art. 8

(39)

Art. 5

(40), (41)

Art. 6

(42), (43)

Art. 7

(44) bis (50)

Art. 6

(51) bis (56)

Art. 9

(57)

Art. 11

(58) bis (60)

Art. 12

(61)

Art. 13

(62)

Art. 14

(63)

Art. 15

(64)

Art. 11

(65), (66)

Art. 17

(67)

Art. 18

(68)

Art. 20

(69), (70)

Art. 21

(71), (72)

Art. 22

(73)

Art. 23

(74) bis (77)

Art. 24

(78)

Art. 25

(79)

Art. 26

(80)

Art. 27

(81)

Art. 28

(82)

Art. 30

(83)

Art. 32

(84)

Art. 35

(85)

Art. 33

(86), (87)

Art. 34

(88)

Art. 33

(89) bis (93)

Art. 35

(94)

Art. 36

(95)

Art. 28

(96)

Art. 36

(97)

Art. 37

(98), (99)

Art. 40

(100)

Art. 42

(101), (102)

Art. 44

(103) bis (107)

Art. 45

(108), (109)

Art. 46

(110)

Art. 47

(111) bis (113)

Art. 49

(114)

Art. 46

(115)

Art. 48

(116)

Art. 50

(117)

Art. 51

(118)

Art. 52

(119)

Art. 51

(120)

Art. 52

(121)

Art. 53

(122)

Art. 55

(123)

Art. 51

(124), (125)

Art. 56

(126)

Art. 60

(127)

Art. 56

(128)

Art. 55

(129)

Art. 58

(130), (131)

Art. 56

(132)

Art. 57

(133)

Art. 61

(134)

Art. 62

(135), (136)

Art. 63

(137)

Art. 66

(138)

Art. 63

(139)

Art. 68

(140)

Art. 75

(141)

Art. 77

(142)

Art. 80

(143)

Art. 78

(144)

Art. 81

(145)

Art. 79

(146)

Art. 82

(147)

Art. 79

(148) bis (151)

Art. 83

(152)

Art. 84

(153)

Art. 85

(154)

Art. 86

(155)

Art. 88

(156) bis (163)

Art. 89

(164)

Art. 90

(165)

Art. 91

(166) bis (167)

Art. 92

(168)

Art. 93

(169)

Art. 45

(170)

Art. 92

(171)

Art. 94

(172)

Art. 97

(173)

Art. 95

-

HABEN FOLGENDE VERORDNUNG ERLASSEN:

1 ABl. C 229 vom 31.7.2012, S. 90.

2 ABl. C 391 vom 18.12.2012, S. 127.

3 Standpunkt des Europäischen Parlaments vom 12. März 2014 und Standpunkt des Rates in erster Lesung vom 8. April 2016. Standpunkt des Europäischen Parlaments vom 14. April 2016.

aDie Erwägungsgründe wurden in dieser Ausgabe den jeweiligen Artikeln zugeordnet. (Anm. d. Hrsg.)

KAPITEL I – ALLGEMEINE BESTIMMUNGEN

Artikel 1 - Gegenstand und Ziele

(1)

1

Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)

1

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)

1

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Erwägungsgründe

(1)

1

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht.

2

Gemäß

Artikel 8

Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie

Artikel 16

Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2)

1

Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben.

2

Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.

(3)

1

Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

4

ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten.

(4)

1

Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen.

2

Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht;

(Hs. 2)

es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.

3

Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(5)

1

Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener Daten geführt.

2

Der unionsweite Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen hat zugenommen.

3

Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können.

(6)

1

Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt.

2

Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen.

3

Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.

4

Zunehmend machen auch natürliche Personen Informationen öffentlich weltweit zugänglich.

5

Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist.

(7)

1

Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können.

2

Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.

3

Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.

(8)

1

Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.

(9)

1

Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets.

2

Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern.

3

Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern.

4

Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG.

(10)

1

Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein.

2

Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden.

3

Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen.

4

In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie 95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern.

5

Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“).

6

Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.

(11)

1

Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

(12)

1

Artikel 16

Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen.

(13)

1

Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet.

2

Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

3

Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.

4

Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.

5

Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte

Artikel 2

des Anhangs zur Empfehlung 2003/361/EG der Kommission

5

maßgebend sein.

a

Artikel 2 - Sachlicher Anwendungsbereich

(1)

1

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)

1

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,

d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

(3)

1

Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001.

2

Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit

Artikel 98

an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.

(4)

1

Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der

Artikel 12

bis

15

dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

ErwGr.

(14)

1

Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten.

2

Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(15)

1

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

2

Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

3

Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

(16)

1

Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten.

2

Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

(17)

1

Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates

6

gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union.

2

Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, sollten an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst und im Lichte der vorliegenden Verordnung angewandt werden.

3

Um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten, sollten die erforderlichen Anpassungen der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt werden können.

(18)

1

Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird.

2

Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.

3

Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

(19)

1

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt.

2

Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden.

3

Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates

7

unterliegen.

4

Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, als sie in den Anwendungsbereich des Unionsrechts fällt.

5

In Bezug auf die Verarbeitung personenbezogener Daten durch diese Behörden für Zwecke, die in den Anwendungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen beibehalten oder einführen können, um die Anwendung der Vorschriften dieser Verordnung anzupassen.

6

In den betreffenden Bestimmungen können die Auflagen für die Verarbeitung personenbezogener Daten durch diese zuständigen Behörden für jene anderen Zwecke präziser festgelegt werden, wobei der verfassungsmäßigen, organisatorischen und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist.

7

Soweit diese Verordnung für die Verarbeitung personenbezogener Daten durch private Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese Beschränkung in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu auch die öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

8

Dies ist beispielsweise im Rahmen der Bekämpfung der Geldwäsche oder der Arbeit kriminaltechnischer Labors von Bedeutung.

(20)

1

Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben.

2

Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein.

3

Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten.

(21)

1

Die vorliegende Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates

8

und insbesondere die der Vorschriften der

Artikel 12

bis

15

jener Richtlinie zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste.

2

Die genannte Richtlinie soll dazu beitragen, dass der Binnenmarkt einwandfrei funktioniert, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellt.

Artikel 3 - Räumlicher Anwendungsbereich

(1)

1

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

(2)

1

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3)

1

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

ErwGr.

(22)

1

Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet.

2

Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus.

3

Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend.

(23)

1

Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten.

2

Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.

3

Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.

(24)

1

Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

2

Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

(25)

1

Ist nach Völkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch auf einen nicht in der Union niedergelassenen Verantwortlichen Anwendung finden.

Artikel 4 - Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“

alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden

„betroffene Person“)

beziehen;

(Hs.

2)

als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

„Verarbeitung“

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

„Einschränkung der Verarbeitung“

die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

„Profiling“

jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

„Pseudonymisierung“

die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

„Dateisystem“

jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

„Verantwortlicher“

die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

(Hs.

2)

sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

„Auftragsverarbeiter“

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

„Empfänger“

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

(2)

Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger;

(Hs.

2)

die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

„Dritter“

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

„Einwilligung“

der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

„Verletzung des Schutzes personenbezogener Daten“

eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

„genetische Daten“

personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;

„biometrische Daten“

mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

„Gesundheitsdaten“

personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

„Hauptniederlassung“

a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen;

(Hs.

2)

in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

„Vertreter“

eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß

Artikel 27

bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

„Unternehmen“

eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

„Unternehmensgruppe“

eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

„verbindliche interne Datenschutzvorschriften“

Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;

„Aufsichtsbehörde“

eine von einem Mitgliedstaat gemäß

Artikel 51

eingerichtete unabhängige staatliche Stelle;

„betroffene Aufsichtsbehörde“

eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil

a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,

b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder

c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;

„grenzüberschreitende Verarbeitung“

entweder

a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

„maßgeblicher und begründeter Einspruch“

einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;

„Dienst der Informationsgesellschaft“

eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates

9

;

„internationale Organisation“

eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

ErwGr.

(26)

1

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

2

Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.

3

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern.

4

Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.

5

Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.

6

Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.

(27)

1

Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.

2

Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.

(28)

1

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen.

2

Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.

(29)

1

Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um – für die jeweilige Verarbeitung – die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden.

2

Der für die Verarbeitung der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen angeben.

(30)

1

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet.

2

Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

(31)

1

Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung – gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten – eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind.

2

Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen.

3

Die Verarbeitung personenbezogener Daten durch die genannten Behörden sollte den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen.

(34)

1

Genetische Daten sollten als personenbezogene Daten über die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person definiert werden, die aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, insbesondere durch eine Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können, gewonnen werden.

(35)

1

Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.

2

Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates

10

für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.

(36)

1

Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden;

(Hs.

2)

in diesem Fall sollte die letztgenannte als Hauptniederlassung gelten.

2

Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden;

(Hs.

2)

ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden.

3

Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird.

4

Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor für das Bestehen einer Hauptniederlassung.

5

Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat, oder – wenn er keine Hauptverwaltung in der Union hat – der Ort, an dem die wesentlichen Verarbeitungstätigkeiten in der Union stattfinden.

6

Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbehörde des Mitgliedstaats, in dem der Verantwortliche seine Hauptniederlassung hat, die zuständige federführende Aufsichtsbehörde bleiben, doch sollte die Aufsichtsbehörde des Auftragsverarbeiters als betroffene Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte sich an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen.

7

Auf jeden Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten, in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbehörden betrachtet werden, wenn sich der Beschlussentwurf nur auf den Verantwortlichen bezieht.

8

Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.

(37)

1

Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann.

2

Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden.

4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

5 Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C(2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).

aArtikel 2 - Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. € erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. € beläuft.

(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. € nicht übersteigt.

(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. € nicht überschreitet. (Erg. d. Hrsg.)

6 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

7 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2000/383/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

8 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1).

9 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).

10 Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

KAPITEL II – GRUNDSÄTZE

Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten

(1)

1

Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;

(Hs.

2)

eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß

Artikel 89

Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein;

(Hs.

2)

es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;

(Hs.

2)

personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß

Artikel 89

Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2)

1

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

ErwGr.

(39)

1

Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen.

2

Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.

3

Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.

4

Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden.

5

Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.

6

Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.

7

Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein.

8

Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.

9

Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

10

Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.

11

Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.

12

Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Artikel 6 - Rechtmäßigkeit der Verarbeitung

(1)

[1]

1

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

[2]1Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2)

1

Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß

Kapitel IX

.

(3)

[1]

1

Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

[2]

1