Um den vollständigen Funktionsumfang dieser Webseiten nutzen zu können, müssen technisch notwendige Cookies aktiviert sein. In diesen kleinen Textdateien werden von Ihnen gewählten Einstellungen auf Ihrem Gerät gespeichert, sodass diese auf Folgeseiten im technischen Prozess und auch bei zukünftigen Besuchen verfügbar sind. Bitte bestätigen Sie, dass Sie dem Einsatz der technisch notwendigen Cookies zustimmen, sodass alle Funktionen in Ihrem Browser funktionieren. Weitere Details finden Sie in unserer → Datenschutzerklärung.

4.5.2016   

DE

Amtsblatt der Europäischen Union

L 119/1


VERORDNUNG (EU) 2016/679 DES EUROP√ĄISCHEN PARLAMENTS UND DES RATES

vom 27. April 2016

zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(Text von Bedeutung f√ľr den EWR)

DAS EUROP√ĄISCHE PARLAMENT UND DER RAT DER EUROP√ĄISCHEN UNION ‚ÄĒ

gest√ľtzt auf den Vertrag √ľber die Arbeitsweise der Europ√§ischen Union, insbesondere auf Artikel 16,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europ√§ischen Wirtschafts- und Sozialausschusses (1),

nach Stellungnahme des Ausschusses der Regionen (2),

gem√§√ü dem ordentlichen Gesetzgebungsverfahren (3),

in Erw√§gung nachstehender Gr√ľnde:

(1)

Der Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gem√§√ü Artikel 8 Absatz 1 der Charta der Grundrechte der Europ√§ischen Union (im Folgenden ‚ÄěCharta‚Äú) sowie Artikel 16 Absatz 1 des Vertrags √ľber die Arbeitsweise der Europ√§ischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2)

Die Grunds√§tze und Vorschriften zum Schutz nat√ľrlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gew√§hrleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangeh√∂rigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur St√§rkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen nat√ľrlicher Personen beitragen.

(3)

Zweck der Richtlinie 95/46/EG des Europ√§ischen Parlaments und des Rates (4) ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten nat√ľrlicher Personen bei der Datenverarbeitung sowie die Gew√§hrleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten.

(4)

Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen.

(5)

Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts hat zu einem deutlichen Anstieg des grenz√ľberschreitenden Verkehrs personenbezogener Daten gef√ľhrt. Der unionsweite Austausch personenbezogener Daten zwischen √∂ffentlichen und privaten Akteuren einschlie√ülich nat√ľrlichen Personen, Vereinigungen und Unternehmen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder f√ľr eine Beh√∂rde eines anderen Mitgliedstaats Aufgaben durchf√ľhren k√∂nnen.

(6)

Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausma√ü der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es m√∂glich, dass private Unternehmen und Beh√∂rden im Rahmen ihrer T√§tigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zur√ľckgreifen. Zunehmend machen auch nat√ľrliche Personen Informationen √∂ffentlich weltweit zug√§nglich. Die Technik hat das wirtschaftliche und gesellschaftliche Leben ver√§ndert und d√ľrfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Daten√ľbermittlung an Drittl√§nder und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gew√§hrleisten ist.

(7)

Diese Entwicklungen erfordern einen soliden, koh√§renteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von gro√üer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend ben√∂tigt, um im Binnenmarkt weiter wachsen zu k√∂nnen. Nat√ľrliche Personen sollten die Kontrolle √ľber ihre eigenen Daten besitzen. Nat√ľrliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht √ľber mehr Sicherheit verf√ľgen.

(8)

Wenn in dieser Verordnung Pr√§zisierungen oder Einschr√§nkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, k√∂nnen die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Koh√§renz zu wahren und die nationalen Rechtsvorschriften f√ľr die Personen, f√ľr die sie gelten, verst√§ndlicher zu machen.

(9)

Die Ziele und Grunds√§tze der Richtlinie 95/46/EG besitzen nach wie vor G√ľltigkeit, doch hat die Richtlinie nicht verhindern k√∂nnen, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der √Ėffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken f√ľr den Schutz nat√ľrlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau f√ľr die Rechte und Freiheiten von nat√ľrlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, k√∂nnen den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau k√∂nnen daher ein Hemmnis f√ľr die unionsweite Aus√ľbung von Wirtschaftst√§tigkeiten darstellen, den Wettbewerb verzerren und die Beh√∂rden an der Erf√ľllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erkl√§ren sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG.

(10)

Um ein gleichm√§√üiges und hohes Datenschutzniveau f√ľr nat√ľrliche Personen zu gew√§hrleisten und die Hemmnisse f√ľr den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau f√ľr die Rechte und Freiheiten von nat√ľrlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von nat√ľrlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichm√§√üig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erf√ľllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde, sollten die Mitgliedstaaten die M√∂glichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuf√ľhren. In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften √ľber den Datenschutz zur Umsetzung der Richtlinie 95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum f√ľr die Spezifizierung ihrer Vorschriften, auch f√ľr die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden ‚Äěsensible Daten‚Äú). Diesbez√ľglich schlie√üt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umst√§nde besonderer Verarbeitungssituationen festgelegt werden, einschlie√ülich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtm√§√üig ist.

(11)

Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die St√§rkung und pr√§zise Festlegung der Rechte der betroffenen Personen sowie eine Versch√§rfung der Verpflichtungen f√ľr diejenigen, die personenbezogene Daten verarbeiten und dar√ľber entscheiden, ebenso wie ‚ÄĒ in den Mitgliedstaaten ‚ÄĒ gleiche Befugnisse bei der √úberwachung und Gew√§hrleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

(12)

Artikel 16 Absatz 2 AEUV erm√§chtigt das Europ√§ische Parlament und den Rat, Vorschriften √ľber den Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen.

(13)

Damit in der Union ein gleichm√§√üiges Datenschutzniveau f√ľr nat√ľrliche Personen gew√§hrleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern k√∂nnten, beseitigt werden, ist eine Verordnung erforderlich, die f√ľr die Wirtschaftsteilnehmer einschlie√ülich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, nat√ľrliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zust√§ndigkeiten f√ľr die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichm√§√üige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbeh√∂rden der einzelnen Mitgliedstaaten gew√§hrleistet. Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gr√ľnden des Schutzes nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten eingeschr√§nkt oder verboten wird. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enth√§lt diese Verordnung eine abweichende Regelung hinsichtlich des F√ľhrens eines Verzeichnisses f√ľr Einrichtungen, die weniger als 250 Mitarbeiter besch√§ftigen. Au√üerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbeh√∂rden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bed√ľrfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu ber√ľcksichtigen. F√ľr die Definition des Begriffs ‚ÄěKleinstunternehmen sowie kleine und mittlere Unternehmen‚Äú sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission (5) ma√ügebend sein.

(14)

Der durch diese Verordnung gew√§hrte Schutz sollte f√ľr die Verarbeitung der personenbezogenen Daten nat√ľrlicher Personen ungeachtet ihrer Staatsangeh√∂rigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht f√ľr die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegr√ľndeter Unternehmen, einschlie√ülich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(15)

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz nat√ľrlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abh√§ngen. Der Schutz nat√ľrlicher Personen sollte f√ľr die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie f√ľr die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckbl√§tter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

(16)

Diese Verordnung gilt nicht f√ľr Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit T√§tigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende T√§tigkeiten. Diese Verordnung gilt nicht f√ľr die von den Mitgliedstaaten im Rahmen der Gemeinsamen Au√üen- und Sicherheitspolitik der Union durchgef√ľhrte Verarbeitung personenbezogener Daten.

(17)

Die Verordnung (EG) Nr. 45/2001 des Europ√§ischen Parlaments und des Rates (6) gilt f√ľr die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, √Ąmter und Agenturen der Union. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, sollten an die Grunds√§tze und Vorschriften der vorliegenden Verordnung angepasst und im Lichte der vorliegenden Verordnung angewandt werden. Um einen soliden und koh√§renten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gew√§hrleisten, sollten die erforderlichen Anpassungen der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt werden k√∂nnen.

(18)

Diese Verordnung gilt nicht f√ľr die Verarbeitung von personenbezogenen Daten, die von einer nat√ľrlichen Person zur Aus√ľbung ausschlie√ülich pers√∂nlicher oder famili√§rer T√§tigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen T√§tigkeit vorgenommen wird. Als pers√∂nliche oder famili√§re T√§tigkeiten k√∂nnte auch das F√ľhren eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-T√§tigkeiten im Rahmen solcher T√§tigkeiten gelten. Diese Verordnung gilt jedoch f√ľr die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente f√ľr die Verarbeitung personenbezogener Daten f√ľr solche pers√∂nlichen oder famili√§ren T√§tigkeiten bereitstellen.

(19)

Der Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust√§ndigen Beh√∂rden zum Zwecke der Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungst√§tigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Beh√∂rden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, n√§mlich der Richtlinie (EU) 2016/680 des Europ√§ischen Parlaments und des Rates (7) unterliegen. Die Mitgliedstaaten k√∂nnen die zust√§ndigen Beh√∂rden im Sinne der Richtlinie (EU) 2016/680 mit Aufgaben betrauen, die nicht zwangsl√§ufig f√ľr die Zwecke der Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit, ausgef√ľhrt werden, so dass die Verarbeitung von personenbezogenen Daten f√ľr diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung f√§llt,

als sie in den Anwendungsbereich des Unionsrechts f√§llt. In Bezug auf die Verarbeitung personenbezogener Daten durch diese Beh√∂rden f√ľr Zwecke, die in den Anwendungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen beibehalten oder einf√ľhren k√∂nnen, um die Anwendung der Vorschriften dieser Verordnung anzupassen. In den betreffenden Bestimmungen k√∂nnen die Auflagen f√ľr die Verarbeitung personenbezogener Daten durch diese zust√§ndigen Beh√∂rden f√ľr jene anderen Zwecke pr√§ziser festgelegt werden, wobei der verfassungsm√§√üigen, organisatorischen und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist. Soweit diese Verordnung f√ľr die Verarbeitung personenbezogener Daten durch private Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschr√§nken k√∂nnen, wenn diese Beschr√§nkung in einer demokratischen Gesellschaft eine notwendige und verh√§ltnism√§√üige Ma√ünahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu auch die √∂ffentliche Sicherheit und die Verh√ľtung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung z√§hlen, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit. Dies ist beispielsweise im Rahmen der Bek√§mpfung der Geldw√§sche oder der Arbeit kriminaltechnischer Labors von Bedeutung.

(20)

Diese Verordnung gilt zwar unter anderem f√ľr die T√§tigkeiten der Gerichte und anderer Justizbeh√∂rden, doch k√∂nnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorg√§nge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbeh√∂rden im Einzelnen auszusehen haben. Damit die Unabh√§ngigkeit der Justiz bei der Aus√ľbung ihrer gerichtlichen Aufgaben einschlie√ülich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbeh√∂rden nicht f√ľr die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen T√§tigkeit zust√§ndig sein. Mit der Aufsicht √ľber diese Datenverarbeitungsvorg√§nge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden k√∂nnen, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanw√§lte besser f√ľr ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorg√§nge bearbeiten sollten.

(21)

Die vorliegende Verordnung ber√ľhrt nicht die Anwendung der Richtlinie 2000/31/EG des Europ√§ischen Parlaments und des Rates (8) und insbesondere die der Vorschriften der Artikel 12 bis 15 jener Richtlinie zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste. Die genannte Richtlinie soll dazu beitragen, dass der Binnenmarkt einwandfrei funktioniert, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellt.

(22)

Jede Verarbeitung personenbezogener Daten im Rahmen der T√§tigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gem√§√ü dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder au√üerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tats√§chliche Aus√ľbung einer T√§tigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspers√∂nlichkeit handelt, ist dabei nicht ausschlaggebend.

(23)

Damit einer nat√ľrlichen Person der gem√§√ü dieser Verordnung gew√§hrleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten. W√§hrend die blo√üe Zug√§nglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebr√§uchlich ist, hierf√ľr kein ausreichender Anhaltspunkt ist, k√∂nnen andere Faktoren wie die Verwendung einer Sprache oder W√§hrung, die in einem oder mehreren Mitgliedstaaten gebr√§uchlich ist, in Verbindung mit der M√∂glichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erw√§hnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten.

(24)

Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Ob eine Verarbeitungst√§tigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivit√§ten nachvollzogen werden, einschlie√ülich der m√∂glichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer nat√ľrlichen Person ein Profil erstellt wird, das insbesondere die Grundlage f√ľr sie betreffende Entscheidungen bildet oder anhand dessen ihre pers√∂nlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

(25)

Ist nach V√∂lkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch auf einen nicht in der Union niedergelassenen Verantwortlichen Anwendung finden.

(26)

Die Grunds√§tze des Datenschutzes sollten f√ľr alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare nat√ľrliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zus√§tzlicher Informationen einer nat√ľrlichen Person zugeordnet werden k√∂nnten, sollten als Informationen √ľber eine identifizierbare nat√ľrliche Person betrachtet werden. Um festzustellen, ob eine nat√ľrliche Person identifizierbar ist, sollten alle Mittel ber√ľcksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die nat√ľrliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der nat√ľrlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der daf√ľr erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verf√ľgbare Technologie und technologische Entwicklungen zu ber√ľcksichtigen sind. Die Grunds√§tze des Datenschutzes sollten daher nicht f√ľr anonyme Informationen gelten, d.h. f√ľr Informationen, die sich nicht auf eine identifizierte oder identifizierbare nat√ľrliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch f√ľr statistische oder f√ľr Forschungszwecke.

(27)

Diese Verordnung gilt nicht f√ľr die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten k√∂nnen Vorschriften f√ľr die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.

(28)

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken f√ľr die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterst√ľtzen. Durch die ausdr√ľckliche Einf√ľhrung der ‚ÄěPseudonymisierung‚Äú in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzma√ünahmen auszuschlie√üen.

(29)

Um Anreize f√ľr die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsma√ünahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen m√∂glich sein, wenn dieser die erforderlichen technischen und organisatorischen Ma√ünahmen getroffen hat, um ‚ÄĒ f√ľr die jeweilige Verarbeitung ‚ÄĒ die Umsetzung dieser Verordnung zu gew√§hrleisten, wobei sicherzustellen ist, dass zus√§tzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden k√∂nnen, gesondert aufbewahrt werden. Der f√ľr die Verarbeitung der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen angeben.

(30)

Nat√ľrlichen Personen werden unter Umst√§nden Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Ger√§t oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden k√∂nnen, um Profile der nat√ľrlichen Personen zu erstellen und sie zu identifizieren.

(31)

Beh√∂rden, gegen√ľber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung f√ľr die Aus√ľbung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbeh√∂rden, Finanzermittlungsstellen, unabh√§ngige Verwaltungsbeh√∂rden oder Finanzmarktbeh√∂rden, die f√ľr die Regulierung und Aufsicht von Wertpapierm√§rkten zust√§ndig sind, sollten nicht als Empf√§nger gelten, wenn sie personenbezogene Daten erhalten, die f√ľr die Durchf√ľhrung ‚ÄĒ gem√§√ü dem Unionsrecht oder dem Recht der Mitgliedstaaten ‚ÄĒ eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Antr√§ge auf Offenlegung, die von Beh√∂rden ausgehen, sollten immer schriftlich erfolgen, mit Gr√ľnden versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollst√§ndige Dateisysteme betreffen oder zur Verkn√ľpfung von Dateisystemen f√ľhren. Die Verarbeitung personenbezogener Daten durch die genannten Beh√∂rden sollte den f√ľr die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen.

(32)

Die Einwilligung sollte durch eine eindeutige best√§tigende Handlung erfolgen, mit der freiwillig, f√ľr den konkreten Fall, in informierter Weise und unmissverst√§ndlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erkl√§rung, die auch elektronisch erfolgen kann, oder einer m√ľndlichen Erkl√§rung. Dies k√∂nnte etwa durch Anklicken eines K√§stchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen f√ľr Dienste der Informationsgesellschaft oder durch eine andere Erkl√§rung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverst√§ndnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte K√§stchen oder Unt√§tigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorg√§nge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte f√ľr alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unn√∂tige Unterbrechung des Dienstes, f√ľr den die Einwilligung gegeben wird, erfolgen.

(33)

Oftmals kann der Zweck der Verarbeitung personenbezogener Daten f√ľr Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollst√§ndig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung f√ľr bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung nur f√ľr bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Ma√üe zu erteilen.

(34)

Genetische Daten sollten als personenbezogene Daten √ľber die ererbten oder erworbenen genetischen Eigenschaften einer nat√ľrlichen Person definiert werden, die aus der Analyse einer biologischen Probe der betreffenden nat√ľrlichen Person, insbesondere durch eine Chromosomen, Desoxyribonukleins√§ure (DNS)- oder Ribonukleins√§ure (RNS)-Analyse oder der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden k√∂nnen, gewonnen werden.

(35)

Zu den personenbezogenen Gesundheitsdaten sollten alle Daten z√§hlen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen √ľber den fr√ľheren, gegenw√§rtigen und k√ľnftigen k√∂rperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu geh√∂ren auch Informationen √ľber die nat√ľrliche Person, die im Zuge der Anmeldung f√ľr sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europ√§ischen Parlaments und des Rates (9) f√ľr die nat√ľrliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer nat√ľrlichen Person zugeteilt wurden, um diese nat√ľrliche Person f√ľr gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Pr√ľfung oder Untersuchung eines K√∂rperteils oder einer k√∂rpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa √ľber Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabh√§ngig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angeh√∂rigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.

(36)

Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen √ľber die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden; in diesem Fall sollte die letztgenannte als Hauptniederlassung gelten. Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tats√§chliche Aus√ľbung von Managementt√§tigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tats√§chlich an diesem Ort ausgef√ľhrt wird. Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungst√§tigkeiten begr√ľnden an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor f√ľr das Bestehen einer Hauptniederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat, oder ‚ÄĒ wenn er keine Hauptverwaltung in der Union hat ‚ÄĒ der Ort, an dem die wesentlichen Verarbeitungst√§tigkeiten in der Union stattfinden. Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbeh√∂rde des Mitgliedstaats, in dem der Verantwortliche seine Hauptniederlassung hat, die zust√§ndige federf√ľhrende Aufsichtsbeh√∂rde bleiben, doch sollte die Aufsichtsbeh√∂rde des Auftragsverarbeiters als betroffene Aufsichtsbeh√∂rde betrachtet werden und diese Aufsichtsbeh√∂rde sollte sich an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen. Auf jeden Fall sollten die Aufsichtsbeh√∂rden des Mitgliedstaats oder der Mitgliedstaaten, in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbeh√∂rden betrachtet werden, wenn sich der Beschlussentwurf nur auf den Verantwortlichen bezieht. Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.

(37)

Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abh√§ngigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverh√§ltnisse, der finanziellen Beteiligung oder der f√ľr das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die √ľbrigen Unternehmen aus√ľben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine ‚ÄěUnternehmensgruppe‚Äú betrachtet werden.

(38)

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten m√∂glicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern f√ľr Werbezwecke oder f√ľr die Erstellung von Pers√∂nlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Tr√§gers der elterlichen Verantwortung sollte im Zusammenhang mit Pr√§ventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.

(39)

Jede Verarbeitung personenbezogener Daten sollte rechtm√§√üig und nach Treu und Glauben erfolgen. F√ľr nat√ľrliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und k√ľnftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zug√§nglich und verst√§ndlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen √ľber die Identit√§t des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen nat√ľrlichen Personen gew√§hrleisten, sowie deren Recht, eine Best√§tigung und Auskunft dar√ľber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Nat√ľrliche Personen sollten √ľber die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und dar√ľber aufgekl√§rt werden, wie sie ihre diesbez√ľglichen Rechte geltend machen k√∂nnen. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtm√§√üig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten f√ľr die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das f√ľr die Zwecke ihrer Verarbeitung notwendige Ma√ü beschr√§nkt sein. Dies erfordert insbesondere, dass die Speicherfrist f√ľr personenbezogene Daten auf das unbedingt erforderliche Mindestma√ü beschr√§nkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden d√ľrfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht l√§nger als n√∂tig gespeichert werden, sollte der Verantwortliche Fristen f√ľr ihre L√∂schung oder regelm√§√üige √úberpr√ľfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gel√∂scht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gew√§hrleistet ist, wozu auch geh√∂rt, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Ger√§te, mit denen diese verarbeitet werden, benutzen k√∂nnen.

(40)

Damit die Verarbeitung rechtm√§√üig ist, m√ľssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zul√§ssigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder ‚ÄĒ wann immer in dieser Verordnung darauf Bezug genommen wird ‚ÄĒ aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erf√ľllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erf√ľllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder f√ľr die Durchf√ľhrung vorvertraglicher Ma√ünahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.

(41)

Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsma√ünahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unber√ľhrt bleiben Anforderungen gem√§√ü der Verfassungsordnung des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage oder Gesetzgebungsma√ünahme sollte jedoch klar und pr√§zise sein und ihre Anwendung sollte f√ľr die Rechtsunterworfenen gem√§√ü der Rechtsprechung des Gerichtshofs der Europ√§ischen Union (im Folgenden ‚ÄěGerichtshof‚Äú) und des Europ√§ischen Gerichtshofs f√ľr Menschenrechte vorhersehbar sein.

(42)

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen k√∂nnen, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erkl√§rung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person wei√ü, dass und in welchem Umfang sie ihre Einwilligung erteilt. Gem√§√ü der Richtlinie 93/13/EWG des Rates (10) sollte eine vom Verantwortlichen vorformulierte Einwilligungserkl√§rung in verst√§ndlicher und leicht zug√§nglicher Form in einer klaren und einfachen Sprache zur Verf√ľgung gestellt werden, und sie sollte keine missbr√§uchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und f√ľr welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zur√ľckzuziehen, ohne Nachteile zu erleiden.

(43)

Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen F√§llen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Beh√∂rde handelt, und es deshalb in Anbetracht aller Umst√§nde in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine g√ľltige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorg√§ngen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erf√ľllung eines Vertrags, einschlie√ülich der Erbringung einer Dienstleistung, von der Einwilligung abh√§ngig ist, obwohl diese Einwilligung f√ľr die Erf√ľllung nicht erforderlich ist.

(44)

Die Verarbeitung von Daten sollte als rechtm√§√üig gelten, wenn sie f√ľr die Erf√ľllung oder den geplanten Abschluss eines Vertrags erforderlich ist.

(45)

Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im √∂ffentlichen Interesse oder in Aus√ľbung √∂ffentlicher Gewalt erforderlich, muss hierf√ľr eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht f√ľr jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage f√ľr mehrere Verarbeitungsvorg√§nge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im √∂ffentlichen Interesse oder in Aus√ľbung √∂ffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, f√ľr welche Zwecke die Daten verarbeitet werden d√ľrfen. Ferner k√∂nnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtm√§√üigkeit der Verarbeitung personenbezogener Daten pr√§zisiert und es k√∂nnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, f√ľr welche Zwecke und wie lange sie gespeichert werden d√ľrfen und welche anderen Ma√ünahmen ergriffen werden, um zu gew√§hrleisten, dass die Verarbeitung rechtm√§√üig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, um eine Beh√∂rde oder um eine andere unter das √∂ffentliche Recht fallende nat√ľrliche oder juristische Person oder, sofern dies durch das √∂ffentliche Interesse einschlie√ülich gesundheitlicher Zwecke, wie die √∂ffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsf√ľrsorge, gerechtfertigt ist, eine nat√ľrliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte.

(46)

Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtm√§√üig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen nat√ľrlichen Person zu sch√ľtzen. Personenbezogene Daten sollten grunds√§tzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen nat√ľrlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gest√ľtzt werden kann. Einige Arten der Verarbeitung k√∂nnen sowohl wichtigen Gr√ľnden des √∂ffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung f√ľr humanit√§re Zwecke einschlie√ülich der √úberwachung von Epidemien und deren Ausbreitung oder in humanit√§ren Notf√§llen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

(47)

Die Rechtm√§√üigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden d√ľrfen, oder eines Dritten begr√ľndet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht √ľberwiegen; dabei sind die vern√ľnftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu ber√ľcksichtigen. Ein berechtigtes Interesse k√∂nnte beispielsweise vorliegen, wenn eine ma√ügebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall w√§re das Bestehen eines berechtigten Interesses besonders sorgf√§ltig abzuw√§gen, wobei auch zu pr√ľfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umst√§nde, unter denen sie erfolgt, vern√ľnftigerweise absehen kann, dass m√∂glicherweise eine Verarbeitung f√ľr diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vern√ľnftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, k√∂nnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen √ľberwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage f√ľr die Verarbeitung personenbezogener Daten durch die Beh√∂rden zu schaffen, sollte diese Rechtsgrundlage nicht f√ľr Verarbeitungen durch Beh√∂rden gelten, die diese in Erf√ľllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im f√ľr die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

(48)

Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind k√∂nnen ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe f√ľr interne Verwaltungszwecke, einschlie√ülich der Verarbeitung personenbezogener Daten von Kunden und Besch√§ftigten, zu √ľbermitteln. Die Grundprinzipien f√ľr die √úbermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unber√ľhrt.

(49)

Die Verarbeitung von personenbezogenen Daten durch Beh√∂rden, Computer-Notdienste (Computer Emergency Response Teams ‚ÄĒ CERT, beziehungsweise Computer Security Incident Response Teams ‚ÄĒ CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Ma√üe ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies f√ľr die Gew√§hrleistung der Netz- und Informationssicherheit unbedingt notwendig und verh√§ltnism√§√üig ist, d.h. soweit dadurch die F√§higkeit eines Netzes oder Informationssystems gew√§hrleistet wird, mit einem vorgegebenen Grad der Zuverl√§ssigkeit St√∂rungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verf√ľgbarkeit, Authentizit√§t, Vollst√§ndigkeit und Vertraulichkeit von gespeicherten oder √ľbermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenh√§ngender Dienste, die √ľber diese Netze oder Informationssysteme angeboten werden bzw. zug√§nglich sind, beeintr√§chtigen. Ein solches berechtigtes Interesse k√∂nnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung sch√§dlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten √úberlastung von Servern (‚ÄěDenial of service‚Äú-Angriffe) und Sch√§digungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.

(50)

Die Verarbeitung personenbezogener Daten f√ľr andere Zwecke als die, f√ľr die die personenbezogenen Daten urspr√ľnglich erhoben wurden, sollte nur zul√§ssig sein, wenn die Verarbeitung mit den Zwecken, f√ľr die die personenbezogenen Daten urspr√ľnglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige f√ľr die Erhebung der personenbezogenen Daten. Ist die Verarbeitung f√ľr die Wahrnehmung einer Aufgabe erforderlich, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde, so k√∂nnen im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, f√ľr die eine Weiterverarbeitung als vereinbar und rechtm√§√üig erachtet wird. Die Weiterverarbeitung f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, f√ľr wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke sollte als vereinbarer und rechtm√§√üiger Verarbeitungsvorgang gelten. Die im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage f√ľr die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage f√ľr eine Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, f√ľr den die personenbezogenen Daten urspr√ľnglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen f√ľr die Rechtm√§√üigkeit der urspr√ľnglichen Verarbeitung unter anderem pr√ľfen, ob ein Zusammenhang zwischen den Zwecken, f√ľr die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vern√ľnftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung f√ľr die betroffenen Personen hat und ob sowohl beim urspr√ľnglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und verh√§ltnism√§√üige Ma√ünahme zum Schutz insbesondere wichtiger Ziele des allgemeinen √∂ffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten d√ľrfen. In jedem Fall sollte gew√§hrleistet sein, dass die in dieser Verordnung niedergelegten Grunds√§tze angewandt werden und insbesondere die betroffene Person √ľber diese anderen Zwecke und √ľber ihre Rechte einschlie√ülich des Widerspruchsrechts unterrichtet wird. Der Hinweis des Verantwortlichen auf m√∂gliche Straftaten oder Bedrohungen der √∂ffentlichen Sicherheit und die √úbermittlung der ma√ügeblichen personenbezogenen Daten in Einzelf√§llen oder in mehreren F√§llen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der √∂ffentlichen Sicherheit stehen, an eine zust√§ndige Beh√∂rde sollten als berechtigtes Interesse des Verantwortlichen gelten. Eine derartige √úbermittlung personenbezogener Daten im berechtigten Interesse des Verantwortlichen oder deren Weiterverarbeitung sollte jedoch unzul√§ssig sein, wenn die Verarbeitung mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar ist.

(51)

Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken f√ľr die Grundrechte und Grundfreiheiten auftreten k√∂nnen. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs ‚Äěrassische Herkunft‚Äú in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, guthei√üt. Die Verarbeitung von Lichtbildern sollte nicht grunds√§tzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs ‚Äěbiometrische Daten‚Äú erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer nat√ľrlichen Person erm√∂glichen. Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen F√§llen zul√§ssig, wobei zu ber√ľcksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein k√∂nnen, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im √∂ffentlichen Interesse oder die Aus√ľbung √∂ffentlicher Gewalt, die dem Verantwortlichen √ľbertragen wurde, m√∂glich ist. Zus√§tzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grunds√§tze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen f√ľr eine rechtm√§√üige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdr√ľcklich vorgesehen werden, unter anderem bei ausdr√ľcklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtm√§√üiger T√§tigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich f√ľr die Aus√ľbung von Grundfreiheiten einsetzen.

(52)

Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und ‚ÄĒ vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte ‚ÄĒ wenn dies durch das √∂ffentliche Interesse gerechtfertigt ist, insbesondere f√ľr die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschlie√ülich Renten und zwecks Sicherstellung und √úberwachung der Gesundheit und Gesundheitswarnungen, Pr√§vention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren. Eine solche Ausnahme kann zu gesundheitlichen Zwecken gemacht werden, wie der Gew√§hrleistung der √∂ffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualit√§t und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll, oder wenn die Verarbeitung im √∂ffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient. Die Verarbeitung solcher personenbezogener Daten sollte zudem ausnahmsweise erlaubt sein, wenn sie erforderlich ist, um rechtliche Anspr√ľche, sei es in einem Gerichtsverfahren oder in einem Verwaltungsverfahren oder einem au√üergerichtlichen Verfahren, geltend zu machen, auszu√ľben oder zu verteidigen.

(53)

Besondere Kategorien personenbezogener Daten, die eines h√∂heren Schutzes verdienen, sollten nur dann f√ľr gesundheitsbezogene Zwecke verarbeitet werden, wenn dies f√ľr das Erreichen dieser Zwecke im Interesse einzelner nat√ľrlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs, einschlie√ülich der Verarbeitung dieser Daten durch die Verwaltung und die zentralen nationalen Gesundheitsbeh√∂rden zwecks Qualit√§tskontrolle, Verwaltungsinformationen und der allgemeinen nationalen und lokalen √úberwachung des Gesundheitssystems oder des Sozialsystems und zwecks Gew√§hrleistung der Kontinuit√§t der Gesundheits- und Sozialf√ľrsorge und der grenz√ľberschreitenden Gesundheitsversorgung oder Sicherstellung und √úberwachung der Gesundheit und Gesundheitswarnungen oder f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken, die auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhen, die einem im √∂ffentlichen Interesse liegenden Ziel dienen m√ľssen, sowie f√ľr Studien, die im √∂ffentlichen Interesse im Bereich der √∂ffentlichen Gesundheit durchgef√ľhrt werden. Diese Verordnung sollte daher harmonisierte Bedingungen f√ľr die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere wenn die Verarbeitung dieser Daten f√ľr gesundheitsbezogene Zwecke von Personen durchgef√ľhrt wird, die gem√§√ü einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten besondere und angemessene Ma√ünahmen zum Schutz der Grundrechte und der personenbezogenen Daten nat√ľrlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen ‚ÄĒ einschlie√ülich Beschr√§nkungen ‚ÄĒ in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuf√ľhren. Dies sollte jedoch den freien Verkehr personenbezogener Daten innerhalb der Union nicht beeintr√§chtigen, falls die betreffenden Bedingungen f√ľr die grenz√ľberschreitende Verarbeitung solcher Daten gelten.

(54)

Aus Gr√ľnden des √∂ffentlichen Interesses in Bereichen der √∂ffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und besonderen Ma√ünahmen zum Schutz der Rechte und Freiheiten nat√ľrlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff ‚Äě√∂ffentliche Gesundheit‚Äú im Sinne der Verordnung (EG) Nr. 1338/2008 des Europ√§ischen Parlaments und des Rates (11) ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie den Gesundheitszustand einschlie√ülich Morbidit√§t und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schlie√ülich die Ursachen der Mortalit√§t einschlie√üen. Eine solche Verarbeitung von Gesundheitsdaten aus Gr√ľnden des √∂ffentlichen Interesses darf nicht dazu f√ľhren, dass Dritte, unter anderem Arbeitgeber oder Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten.

(55)

Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich oder v√∂lkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gr√ľnden des √∂ffentlichen Interesses.

(56)

Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten √ľber die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gr√ľnden des √∂ffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden.

(57)

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine nat√ľrliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur blo√üen Einhaltung einer Vorschrift dieser Verordnung zus√§tzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zus√§tzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person ‚ÄĒ beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden ‚ÄĒ einschlie√üen.

(58)

Der Grundsatz der Transparenz setzt voraus, dass eine f√ľr die √Ėffentlichkeit oder die betroffene Person bestimmte Information pr√§zise, leicht zug√§nglich und verst√§ndlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zus√§tzlich visuelle Elemente verwendet werden. Diese Information k√∂nnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie f√ľr die √Ėffentlichkeit bestimmt ist. Dies gilt insbesondere f√ľr Situationen, wo die gro√üe Zahl der Beteiligten und die Komplexit√§t der dazu ben√∂tigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzw√ľrdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.

(59)

Es sollten Modalit√§ten festgelegt werden, die einer betroffenen Person die Aus√ľbung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die daf√ľr sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder L√∂schung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch daf√ľr sorgen, dass Antr√§ge elektronisch gestellt werden k√∂nnen, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverz√ľglich, sp√§testens aber innerhalb eines Monats zu beantworten und gegebenenfalls zu begr√ľnden, warum er den Antrag ablehnt.

(60)

Die Grunds√§tze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person √ľber die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verf√ľgung stellen, die unter Ber√ľcksichtigung der besonderen Umst√§nde und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gew√§hrleisten. Dar√ľber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser dar√ľber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zur√ľckhaltung der Daten nach sich ziehen w√ľrde. Die betreffenden Informationen k√∂nnen in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verst√§ndlicher und klar nachvollziehbarer Form einen aussagekr√§ftigen √úberblick √ľber die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

(61)

Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtm√§√üig einem anderen Empf√§nger offengelegt werden d√ľrfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten f√ľr diesen Empf√§nger dar√ľber aufgekl√§rt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten f√ľr einen anderen Zweck zu verarbeiten als den, f√ľr den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen √ľber diesen anderen Zweck und andere erforderliche Informationen zur Verf√ľgung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.

(62)

Die Pflicht, Informationen zur Verf√ľgung zu stellen, er√ľbrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdr√ľcklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unm√∂glich erweist oder mit unverh√§ltnism√§√üig hohem Aufwand verbunden ist. Letzteres k√∂nnte insbesondere bei Verarbeitungen f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden.

(63)

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abst√§nden wahrnehmen k√∂nnen, um sich der Verarbeitung bewusst zu sein und deren Rechtm√§√üigkeit √ľberpr√ľfen zu k√∂nnen. Dies schlie√üt das Recht betroffene Personen auf Auskunft √ľber ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden √Ąrzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn m√∂glich, wie lange sie gespeichert werden, wer die Empf√§nger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in F√§llen, in denen die Verarbeitung auf Profiling beruht. Nach M√∂glichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen k√∂nnen, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten erm√∂glichen w√ľrde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Gesch√§ftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeintr√§chtigen. Dies darf jedoch nicht dazu f√ľhren, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine gro√üe Menge von Informationen √ľber die betroffene Person, so sollte er verlangen k√∂nnen, dass die betroffene Person pr√§zisiert, auf welche Information oder welche Verarbeitungsvorg√§nge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

(64)

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identit√§t einer Auskunft suchenden betroffenen Person zu √ľberpr√ľfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf m√∂gliche Auskunftsersuchen reagieren zu k√∂nnen.

(65)

Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein ‚ÄěRecht auf Vergessenwerden‚Äú, wenn die Speicherung ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, verst√∂√üt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gel√∂scht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, f√ľr die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr ben√∂tigt werden, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gr√ľnden gegen diese Verordnung verst√∂√üt. Dieses Recht ist insbesondere wichtig in F√§llen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten ‚ÄĒ insbesondere die im Internet gespeicherten ‚ÄĒ sp√§ter l√∂schen m√∂chte. Die betroffene Person sollte dieses Recht auch dann aus√ľben k√∂nnen, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtm√§√üig sein, wenn dies f√ľr die Aus√ľbung des Rechts auf freie Meinungs√§u√üerung und Information, zur Erf√ľllung einer rechtlichen Verpflichtung, f√ľr die Wahrnehmung einer Aufgabe, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde, aus Gr√ľnden des √∂ffentlichen Interesses im Bereich der √∂ffentlichen Gesundheit, f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen erforderlich ist.

(66)

Um dem ‚ÄěRecht auf Vergessenwerden‚Äú im Netz mehr Geltung zu verschaffen, sollte das Recht auf L√∂schung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten √∂ffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu l√∂schen. Dabei sollte der Verantwortliche, unter Ber√ľcksichtigung der verf√ľgbaren Technologien und der ihm zur Verf√ľgung stehenden Mittel, angemessene Ma√ünahmen ‚ÄĒ auch technischer Art ‚ÄĒ treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, √ľber den Antrag der betroffenen Person zu informieren.

(67)

Methoden zur Beschr√§nkung der Verarbeitung personenbezogener Daten k√∂nnten unter anderem darin bestehen, dass ausgew√§hlte personenbezogenen Daten vor√ľbergehend auf ein anderes Verarbeitungssystem √ľbertragen werden, dass sie f√ľr Nutzer gesperrt werden oder dass ver√∂ffentliche Daten vor√ľbergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschr√§nkung der Verarbeitung grunds√§tzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht ver√§ndert werden k√∂nnen. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschr√§nkt wurde, sollte in dem System unmissverst√§ndlich hingewiesen werden.

(68)

Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle √ľber die eigenen Daten zu haben, sollte die betroffene Person au√üerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, g√§ngigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu √ľbermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Daten√ľbertragbarkeit erm√∂glichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verf√ľgung gestellt hat oder die Verarbeitung zur Erf√ľllung eines Vertrags erforderlich ist. Es sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt. Dieses Recht sollte naturgem√§√ü nicht gegen Verantwortliche ausge√ľbt werden, die personenbezogenen Daten in Erf√ľllung ihrer √∂ffentlichen Aufgaben verarbeiten. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erf√ľllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder f√ľr die Wahrnehmung einer ihm √ľbertragenen Aufgabe, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung einer ihm √ľbertragenen √∂ffentlichen Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu √ľbermitteln oder zu empfangen, sollte f√ľr den Verantwortlichen nicht die Pflicht begr√ľnden, technisch kompatible Datenverarbeitungssysteme zu √ľbernehmen oder beizubehalten. Ist im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine betroffene Person tangiert, so sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unber√ľhrt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf L√∂schung ihrer personenbezogenen Daten und die Beschr√§nkungen dieses Rechts gem√§√ü dieser Verordnung nicht ber√ľhren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erf√ľllung eines Vertrags zur Verf√ľgung gestellt worden sind, gel√∂scht werden, soweit und solange diese personenbezogenen Daten f√ľr die Erf√ľllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen √ľbermittelt werden.

(69)

D√ľrfen die personenbezogenen Daten m√∂glicherweise rechtm√§√üig verarbeitet werden, weil die Verarbeitung f√ľr die Wahrnehmung einer Aufgabe, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt ‚ÄĒ die dem Verantwortlichen √ľbertragen wurde, ‚ÄĒ oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der f√ľr die Verarbeitung Verantwortliche sollte darlegen m√ľssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

(70)

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche ‚ÄĒ urspr√ľngliche oder sp√§tere ‚ÄĒ Verarbeitung einschlie√ülich des Profilings einlegen k√∂nnen, als sie mit dieser Direktwerbung zusammenh√§ngt. Die betroffene Person sollte ausdr√ľcklich auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verst√§ndlichen und von anderen Informationen getrennten Form erfolgen.

(71)

Die betroffene Person sollte das Recht haben, keiner Entscheidung ‚ÄĒ was eine Ma√ünahme einschlie√üen kann ‚ÄĒ zur Bewertung von sie betreffenden pers√∂nlichen Aspekten unterworfen zu werden, die ausschlie√ülich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung f√ľr die betroffene Person entfaltet oder sie in √§hnlicher Weise erheblich beeintr√§chtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung z√§hlt auch das ‚ÄěProfiling‚Äú, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der pers√∂nlichen Aspekte in Bezug auf eine nat√ľrliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bez√ľglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers√∂nliche Vorlieben oder Interessen, Zuverl√§ssigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung f√ľr die betroffene Person entfaltet oder sie in √§hnlicher Weise erheblich beeintr√§chtigt. Eine auf einer derartigen Verarbeitung, einschlie√ülich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der f√ľr die Verarbeitung Verantwortliche unterliegt, ausdr√ľcklich zul√§ssig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu √ľberwachen und zu verhindern und die Sicherheit und Zuverl√§ssigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gew√§hrleisten, oder wenn dies f√ľr den Abschluss oder die Erf√ľllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdr√ľckliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschlie√ülich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erl√§uterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Ma√ünahme sollte kein Kind betreffen.

Um unter Ber√ľcksichtigung der besonderen Umst√§nde und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegen√ľber eine faire und transparente Verarbeitung zu gew√§hrleisten, sollte der f√ľr die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren f√ľr das Profiling verwenden, technische und organisatorische Ma√ünahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten f√ľhren, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen f√ľr die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegen√ľber nat√ľrlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugeh√∂rigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Ma√ünahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.

(72)

Das Profiling unterliegt den Vorschriften dieser Verordnung f√ľr die Verarbeitung personenbezogener Daten, wie etwa die Rechtsgrundlage f√ľr die Verarbeitung oder die Datenschutzgrunds√§tze. Der durch diese Verordnung eingerichtete Europ√§ische Datenschutzausschuss (im Folgenden ‚ÄěAusschuss‚Äú) sollte, diesbez√ľglich Leitlinien herausgeben k√∂nnen.

(73)

Im Recht der Union oder der Mitgliedstaaten k√∂nnen Beschr√§nkungen hinsichtlich bestimmter Grunds√§tze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und Berichtigung oder L√∂schung personenbezogener Daten, des Rechts auf Daten√ľbertragbarkeit und Widerspruch, Entscheidungen, die auf der Erstellung von Profilen beruhen, sowie Mitteilungen √ľber eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenh√§ngenden Pflichten der Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verh√§ltnism√§√üig ist, um die √∂ffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, die Verh√ľtung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung ‚ÄĒ was auch den Schutz vor und die Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit einschlie√üt ‚ÄĒ oder die Verh√ľtung, Aufdeckung und Verfolgung von Verst√∂√üen gegen Berufsstandsregeln bei reglementierten Berufen, das F√ľhren √∂ffentlicher Register aus Gr√ľnden des allgemeinen √∂ffentlichen Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalit√§ren Regimen geh√∂rt, und zum Schutz sonstiger wichtiger Ziele des allgemeinen √∂ffentlichen Interesses der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen, einschlie√ülich in den Bereichen soziale Sicherheit, √∂ffentliche Gesundheit und humanit√§re Hilfe, zu sch√ľtzen. Diese Beschr√§nkungen sollten mit der Charta und mit der Europ√§ischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.

(74)

Die Verantwortung und Haftung des Verantwortlichen f√ľr jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Ma√ünahmen treffen m√ľssen und nachweisen k√∂nnen, dass die Verarbeitungst√§tigkeiten im Einklang mit dieser Verordnung stehen und die Ma√ünahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung und das Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ber√ľcksichtigen.

(75)

Die Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ‚ÄĒ mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere ‚ÄĒ k√∂nnen aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden f√ľhren k√∂nnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identit√§tsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufsch√§digung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen f√ľhren kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi√∂se oder weltanschauliche √úberzeugungen oder die Zugeh√∂rigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenh√§ngende Sicherungsma√üregeln betreffende Daten verarbeitet werden, wenn pers√∂nliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers√∂nliche Vorlieben oder Interessen, die Zuverl√§ssigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um pers√∂nliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbed√ľrftiger nat√ľrlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine gro√üe Menge personenbezogener Daten und eine gro√üe Anzahl von betroffenen Personen betrifft.

(76)

Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

(77)

Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Ma√ünahmen durchzuf√ľhren hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Absch√§tzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bew√§hrter Verfahren f√ľr dessen Eind√§mmung betrifft, k√∂nnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. Der Ausschuss kann ferner Leitlinien f√ľr Verarbeitungsvorg√§nge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen, und angeben, welche Abhilfema√ünahmen in diesen F√§llen ausreichend sein k√∂nnen.

(78)

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten nat√ľrlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Ma√ünahmen getroffen werden, damit die Anforderungen dieser Verordnung erf√ľllt werden. Um die Einhaltung dieser Verordnung nachweisen zu k√∂nnen, sollte der Verantwortliche interne Strategien festlegen und Ma√ünahmen ergreifen, die insbesondere den Grunds√§tzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Gen√ľge tun. Solche Ma√ünahmen k√∂nnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie m√∂glich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person erm√∂glicht wird, die Verarbeitung personenbezogener Daten zu √ľberwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erf√ľllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu ber√ľcksichtigen und unter geb√ľhrender Ber√ľcksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grunds√§tzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei √∂ffentlichen Ausschreibungen Rechnung getragen werden.

(79)

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bez√ľglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es ‚ÄĒ auch mit Blick auf die √úberwachungs- und sonstigen Ma√ünahmen von Aufsichtsbeh√∂rden ‚ÄĒ einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschlie√ülich der F√§lle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgef√ľhrt wird.

(80)

Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungst√§tigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten ‚ÄĒ unabh√§ngig davon, ob von der betroffenen Person eine Zahlung verlangt wird ‚ÄĒ oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen m√ľssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schlie√üt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten ein und bringt unter Ber√ľcksichtigung ihrer Art, ihrer Umst√§nde, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Beh√∂rde oder √∂ffentliche Stelle. Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters t√§tig werden und den Aufsichtsbeh√∂rden als Anlaufstelle dienen. Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdr√ľcklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln. Die Benennung eines solchen Vertreters ber√ľhrt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Ma√ügabe dieser Verordnung. Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausf√ľhren und insbesondere mit den zust√§ndigen Aufsichtsbeh√∂rden in Bezug auf Ma√ünahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten. Bei Verst√∂√üen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.

(81)

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungst√§tigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die ‚ÄĒ insbesondere im Hinblick auf Fachwissen, Zuverl√§ssigkeit und Ressourcen ‚ÄĒ hinreichende Garantien daf√ľr bieten, dass technische und organisatorische Ma√ünahmen ‚ÄĒ auch f√ľr die Sicherheit der Verarbeitung ‚ÄĒ getroffen werden, die den Anforderungen dieser Verordnung gen√ľgen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erf√ľllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchf√ľhrung einer Verarbeitung durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko f√ľr die Rechte und Freiheiten der betroffenen Person zu ber√ľcksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter k√∂nnen entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Koh√§renzverfahren von einer Aufsichtsbeh√∂rde angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zur√ľckgeben oder l√∂schen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(82)

Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungst√§tigkeiten, die seiner Zust√§ndigkeit unterliegen, f√ľhren. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbeh√∂rde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorg√§nge anhand dieser Verzeichnisse kontrolliert werden k√∂nnen.

(83)

Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung versto√üende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Ma√ünahmen zu ihrer Eind√§mmung, wie etwa eine Verschl√ľsselung, treffen. Diese Ma√ünahmen sollten unter Ber√ľcksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau ‚ÄĒ auch hinsichtlich der Vertraulichkeit ‚ÄĒ gew√§hrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu sch√ľtzenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken ber√ľcksichtigt werden, wie etwa ‚ÄĒ ob unbeabsichtigt oder unrechtm√§√üig ‚ÄĒ Vernichtung, Verlust, Ver√§nderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die √ľbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden f√ľhren k√∂nnte.

(84)

Damit diese Verordnung in F√§llen, in denen die Verarbeitungsvorg√§nge wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche f√ľr die Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Absch√§tzung sollten ber√ľcksichtigt werden, wenn dar√ľber entschieden wird, welche geeigneten Ma√ünahmen ergriffen werden m√ľssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabsch√§tzung hervor, dass Verarbeitungsvorg√§nge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Ma√ünahmen in Bezug auf verf√ľgbare Technik und Implementierungskosten eind√§mmen kann, so sollte die Aufsichtsbeh√∂rde vor der Verarbeitung konsultiert werden.

(85)

Eine Verletzung des Schutzes personenbezogener Daten kann ‚ÄĒ wenn nicht rechtzeitig und angemessen reagiert wird ‚ÄĒ einen physischen, materiellen oder immateriellen Schaden f√ľr nat√ľrliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle √ľber ihre personenbezogenen Daten oder Einschr√§nkung ihrer Rechte, Diskriminierung, Identit√§tsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufsch√§digung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile f√ľr die betroffene nat√ľrliche Person. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbeh√∂rde von der Verletzung des Schutzes personenbezogener Daten unverz√ľglich und, falls m√∂glich, binnen h√∂chstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gr√ľnde f√ľr die Verz√∂gerung angegeben werden m√ľssen, und die Informationen k√∂nnen schrittweise ohne unangemessene weitere Verz√∂gerung bereitgestellt werden.

(86)

Der f√ľr die Verarbeitung Verantwortliche sollte die betroffene Person unverz√ľglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt, damit diese die erforderlichen Vorkehrungen treffen k√∂nnen. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene nat√ľrliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen m√∂glich, in enger Absprache mit der Aufsichtsbeh√∂rde und nach Ma√ügabe der von dieser oder von anderen zust√§ndigen Beh√∂rden wie beispielsweise Strafverfolgungsbeh√∂rden erteilten Weisungen erfolgen. Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu k√∂nnen, m√ľssten betroffene Personen sofort benachrichtigt werden, wohingegen eine l√§ngere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Ma√ünahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen.

(87)

Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Ma√ünahmen getroffen wurden, um sofort feststellen zu k√∂nnen, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbeh√∂rde und die betroffene Person umgehend unterrichten zu k√∂nnen. Bei der Feststellung, ob die Meldung unverz√ľglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen f√ľr die betroffene Person ber√ľcksichtigt werden. Die entsprechende Meldung kann zu einem T√§tigwerden der Aufsichtsbeh√∂rde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen f√ľhren.

(88)

Bei der detaillierten Regelung des Formats und der Verfahren f√ľr die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umst√§nde der Verletzung hinreichend ber√ľcksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen gesch√ľtzt waren, die die Wahrscheinlichkeit eines Identit√§tsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. √úberdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbeh√∂rden in F√§llen Rechnung tragen, in denen die Untersuchung der Umst√§nde einer Verletzung des Schutzes personenbezogener Daten durch eine fr√ľhzeitige Offenlegung in unn√∂tiger Weise behindert w√ľrde.

(89)

Gem√§√ü der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbeh√∂rden generell meldepflichtig. Diese Meldepflicht ist mit einem b√ľrokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen F√§llen zu einem besseren Schutz personenbezogener Daten gef√ľhrt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorg√§ngen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umst√§nde und ihrer Zwecke wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorg√§ngen geh√∂ren insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabsch√§tzung durchgef√ľhrt hat bzw. bei denen aufgrund der seit der urspr√ľnglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabsch√§tzung notwendig geworden ist.

(90)

In derartigen F√§llen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabsch√§tzung durchf√ľhren, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Ber√ľcksichtigung der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabsch√§tzung sollte sich insbesondere mit den Ma√ünahmen, Garantien und Verfahren befassen, durch die dieses Risiko einged√§mmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.

(91)

Dies sollte insbesondere f√ľr umfangreiche Verarbeitungsvorg√§nge gelten, die dazu dienen, gro√üe Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine gro√üe Zahl von Personen betreffen k√∂nnten und ‚ÄĒ beispielsweise aufgrund ihrer Sensibilit√§t ‚ÄĒ wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in gro√üem Umfang eine neue Technologie eingesetzt wird, sowie f√ľr andere Verarbeitungsvorg√§nge, die ein hohes Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorg√§nge den betroffenen Personen die Aus√ľbung ihrer Rechte erschweren. Eine Datenschutz-Folgenabsch√§tzung sollte auch durchgef√ľhrt werden, wenn die personenbezogenen Daten f√ľr das Treffen von Entscheidungen in Bezug auf bestimmte nat√ľrliche Personen im Anschluss an eine systematische und eingehende Bewertung pers√∂nlicher Aspekte nat√ľrlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten sowie damit zusammenh√§ngende Sicherungsma√üregeln verarbeitet werden. Gleicherma√üen erforderlich ist eine Datenschutz-Folgenabsch√§tzung f√ľr die weitr√§umige √úberwachung √∂ffentlich zug√§nglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder f√ľr alle anderen Vorg√§nge, bei denen nach Auffassung der zust√§ndigen Aufsichtsbeh√∂rde die Verarbeitung wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Aus√ľbung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchf√ľhrung eines Vertrags hindern oder weil sie systematisch in gro√üem Umfang erfolgen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angeh√∂rigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen F√§llen sollte eine Datenschutz-Folgenabsch√§tzung nicht zwingend vorgeschrieben sein.

(92)

Unter bestimmten Umst√§nden kann es vern√ľnftig und unter √∂konomischen Gesichtspunkten zweckm√§√üig sein, eine Datenschutz-Folgenabsch√§tzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen ‚ÄĒ beispielsweise wenn Beh√∂rden oder √∂ffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen m√∂chten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung f√ľr einen gesamten Wirtschaftssektor, f√ľr ein bestimmtes Marktsegment oder f√ľr eine weit verbreitete horizontale T√§tigkeit einf√ľhren m√∂chten.

(93)

Anl√§sslich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Beh√∂rde oder √∂ffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorg√§ngen regelt, k√∂nnen die Mitgliedstaaten es f√ľr erforderlich erachten, solche Folgeabsch√§tzungen vor den Verarbeitungsvorg√§ngen durchzuf√ľhren.

(94)

Geht aus einer Datenschutz-Folgenabsch√§tzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen w√ľrde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verf√ľgbare Technologien und Implementierungskosten vertretbare Mittel einged√§mmt werden kann, so sollte die Aufsichtsbeh√∂rde vor Beginn der Verarbeitungst√§tigkeiten konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der H√§ufigkeit der Verarbeitung verbunden, die f√ľr nat√ľrliche Personen auch eine Sch√§digung oder eine Beeintr√§chtigung der pers√∂nlichen Rechte und Freiheiten mit sich bringen k√∂nnen. Die Aufsichtsbeh√∂rde sollte das Beratungsersuchen innerhalb einer bestimmten Frist beantworten. Allerdings kann sie, auch wenn sie nicht innerhalb dieser Frist reagiert hat, entsprechend ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschlie√üt, Verarbeitungsvorg√§nge zu untersagen. Im Rahmen dieses Konsultationsprozesses kann das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgef√ľhrten Datenschutz-Folgenabsch√§tzung der Aufsichtsbeh√∂rde unterbreitet werden; dies gilt insbesondere f√ľr die zur Eind√§mmung des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen geplanten Ma√ünahmen.

(95)

Der Auftragsverarbeiter sollte erforderlichenfalls den Verantwortlichen auf Anfrage bei der Gew√§hrleistung der Einhaltung der sich aus der Durchf√ľhrung der Datenschutz-Folgenabsch√§tzung und der vorherigen Konsultation der Aufsichtsbeh√∂rde ergebenden Auflagen unterst√ľtzen.

(96)

Eine Konsultation der Aufsichtsbeh√∂rde sollte auch w√§hrend der Ausarbeitung von Gesetzes- oder Regelungsvorschriften, in denen eine Verarbeitung personenbezogener Daten vorgesehen ist, erfolgen, um die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sicherzustellen und insbesondere das mit ihr f√ľr die betroffene Person verbundene Risiko einzud√§mmen.

(97)

In F√§llen, in denen die Verarbeitung durch eine Beh√∂rde ‚ÄĒ mit Ausnahmen von Gerichten oder unabh√§ngigen Justizbeh√∂rden, die im Rahmen ihrer justiziellen T√§tigkeit handeln ‚Äď, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kernt√§tigkeit in Verarbeitungsvorg√§ngen besteht, die eine regelm√§√üige und systematische √úberwachung der betroffenen Personen in gro√üem Umfang erfordern, oder wenn die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der √úberwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die √ľber Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verf√ľgt, unterst√ľtzt werden Im privaten Sektor bezieht sich die Kernt√§tigkeit eines Verantwortlichen auf seine Hauptt√§tigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebent√§tigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgef√ľhrten Datenverarbeitungsvorg√§ngen und dem erforderlichen Schutz f√ľr die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabh√§ngig davon, ob es sich bei ihnen um Besch√§ftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollst√§ndiger Unabh√§ngigkeit aus√ľben k√∂nnen.

(98)

Verb√§nde oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bed√ľrfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist. Insbesondere k√∂nnten in diesen Verhaltensregeln ‚ÄĒ unter Ber√ľcksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ‚ÄĒ die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.

(99)

Bei der Ausarbeitung oder bei der √Ąnderung oder Erweiterung solcher Verhaltensregeln sollten Verb√§nde und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die ma√ügeblichen Interessentr√§ger, m√∂glichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, ber√ľcksichtigen.

(100)

Um die Transparenz zu erh√∂hen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -pr√ľfzeichen eingef√ľhrt werden, die den betroffenen Personen einen raschen √úberblick √ľber das Datenschutzniveau einschl√§giger Produkte und Dienstleistungen erm√∂glichen.

(101)

Der Fluss personenbezogener Daten aus Drittl√§ndern und internationalen Organisationen und in Drittl√§nder und internationale Organisationen ist f√ľr die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit notwendig. Durch die Zunahme dieser Datenstr√∂me sind neue Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener Daten entstanden. Das durch diese Verordnung unionsweit gew√§hrleistete Schutzniveau f√ľr nat√ľrliche Personen sollte jedoch bei der √úbermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empf√§nger in Drittl√§ndern oder an internationale Organisationen nicht untergraben werden, und zwar auch dann nicht, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiter√ľbermittelt werden. In jedem Fall sind derartige Daten√ľbermittlungen an Drittl√§nder und internationale Organisationen nur unter strikter Einhaltung dieser Verordnung zul√§ssig. Eine Daten√ľbermittlung k√∂nnte nur stattfinden, wenn die in dieser Verordnung festgelegten Bedingungen zur √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen vorbehaltlich der √ľbrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erf√ľllt werden.

(102)

Internationale Abkommen zwischen der Union und Drittl√§ndern √ľber die √úbermittlung von personenbezogenen Daten einschlie√ülich geeigneter Garantien f√ľr die betroffenen Personen werden von dieser Verordnung nicht ber√ľhrt. Die Mitgliedstaaten k√∂nnen v√∂lkerrechtliche √úbereink√ľnfte schlie√üen, die die √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen beinhalten, sofern sich diese √úbereink√ľnfte weder auf diese Verordnung noch auf andere Bestimmungen des Unionsrechts auswirken und ein angemessenes Schutzniveau f√ľr die Grundrechte der betroffenen Personen umfassen.

(103)

Die Kommission darf mit Wirkung f√ľr die gesamte Union beschlie√üen, dass ein bestimmtes Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet, und auf diese Weise in Bezug auf das Drittland oder die internationale Organisation, das bzw. die f√ľr f√§hig gehalten wird, ein solches Schutzniveau zu bieten, in der gesamten Union Rechtssicherheit schaffen und eine einheitliche Rechtsanwendung sicherstellen. In derartigen F√§llen d√ľrfen personenbezogene Daten ohne weitere Genehmigung an dieses Land oder diese internationale Organisation √ľbermittelt werden. Die Kommission kann, nach Abgabe einer ausf√ľhrlichen Erkl√§rung, in der dem Drittland oder der internationalen Organisation eine Begr√ľndung gegeben wird, auch entscheiden, eine solche Feststellung zu widerrufen.

(104)

In √úbereinstimmung mit den Grundwerten der Union, zu denen insbesondere der Schutz der Menschenrechte z√§hlt, sollte die Kommission bei der Bewertung des Drittlands oder eines Gebiets oder eines bestimmten Sektors eines Drittlands ber√ľcksichtigen, inwieweit dort die Rechtsstaatlichkeit gewahrt ist, der Rechtsweg gew√§hrleistet ist und die internationalen Menschenrechtsnormen und -standards eingehalten werden und welche allgemeinen und sektorspezifischen Vorschriften, wozu auch die Vorschriften √ľber die √∂ffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit sowie die √∂ffentliche Ordnung und das Strafrecht z√§hlen, dort gelten. Die Annahme eines Angemessenheitsbeschlusses in Bezug auf ein Gebiet oder einen bestimmten Sektor eines Drittlands sollte unter Ber√ľcksichtigung eindeutiger und objektiver Kriterien wie bestimmter Verarbeitungsvorg√§nge und des Anwendungsbereichs anwendbarer Rechtsnormen und geltender Rechtsvorschriften in dem Drittland erfolgen. Das Drittland sollte Garantien f√ľr ein angemessenes Schutzniveau bieten, das dem innerhalb der Union gew√§hrleisteten Schutzniveau der Sache nach gleichwertig ist, insbesondere in F√§llen, in denen personenbezogene Daten in einem oder mehreren spezifischen Sektoren verarbeitet werden. Das Drittland sollte insbesondere eine wirksame unabh√§ngige √úberwachung des Datenschutzes gew√§hrleisten und Mechanismen f√ľr eine Zusammenarbeit mit den Datenschutzbeh√∂rden der Mitgliedstaaten vorsehen, und den betroffenen Personen sollten wirksame und durchsetzbare Rechte sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe einger√§umt werden.

(105)

Die Kommission sollte neben den internationalen Verpflichtungen, die das Drittland oder die internationale Organisation eingegangen ist, die Verpflichtungen, die sich aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere im Hinblick auf den Schutz personenbezogener Daten ergeben, sowie die Umsetzung dieser Verpflichtungen ber√ľcksichtigen. Insbesondere sollte der Beitritt des Drittlands zum √úbereinkommen des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem dazugeh√∂rigen Zusatzprotokoll ber√ľcksichtigt werden. Die Kommission sollte den Ausschuss konsultieren, wenn sie das Schutzniveau in Drittl√§ndern oder internationalen Organisationen bewertet.

(106)

Die Kommission sollte die Wirkungsweise von Feststellungen zum Schutzniveau in einem Drittland, einem Gebiet oder einem bestimmten Sektor eines Drittlands oder einer internationalen Organisation √ľberwachen; sie sollte auch die Wirkungsweise der Feststellungen, die auf der Grundlage des Artikels 25 Absatz 6 oder des Artikels 26 Absatz 4 der Richtlinie 95/46/EG erlassen werden, √ľberwachen. In ihren Angemessenheitsbeschl√ľssen sollte die Kommission einen Mechanismus f√ľr die regelm√§√üige √úberpr√ľfung von deren Wirkungsweise vorsehen. Diese regelm√§√üige √úberpr√ľfung sollte in Konsultation mit dem betreffenden Drittland oder der betreffenden internationalen Organisation erfolgen und allen ma√ügeblichen Entwicklungen in dem Drittland oder der internationalen Organisation Rechnung tragen. F√ľr die Zwecke der √úberwachung und der Durchf√ľhrung der regelm√§√üigen √úberpr√ľfungen sollte die Kommission die Standpunkte und Feststellungen des Europ√§ischen Parlaments und des Rates sowie der anderen einschl√§gigen Stellen und Quellen ber√ľcksichtigen. Die Kommission sollte innerhalb einer angemessenen Frist die Wirkungsweise der letztgenannten Beschl√ľsse bewerten und dem durch diese Verordnung eingesetzten Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 des Europ√§ischen Parlaments und des Rates (12) sowie dem Europ√§ischen Parlament und dem Rat √ľber alle ma√ügeblichen Feststellungen Bericht erstatten.

(107)

Die Kommission kann feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation kein angemessenes Datenschutzniveau mehr bietet. Die √úbermittlung personenbezogener Daten an dieses Drittland oder an diese internationale Organisation sollte daraufhin verboten werden, es sei denn, die Anforderungen dieser Verordnung in Bezug auf die Daten√ľbermittlung vorbehaltlich geeigneter Garantien, einschlie√ülich verbindlicher interner Datenschutzvorschriften und auf Ausnahmen f√ľr bestimmte F√§lle werden erf√ľllt. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittl√§ndern oder internationalen Organisationen vorgesehen werden. Die Kommission sollte dem Drittland oder der internationalen Organisation fr√ľhzeitig die Gr√ľnde mitteilen und Konsultationen aufnehmen, um Abhilfe f√ľr die Situation zu schaffen.

(108)

Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich f√ľr den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien f√ľr den Schutz der betroffenen Person vorsehen. Diese geeigneten Garantien k√∂nnen darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbeh√∂rde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbeh√∂rde genehmigte Vertragsklauseln zur√ľckgegriffen wird. Diese Garantien sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verf√ľgbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen einschlie√ülich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzanspr√ľchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grunds√§tze f√ľr die Verarbeitung personenbezogener Daten, die Grunds√§tze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen beziehen. Daten√ľbermittlungen d√ľrfen auch von Beh√∂rden oder √∂ffentlichen Stellen an Beh√∂rden oder √∂ffentliche Stellen in Drittl√§ndern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen ‚ÄĒ wie beispielsweise einer gemeinsamen Absichtserkl√§rung ‚Äď, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte einger√§umt werden, aufzunehmen sind. Die Genehmigung der zust√§ndigen Aufsichtsbeh√∂rde sollte erlangt werden, wenn die Garantien in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind.

(109)

Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende M√∂glichkeit, auf die von der Kommission oder einer Aufsichtsbeh√∂rde festgelegten Standard-Datenschutzklauseln zur√ľckzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Vertr√§gen, wie zum Beispiel Vertr√§gen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch ihn daran hindern, ihnen weitere Klauseln oder zus√§tzliche Garantien hinzuzuf√ľgen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbeh√∂rde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln erg√§nzen, zus√§tzliche Garantien zu bieten.

(110)

Jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, sollte f√ľr ihre internationalen Daten√ľbermittlungen aus der Union an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, genehmigte verbindliche interne Datenschutzvorschriften anwenden d√ľrfen, sofern diese s√§mtliche Grundprinzipien und durchsetzbaren Rechte enthalten, die geeignete Garantien f√ľr die √úbermittlungen beziehungsweise Kategorien von √úbermittlungen personenbezogener Daten bieten.

(111)

Daten√ľbermittlungen sollten unter bestimmten Voraussetzungen zul√§ssig sein, n√§mlich wenn die betroffene Person ihre ausdr√ľckliche Einwilligung erteilt hat, wenn die √úbermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsanspr√ľchen, sei es vor Gericht oder auf dem Verwaltungswege oder in au√üergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbeh√∂rden z√§hlen, erforderlich ist. Die √úbermittlung sollte zudem m√∂glich sein, wenn sie zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaats festgelegten wichtigen √∂ffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der √Ėffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche √úbermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken d√ľrfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die √úbermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der √úbermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.

(112)

Diese Ausnahmen sollten insbesondere f√ľr Daten√ľbermittlungen gelten, die aus wichtigen Gr√ľnden des √∂ffentlichen Interesses erforderlich sind, beispielsweise f√ľr den internationalen Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbeh√∂rden, zwischen Finanzaufsichtsbeh√∂rden oder zwischen f√ľr Angelegenheiten der sozialen Sicherheit oder f√ľr die √∂ffentliche Gesundheit zust√§ndigen Diensten, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung und/oder Beseitigung des Dopings im Sport. Die √úbermittlung personenbezogener Daten sollte ebenfalls als rechtm√§√üig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das f√ľr die lebenswichtigen Interessen ‚ÄĒ einschlie√ülich der k√∂rperlichen Unversehrtheit oder des Lebens ‚ÄĒ der betroffenen Person oder einer anderen Person wesentlich ist, zu sch√ľtzen und die betroffene Person au√üerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so k√∂nnen im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gr√ľnden des √∂ffentlichen Interesses ausdr√ľcklich Beschr√§nkungen der √úbermittlung bestimmter Kategorien von Daten an Drittl√§nder oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten sollten solche Bestimmungen der Kommission mitteilen. Jede √úbermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gr√ľnden au√üerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanit√§re Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuf√ľhren oder um dem in bewaffneten Konflikten anwendbaren humanit√§ren V√∂lkerrecht nachzukommen, k√∂nnte als aus einem wichtigen Grund im √∂ffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden.

(113)

√úbermittlungen, die als nicht wiederholt erfolgend gelten k√∂nnen und nur eine begrenzte Zahl von betroffenen Personen betreffen, k√∂nnten auch zur Wahrung der zwingenden berechtigten Interessen des Verantwortlichen m√∂glich sein, sofern die Interessen oder Rechte und Freiheiten der betroffenen Person nicht √ľberwiegen und der Verantwortliche s√§mtliche Umst√§nde der Daten√ľbermittlung gepr√ľft hat. Der Verantwortliche sollte insbesondere die Art der personenbezogenen Daten, den Zweck und die Dauer der vorgesehenen Verarbeitung, die Situation im Herkunftsland, in dem betreffenden Drittland und im Endbestimmungsland ber√ľcksichtigen und angemessene Garantien zum Schutz der Grundrechte und Grundfreiheiten nat√ľrlicher Personen in Bezug auf die Verarbeitung ihrer personenbezogener Daten vorsehen. Diese √úbermittlungen sollten nur in den verbleibenden F√§llen m√∂glich sein, in denen keiner der anderen Gr√ľnde f√ľr die √úbermittlung anwendbar ist. Bei wissenschaftlichen oder historischen Forschungszwecken oder bei statistischen Zwecken sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs ber√ľcksichtigt werden. Der Verantwortliche sollte die Aufsichtsbeh√∂rde und die betroffene Person von der √úbermittlung in Kenntnis setzen.

(114)

In allen F√§llen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf L√∂sungen zur√ľckgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der √úbermittlung dieser Daten einger√§umt werden, damit sie weiterhin die Grundrechte und Garantien genie√üen k√∂nnen.

(115)

Manche Drittl√§nder erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungst√§tigkeiten nat√ľrlicher und juristischer Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbeh√∂rden in Drittl√§ndern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die √úbermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale √úbereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gest√ľtzt sind. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte au√üerhalb des Hoheitsgebiets der betreffenden Drittl√§nder kann gegen internationales Recht versto√üen und dem durch diese Verordnung in der Union gew√§hrleisteten Schutz nat√ľrlicher Personen zuwiderlaufen. Daten√ľbermittlungen sollten daher nur zul√§ssig sein, wenn die Bedingungen dieser Verordnung f√ľr Daten√ľbermittlungen an Drittl√§nder eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen √∂ffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt ist.

(116)

Wenn personenbezogene Daten in ein anderes Land au√üerhalb der Union √ľbermittelt werden, besteht eine erh√∂hte Gefahr, dass nat√ľrliche Personen ihre Datenschutzrechte nicht wahrnehmen k√∂nnen und sich insbesondere gegen die unrechtm√§√üige Nutzung oder Offenlegung dieser Informationen zu sch√ľtzen. Ebenso kann es vorkommen, dass Aufsichtsbeh√∂rden Beschwerden nicht nachgehen oder Untersuchungen nicht durchf√ľhren k√∂nnen, die einen Bezug zu T√§tigkeiten au√üerhalb der Grenzen ihres Mitgliedstaats haben. Ihre Bem√ľhungen um grenz√ľberschreitende Zusammenarbeit k√∂nnen auch durch unzureichende Pr√§ventiv- und Abhilfebefugnisse, widerspr√ľchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Die Zusammenarbeit zwischen den Datenschutzaufsichtsbeh√∂rden muss daher gef√∂rdert werden, damit sie Informationen austauschen und mit den Aufsichtsbeh√∂rden in anderen L√§ndern Untersuchungen durchf√ľhren k√∂nnen. Um Mechanismen der internationalen Zusammenarbeit zu entwickeln, die die internationale Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtern und sicherstellen, sollten die Kommission und die Aufsichtsbeh√∂rden Informationen austauschen und bei T√§tigkeiten, die mit der Aus√ľbung ihrer Befugnisse in Zusammenhang stehen, mit den zust√§ndigen Beh√∂rden der Drittl√§nder nach dem Grundsatz der Gegenseitigkeit und gem√§√ü dieser Verordnung zusammenarbeiten.

(117)

Die Errichtung von Aufsichtsbeh√∂rden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse v√∂llig unabh√§ngig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbeh√∂rde errichten k√∂nnen, wenn dies ihrer verfassungsm√§√üigen, organisatorischen und administrativen Struktur entspricht.

(118)

Die Tatsache, dass die Aufsichtsbeh√∂rden unabh√§ngig sind, sollte nicht bedeuten, dass sie hinsichtlich ihrer Ausgaben keinem Kontroll- oder √úberwachungsmechanismus unterworfen werden bzw. sie keiner gerichtlichen √úberpr√ľfung unterzogen werden k√∂nnen.

(119)

Errichtet ein Mitgliedstaat mehrere Aufsichtsbeh√∂rden, so sollte er mittels Rechtsvorschriften sicherstellen, dass diese Aufsichtsbeh√∂rden am Koh√§renzverfahren wirksam beteiligt werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbeh√∂rde bestimmen, die als zentrale Anlaufstelle f√ľr eine wirksame Beteiligung dieser Beh√∂rden an dem Verfahren fungiert und eine rasche und reibungslose Zusammenarbeit mit anderen Aufsichtsbeh√∂rden, dem Ausschuss und der Kommission gew√§hrleistet.

(120)

Jede Aufsichtsbeh√∂rde sollte mit Finanzmitteln, Personal, R√§umlichkeiten und einer Infrastruktur ausgestattet werden, wie sie f√ľr die wirksame Wahrnehmung ihrer Aufgaben, einschlie√ülich derer im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbeh√∂rden in der gesamten Union, notwendig sind. Jede Aufsichtsbeh√∂rde sollte √ľber einen eigenen, √∂ffentlichen, j√§hrlichen Haushaltsplan verf√ľgen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann.

(121)

Die allgemeinen Anforderungen an das Mitglied oder die Mitglieder der Aufsichtsbeh√∂rde sollten durch Rechtsvorschriften von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder im Wege eines transparenten Verfahrens entweder ‚ÄĒ auf Vorschlag der Regierung, eines Mitglieds der Regierung, des Parlaments oder einer Parlamentskammer ‚ÄĒ vom Parlament, der Regierung oder dem Staatsoberhaupt des Mitgliedstaats oder von einer unabh√§ngigen Stelle ernannt werden, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Um die Unabh√§ngigkeit der Aufsichtsbeh√∂rde zu gew√§hrleisten, sollten ihre Mitglieder ihr Amt integer aus√ľben, von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen absehen und w√§hrend ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche T√§tigkeit aus√ľben. Die Aufsichtsbeh√∂rde sollte √ľber eigenes Personal verf√ľgen, das sie selbst oder eine nach dem Recht des Mitgliedstaats eingerichtete unabh√§ngige Stelle ausw√§hlt und das ausschlie√ülich der Leitung des Mitglieds oder der Mitglieder der Aufsichtsbeh√∂rde unterstehen sollte.

(122)

Jede Aufsichtsbeh√∂rde sollte daf√ľr zust√§ndig sein, im Hoheitsgebiet ihres Mitgliedstaats die Befugnisse auszu√ľben und die Aufgaben zu erf√ľllen, die ihr mit dieser Verordnung √ľbertragen wurden. Dies sollte insbesondere f√ľr Folgendes gelten: die Verarbeitung im Rahmen der T√§tigkeiten einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats, die Verarbeitung personenbezogener Daten durch Beh√∂rden oder private Stellen, die im √∂ffentlichen Interesse handeln, Verarbeitungst√§tigkeiten, die Auswirkungen auf betroffene Personen in ihrem Hoheitsgebiet haben, oder Verarbeitungst√§tigkeiten eines Verantwortlichen oder Auftragsverarbeiters ohne Niederlassung in der Union, sofern sie auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet ausgerichtet sind. Dies sollte auch die Bearbeitung von Beschwerden einer betroffenen Person, die Durchf√ľhrung von Untersuchungen √ľber die Anwendung dieser Verordnung sowie die F√∂rderung der Information der √Ėffentlichkeit √ľber Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten einschlie√üen.

(123)

Die Aufsichtsbeh√∂rden sollten die Anwendung der Bestimmungen dieser Verordnung √ľberwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um nat√ľrliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu sch√ľtzen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbeh√∂rden untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten √ľber die Leistung von Amtshilfe oder √ľber eine derartige Zusammenarbeit erforderlich w√§re.

(124)

Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der T√§tigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union statt und hat der Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat oder hat die Verarbeitungst√§tigkeit im Zusammenhang mit der T√§tigkeit einer einzigen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat bzw. wird sie voraussichtlich solche Auswirkungen haben, so sollte die Aufsichtsbeh√∂rde f√ľr die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder f√ľr die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federf√ľhrende Beh√∂rde fungieren. Sie sollte mit den anderen Beh√∂rden zusammenarbeiten, die betroffen sind, weil der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, weil die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbeh√∂rde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbeh√∂rde sein. Der Ausschuss sollte ‚ÄĒ im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung ‚ÄĒ insbesondere Leitlinien zu den Kriterien ausgeben k√∂nnen, die bei der Feststellung zu ber√ľcksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat und was einen ma√ügeblichen und begr√ľndeten Einspruch darstellt.

(125)

Die federf√ľhrende Beh√∂rde sollte berechtigt sein, verbindliche Beschl√ľsse √ľber Ma√ünahmen zu erlassen, mit denen die ihr gem√§√ü dieser Verordnung √ľbertragenen Befugnisse ausge√ľbt werden. In ihrer Eigenschaft als federf√ľhrende Beh√∂rde sollte diese Aufsichtsbeh√∂rde f√ľr die enge Einbindung und Koordinierung der betroffenen Aufsichtsbeh√∂rden im Entscheidungsprozess sorgen. Wird beschlossen, die Beschwerde der betroffenen Person vollst√§ndig oder teilweise abzuweisen, so sollte dieser Beschluss von der Aufsichtsbeh√∂rde angenommen werden, bei der die Beschwerde eingelegt wurde.

(126)

Der Beschluss sollte von der federf√ľhrenden Aufsichtsbeh√∂rde und den betroffenen Aufsichtsbeh√∂rden gemeinsam vereinbart werden und an die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters gerichtet sein und f√ľr den Verantwortlichen und den Auftragsverarbeiter verbindlich sein. Der Verantwortliche oder Auftragsverarbeiter sollte die erforderlichen Ma√ünahmen treffen, um die Einhaltung dieser Verordnung und die Umsetzung des Beschlusses zu gew√§hrleisten, der der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters im Hinblick auf die Verarbeitungst√§tigkeiten in der Union von der federf√ľhrenden Aufsichtsbeh√∂rde mitgeteilt wurde.

(127)

Jede Aufsichtsbeh√∂rde, die nicht als federf√ľhrende Aufsichtsbeh√∂rde fungiert, sollte in √∂rtlichen F√§llen zust√§ndig sein, wenn der Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, der Gegenstand der spezifischen Verarbeitung aber nur die Verarbeitungst√§tigkeiten in einem einzigen Mitgliedstaat und nur betroffene Personen in diesem einen Mitgliedstaat betrifft, beispielsweise wenn es um die Verarbeitung von personenbezogenen Daten von Arbeitnehmern im spezifischen Besch√§ftigungskontext eines Mitgliedstaats geht. In solchen F√§llen sollte die Aufsichtsbeh√∂rde unverz√ľglich die federf√ľhrende Aufsichtsbeh√∂rde √ľber diese Angelegenheit unterrichten. Nach ihrer Unterrichtung sollte die federf√ľhrende Aufsichtsbeh√∂rde entscheiden, ob sie den Fall nach den Bestimmungen zur Zusammenarbeit zwischen der federf√ľhrenden Aufsichtsbeh√∂rde und anderen betroffenen Aufsichtsbeh√∂rden gem√§√ü der Vorschrift zur Zusammenarbeit zwischen der federf√ľhrenden Aufsichtsbeh√∂rde und anderen betroffenen Aufsichtsbeh√∂rden (im Folgenden ‚ÄěVerfahren der Zusammenarbeit und Koh√§renz‚Äú) regelt oder ob die Aufsichtsbeh√∂rde, die sie unterrichtet hat, den Fall auf √∂rtlicher Ebene regeln sollte. Dabei sollte die federf√ľhrende Aufsichtsbeh√∂rde ber√ľcksichtigen, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbeh√∂rde sie unterrichtet hat, eine Niederlassung hat, damit Beschl√ľsse gegen√ľber dem Verantwortlichen oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federf√ľhrende Aufsichtsbeh√∂rde, den Fall selbst zu regeln, sollte die Aufsichtsbeh√∂rde, die sie unterrichtet hat, die M√∂glichkeit haben, einen Beschlussentwurf vorzulegen, dem die federf√ľhrende Aufsichtsbeh√∂rde bei der Ausarbeitung ihres Beschlussentwurfs im Rahmen dieses Verfahrens der Zusammenarbeit und Koh√§renz weitestgehend Rechnung tragen sollte.

(128)

Die Vorschriften √ľber die federf√ľhrende Beh√∂rde und das Verfahren der Zusammenarbeit und Koh√§renz sollten keine Anwendung finden, wenn die Verarbeitung durch Beh√∂rden oder private Stellen im √∂ffentlichen Interesse erfolgt. In diesen F√§llen sollte die Aufsichtsbeh√∂rde des Mitgliedstaats, in dem die Beh√∂rde oder private Einrichtung ihren Sitz hat, die einzige Aufsichtsbeh√∂rde sein, die daf√ľr zust√§ndig ist, die Befugnisse auszu√ľben, die ihr mit dieser Verordnung √ľbertragen wurden.

(129)

Um die einheitliche √úberwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbeh√∂rden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden nat√ľrlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie ‚ÄĒ unbeschadet der Befugnisse der Strafverfolgungsbeh√∂rden nach dem Recht der Mitgliedstaaten ‚ÄĒ die Befugnis, Verst√∂√üe gegen diese Verordnung den Justizbeh√∂rden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis z√§hlen, eine vor√ľbergehende oder endg√ľltige Beschr√§nkung der Verarbeitung, einschlie√ülich eines Verbots, zu verh√§ngen. Die Mitgliedstaaten k√∂nnen andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse der Aufsichtsbeh√∂rden sollten in √úbereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausge√ľbt werden. Insbesondere sollte jede Ma√ünahme im Hinblick auf die Gew√§hrleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verh√§ltnism√§√üig sein, wobei die Umst√§nde des jeweiligen Einzelfalls zu ber√ľcksichtigen sind, das Recht einer jeden Person, geh√∂rt zu werden, bevor eine individuelle Ma√ünahme getroffen wird, die nachteilige Auswirkungen auf diese Person h√§tte, zu achten ist und √ľberfl√ľssige Kosten und √ľberm√§√üige Unannehmlichkeiten f√ľr die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu R√§umlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausge√ľbt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Ma√ünahme der Aufsichtsbeh√∂rde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbeh√∂rde, die die Ma√ünahme erlassen hat, und das Datum, an dem die Ma√ünahme erlassen wurde, sollten angegeben werden und die Ma√ünahme sollte vom Leiter oder von einem von ihm bevollm√§chtigen Mitglied der Aufsichtsbeh√∂rde unterschrieben sein und eine Begr√ľndung f√ľr die Ma√ünahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zus√§tzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschlie√üen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbeh√∂rde, die den Beschluss erlassen hat, gerichtlich √ľberpr√ľft werden kann.

(130)

Ist die Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde, nicht die federf√ľhrende Aufsichtsbeh√∂rde, so sollte die federf√ľhrende Aufsichtsbeh√∂rde gem√§√ü den Bestimmungen dieser Verordnung √ľber Zusammenarbeit und Koh√§renz eng mit der Aufsichtsbeh√∂rde zusammenarbeiten, bei der die Beschwerde eingereicht wurde. In solchen F√§llen sollte die federf√ľhrende Aufsichtsbeh√∂rde bei Ma√ünahmen, die rechtliche Wirkungen entfalten sollen, unter anderem bei der Verh√§ngung von Geldbu√üen, den Standpunkt der Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde und die weiterhin befugt sein sollte, in Abstimmung mit der zust√§ndigen Aufsichtsbeh√∂rde Untersuchungen im Hoheitsgebiet ihres eigenen Mitgliedstaats durchzuf√ľhren, weitestgehend ber√ľcksichtigen.

(131)

Wenn eine andere Aufsichtsbeh√∂rde als federf√ľhrende Aufsichtsbeh√∂rde f√ľr die Verarbeitungst√§tigkeiten des Verantwortlichen oder des Auftragsverarbeiters fungieren sollte, der konkrete Gegenstand einer Beschwerde oder der m√∂gliche Versto√ü jedoch nur die Verarbeitungst√§tigkeiten des Verantwortlichen oder des Auftragsverarbeiters in dem Mitgliedstaat betrifft, in dem die Beschwerde eingereicht wurde oder der m√∂gliche Versto√ü aufgedeckt wurde, und die Angelegenheit keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat oder haben d√ľrfte, sollte die Aufsichtsbeh√∂rde, bei der eine Beschwerde eingereicht wurde oder die Situationen, die m√∂gliche Verst√∂√üe gegen diese Verordnung darstellen, aufgedeckt hat bzw. auf andere Weise dar√ľber informiert wurde, versuchen, eine g√ľtliche Einigung mit dem Verantwortlichen zu erzielen; falls sich dies als nicht erfolgreich erweist, sollte sie die gesamte Bandbreite ihrer Befugnisse wahrnehmen. Dies sollte auch Folgendes umfassen: die spezifische Verarbeitung im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbeh√∂rde oder im Hinblick auf betroffene Personen im Hoheitsgebiet dieses Mitgliedstaats; die Verarbeitung im Rahmen eines Angebots von Waren oder Dienstleistungen, das speziell auf betroffene Personen im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbeh√∂rde ausgerichtet ist; oder eine Verarbeitung, die unter Ber√ľcksichtigung der einschl√§gigen rechtlichen Verpflichtungen nach dem Recht der Mitgliedstaaten bewertet werden muss.

(132)

Auf die √Ėffentlichkeit ausgerichtete Sensibilisierungsma√ünahmen der Aufsichtsbeh√∂rden sollten spezifische Ma√ünahmen einschlie√üen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschlie√ülich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an nat√ľrliche Personen, insbesondere im Bildungsbereich, richten.

(133)

Die Aufsichtsbeh√∂rden sollten sich gegenseitig bei der Erf√ľllung ihrer Aufgaben unterst√ľtzen und Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung dieser Verordnung im Binnenmarkt gew√§hrleistet ist. Eine Aufsichtsbeh√∂rde, die um Amtshilfe ersucht hat, kann eine einstweilige Ma√ünahme erlassen, wenn sie nicht binnen eines Monats nach Eingang des Amtshilfeersuchens bei der ersuchten Aufsichtsbeh√∂rde eine Antwort von dieser erhalten hat.

(134)

Jede Aufsichtsbeh√∂rde sollte gegebenenfalls an gemeinsamen Ma√ünahmen von anderen Aufsichtsbeh√∂rden teilnehmen. Die ersuchte Aufsichtsbeh√∂rde sollte auf das Ersuchen binnen einer bestimmten Frist antworten m√ľssen.

(135)

Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gew√§hrleistung einer einheitlichen Rechtsanwendung (Koh√§renzverfahren) f√ľr die Zusammenarbeit zwischen den Aufsichtsbeh√∂rden eingef√ľhrt werden. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbeh√∂rde beabsichtigt, eine Ma√ünahme zu erlassen, die rechtliche Wirkungen in Bezug auf Verarbeitungsvorg√§nge entfalten soll, die f√ľr eine bedeutende Zahl betroffener Personen in mehreren Mitgliedstaaten erhebliche Auswirkungen haben. Ferner sollte es zur Anwendung kommen, wenn eine betroffene Aufsichtsbeh√∂rde oder die Kommission beantragt, dass die Angelegenheit im Rahmen des Koh√§renzverfahrens behandelt wird. Dieses Verfahren sollte andere Ma√ünahmen, die die Kommission m√∂glicherweise in Aus√ľbung ihrer Befugnisse nach den Vertr√§gen trifft, unber√ľhrt lassen.

(136)

Bei Anwendung des Koh√§renzverfahrens sollte der Ausschuss, falls von der Mehrheit seiner Mitglieder so entschieden wird oder falls eine andere betroffene Aufsichtsbeh√∂rde oder die Kommission darum ersuchen, binnen einer festgelegten Frist eine Stellungnahme abgeben. Dem Ausschuss sollte auch die Befugnis √ľbertragen werden, bei Streitigkeiten zwischen Aufsichtsbeh√∂rden rechtsverbindliche Beschl√ľsse zu erlassen. Zu diesem Zweck sollte er in klar bestimmten F√§llen, in denen die Aufsichtsbeh√∂rden insbesondere im Rahmen des Verfahrens der Zusammenarbeit zwischen der federf√ľhrenden Aufsichtsbeh√∂rde und den betroffenen Aufsichtsbeh√∂rden widerspr√ľchliche Standpunkte zu dem Sachverhalt, vor allem in der Frage, ob ein Versto√ü gegen diese Verordnung vorliegt, vertreten, grunds√§tzlich mit einer Mehrheit von zwei Dritteln seiner Mitglieder rechtsverbindliche Beschl√ľsse erlassen.

(137)

Es kann dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung des Rechts einer betroffenen Person droht. Eine Aufsichtsbeh√∂rde sollte daher hinreichend begr√ľndete einstweilige Ma√ünahmen in ihrem Hoheitsgebiet mit einer festgelegten Geltungsdauer von h√∂chstens drei Monaten erlassen k√∂nnen.

(138)

Die Anwendung dieses Verfahrens sollte in den F√§llen, in denen sie verbindlich vorgeschrieben ist, eine Bedingung f√ľr die Rechtm√§√üigkeit einer Ma√ünahme einer Aufsichtsbeh√∂rde sein, die rechtliche Wirkungen entfalten soll. In anderen F√§llen von grenz√ľberschreitender Relevanz sollte das Verfahren der Zusammenarbeit zwischen der federf√ľhrenden Aufsichtsbeh√∂rde und den betroffenen Aufsichtsbeh√∂rden zur Anwendung gelangen, und die betroffenen Aufsichtsbeh√∂rden k√∂nnen auf bilateraler oder multilateraler Ebene Amtshilfe leisten und gemeinsame Ma√ünahmen durchf√ľhren, ohne auf das Koh√§renzverfahren zur√ľckzugreifen.

(139)

Zur F√∂rderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als unabh√§ngige Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele erreichen kann, sollte er Rechtspers√∂nlichkeit besitzen. Der Ausschuss sollte von seinem Vorsitz vertreten werden. Er sollte die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe f√ľr den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten ersetzen. Er sollte aus dem Leiter einer Aufsichtsbeh√∂rde jedes Mitgliedstaats und dem Europ√§ischen Datenschutzbeauftragten oder deren jeweiligen Vertretern gebildet werden. An den Beratungen des Ausschusses sollte die Kommission ohne Stimmrecht teilnehmen und der Europ√§ische Datenschutzbeauftragte sollte spezifische Stimmrechte haben. Der Ausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Kommission insbesondere im Hinblick auf das Schutzniveau in Drittl√§ndern oder internationalen Organisationen beraten und die Zusammenarbeit der Aufsichtsbeh√∂rden in der Union f√∂rdern. Der Ausschuss sollte bei der Erf√ľllung seiner Aufgaben unabh√§ngig handeln.

(140)

Der Ausschusssollte von einem Sekretariat unterst√ľtzt werden, das von dem Europ√§ischen Datenschutzbeauftragten bereitgestellt wird. Das Personal des Europ√§ischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gem√§√ü dieser Verordnung √ľbertragenen Aufgaben beteiligt ist, sollte diese Aufgaben ausschlie√ülich gem√§√ü den Anweisungen des Vorsitzes des Ausschusses durchf√ľhren und diesem Bericht erstatten.

(141)

Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbeh√∂rde insbesondere in dem Mitgliedstaat ihres gew√∂hnlichen Aufenthalts eine Beschwerde einzureichen und gem√§√ü Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gem√§√ü dieser Verordnung verletzt sieht oder wenn die Aufsichtsbeh√∂rde auf eine Beschwerde hin nicht t√§tig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht t√§tig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher √úberpr√ľfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbeh√∂rde sollte die betroffene Person innerhalb eines angemessenen Zeitraums √ľber den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbeh√∂rde erforderlich sein, sollte die betroffene Person √ľber den Zwischenstand informiert werden. Jede Aufsichtsbeh√∂rde sollte Ma√ünahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgef√ľllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(142)

Betroffene Personen, die sich in ihren Rechten gem√§√ü dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegr√ľndete Einrichtungen, Organisationen oder Verb√§nde ohne Gewinnerzielungsabsicht, deren satzungsm√§√üige Ziele im √∂ffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten t√§tig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbeh√∂rde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten k√∂nnen vorsehen, dass diese Einrichtungen, Organisationen oder Verb√§nde das Recht haben, unabh√§ngig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verb√§nden kann unabh√§ngig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schadenersatz zu verlangen.

(143)

Jede nat√ľrliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof eine Klage auf Nichtigerkl√§rung eines Beschlusses des Ausschusses zu erheben. Als Adressaten solcher Beschl√ľsse m√ľssen die betroffenen Aufsichtsbeh√∂rden, die diese Beschl√ľsse anfechten m√∂chten, binnen zwei Monaten nach deren √úbermittlung gem√§√ü Artikel 263 AEUV Klage erheben. Sofern Beschl√ľsse des Ausschusses einen Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdef√ľhrer unmittelbar und individuell betreffen, so k√∂nnen diese Personen binnen zwei Monaten nach Ver√∂ffentlichung der betreffenden Beschl√ľsse auf der Website des Ausschusses im Einklang mit Artikel 263 AEUV eine Klage auf Nichtigerkl√§rung erheben. Unbeschadet dieses Rechts nach Artikel 263 AEUV sollte jede nat√ľrliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zust√§ndigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbeh√∂rde haben, der gegen√ľber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Aus√ľbung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbeh√∂rde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Ma√ünahmen der Aufsichtsbeh√∂rden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbeh√∂rde sollten bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbeh√∂rde ihren Sitz hat, und sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgef√ľhrt werden. Diese Gerichte sollten eine uneingeschr√§nkte Zust√§ndigkeit besitzen, was die Zust√§ndigkeit, s√§mtliche f√ľr den bei ihnen anh√§ngigen Rechtsstreit ma√ügebliche Sach- und Rechtsfragen zu pr√ľfen, einschlie√üt. Wurde eine Beschwerde von einer Aufsichtsbeh√∂rde abgelehnt oder abgewiesen, kann der Beschwerdef√ľhrer Klage bei den Gerichten desselben Mitgliedstaats erheben.

Im Zusammenhang mit gerichtlichen Rechtsbehelfen in Bezug auf die Anwendung dieser Verordnung k√∂nnen einzelstaatliche Gerichte, die eine Entscheidung √ľber diese Frage f√ľr erforderlich halten, um ihr Urteil erlassen zu k√∂nnen, bzw. m√ľssen einzelstaatliche Gerichte in den F√§llen nach Artikel 267 AEUV den Gerichtshof um eine Vorabentscheidung zur Auslegung des Unionsrechts ‚ÄĒ das auch diese Verordnung einschlie√üt ‚ÄĒ ersuchen. Wird dar√ľber hinaus der Beschluss einer Aufsichtsbeh√∂rde zur Umsetzung eines Beschlusses des Ausschusses vor einem einzelstaatlichen Gericht angefochten und wird die G√ľltigkeit des Beschlusses des Ausschusses in Frage gestellt, so hat dieses einzelstaatliche Gericht nicht die Befugnis, den Beschluss des Ausschusses f√ľr nichtig zu erkl√§ren, sondern es muss im Einklang mit Artikel 267 AEUV in der Auslegung des Gerichtshofs den Gerichtshof mit der Frage der G√ľltigkeit befassen, wenn es den Beschluss f√ľr nichtig h√§lt. Allerdings darf ein einzelstaatliches Gericht den Gerichtshof nicht auf Anfrage einer nat√ľrlichen oder juristischen Person mit Fragen der G√ľltigkeit des Beschlusses des Ausschusses befassen, wenn diese Person Gelegenheit hatte, eine Klage auf Nichtigerkl√§rung dieses Beschlusses zu erheben ‚ÄĒ insbesondere wenn sie unmittelbar und individuell von dem Beschluss betroffen war ‚Äď, diese Gelegenheit jedoch nicht innerhalb der Frist gem√§√ü Artikel 263 AEUV genutzt hat.

(144)

Hat ein mit einem Verfahren gegen die Entscheidung einer Aufsichtsbeh√∂rde befasstes Gericht Anlass zu der Vermutung, dass ein dieselbe Verarbeitung betreffendes Verfahren ‚ÄĒ etwa zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter oder wegen desselben Anspruchs ‚ÄĒ vor einem zust√§ndigen Gericht in einem anderen Mitgliedstaat anh√§ngig ist, so sollte es mit diesem Gericht Kontakt aufnehmen, um sich zu vergewissern, dass ein solches verwandtes Verfahren existiert. Sind verwandte Verfahren vor einem Gericht in einem anderen Mitgliedstaat anh√§ngig, so kann jedes sp√§ter angerufene Gericht das Verfahren aussetzen oder sich auf Anfrage einer Partei auch zugunsten des zuerst angerufenen Gerichts f√ľr unzust√§ndig erkl√§ren, wenn dieses sp√§ter angerufene Gericht f√ľr die betreffenden Verfahren zust√§ndig ist und die Verbindung von solchen verwandten Verfahren nach seinem Recht zul√§ssig ist. Verfahren gelten als miteinander verwandt, wenn zwischen ihnen eine so enge Beziehung gegeben ist, dass eine gemeinsame Verhandlung und Entscheidung geboten erscheint, um zu vermeiden, dass in getrennten Verfahren einander widersprechende Entscheidungen ergehen.

(145)

Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kl√§ger √ľberlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem Verantwortlichen um eine Beh√∂rde eines Mitgliedstaats handelt, die in Aus√ľbung ihrer hoheitlichen Befugnisse t√§tig geworden ist.

(146)

Der Verantwortliche oder der Auftragsverarbeiter sollte Sch√§den, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise f√ľr den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verst√∂√üen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, z√§hlt auch eine Verarbeitung, die nicht mit den nach Ma√ügabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchf√ľhrungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Pr√§zisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollst√§ndigen und wirksamen Schadenersatz f√ľr den erlittenen Schaden erhalten. Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter f√ľr den gesamten Schaden haftbar gemacht werden. Werden sie jedoch nach Ma√ügabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so k√∂nnen sie im Verh√§ltnis zu der Verantwortung anteilm√§√üig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter f√ľr den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollst√§ndigen und wirksamen Schadenersatz f√ľr den erlittenen Schaden erh√§lt. Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschlie√üend ein R√ľckgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen.

(147)

Soweit in dieser Verordnung spezifische Vorschriften √ľber die Gerichtsbarkeit ‚ÄĒ insbesondere in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschlie√ülich Schadenersatz gegen einen Verantwortlichen oder Auftragsverarbeiter ‚ÄĒ enthalten sind, sollten die allgemeinen Vorschriften √ľber die Gerichtsbarkeit, wie sie etwa in der Verordnung (EU) Nr. 1215/2012 des Europ√§ischen Parlaments und des Rates (13) enthalten sind, der Anwendung dieser spezifischen Vorschriften nicht entgegenstehen.

(148)

Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verst√∂√üen gegen diese Verordnung zus√§tzlich zu den geeigneten Ma√ünahmen, die die Aufsichtsbeh√∂rde gem√§√ü dieser Verordnung verh√§ngt, oder an Stelle solcher Ma√ünahmen Sanktionen einschlie√ülich Geldbu√üen verh√§ngt werden. Im Falle eines geringf√ľgigeren Versto√ües oder falls voraussichtlich zu verh√§ngende Geldbu√üe eine unverh√§ltnism√§√üige Belastung f√ľr eine nat√ľrliche Person bewirken w√ľrde, kann anstelle einer Geldbu√üe eine Verwarnung erteilt werden. Folgendem sollte jedoch geb√ľhrend Rechnung getragen werden: der Art, Schwere und Dauer des Versto√ües, dem vors√§tzlichen Charakter des Versto√ües, den Ma√ünahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem fr√ľheren Versto√ü, der Art und Weise, wie der Versto√ü der Aufsichtsbeh√∂rde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Ma√ünahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. F√ľr die Verh√§ngung von Sanktionen einschlie√ülich Geldbu√üen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grunds√§tzen des Unionsrechts und der Charta, einschlie√ülich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.

(149)

Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen f√ľr Verst√∂√üe gegen diese Verordnung, auch f√ľr Verst√∂√üe gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften, festlegen k√∂nnen. Diese strafrechtlichen Sanktionen k√∂nnen auch die Einziehung der durch die Verst√∂√üe gegen diese Verordnung erzielten Gewinne erm√∂glichen. Die Verh√§ngung von strafrechtlichen Sanktionen f√ľr Verst√∂√üe gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes ‚Äěne bis in idem‚Äú, wie er vom Gerichtshof ausgelegt worden ist, f√ľhren.

(150)

Um die verwaltungsrechtlichen Sanktionen bei Verst√∂√üen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbeh√∂rde befugt sein, Geldbu√üen zu verh√§ngen. In dieser Verordnung sollten die Verst√∂√üe sowie die Obergrenze der entsprechenden Geldbu√üen und die Kriterien f√ľr ihre Festsetzung genannt werden, wobei diese Geldbu√üen von der zust√§ndigen Aufsichtsbeh√∂rde in jedem Einzelfall unter Ber√ľcksichtigung aller besonderen Umst√§nde und insbesondere der Art, Schwere und Dauer des Versto√ües und seiner Folgen sowie der Ma√ünahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gew√§hrleisten und die Folgen des Versto√ües abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbu√üen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff ‚ÄěUnternehmen‚Äú im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbu√üen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbeh√∂rde bei der Erw√§gung des angemessenen Betrags f√ľr die Geldbu√üe dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Koh√§renzverfahren kann auch genutzt werden, um eine koh√§rente Anwendung von Geldbu√üen zu f√∂rdern. Die Mitgliedstaaten sollten bestimmen k√∂nnen, ob und inwieweit gegen Beh√∂rden Geldbu√üen verh√§ngt werden k√∂nnen. Auch wenn die Aufsichtsbeh√∂rden bereits Geldbu√üen verh√§ngt oder eine Verwarnung erteilt haben, k√∂nnen sie ihre anderen Befugnisse aus√ľben oder andere Sanktionen nach Ma√ügabe dieser Verordnung verh√§ngen.

(151)

Nach den Rechtsordnungen D√§nemarks und Estlands sind die in dieser Verordnung vorgesehenen Geldbu√üen nicht zul√§ssig. Die Vorschriften √ľber die Geldbu√üen k√∂nnen so angewandt werden, dass die Geldbu√üe in D√§nemark durch die zust√§ndigen nationalen Gerichte als Strafe und in Estland durch die Aufsichtsbeh√∂rde im Rahmen eines Verfahrens bei Vergehen verh√§ngt wird, sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten die gleiche Wirkung wie die von den Aufsichtsbeh√∂rden verh√§ngten Geldbu√üen hat. Daher sollten die zust√§ndigen nationalen Gerichte die Empfehlung der Aufsichtsbeh√∂rde, die die Geldbu√üe in die Wege geleitet hat, ber√ľcksichtigen. In jeden Fall sollten die verh√§ngten Geldbu√üen wirksam, verh√§ltnism√§√üig und abschreckend sein.

(152)

Soweit diese Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in anderen F√§llen ‚ÄĒ beispielsweise bei schweren Verst√∂√üen gegen diese Verordnung ‚ÄĒ erforderlich ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verh√§ltnism√§√üige und abschreckende Sanktionen vorsieht. Es sollte im Recht der Mitgliedstaaten geregelt werden, ob diese Sanktionen strafrechtlicher oder verwaltungsrechtlicher Art sind.

(153)

Im Recht der Mitgliedstaaten sollten die Vorschriften √ľber die freie Meinungs√§u√üerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, K√ľnstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gem√§√ü dieser Verordnung in Einklang gebracht werden. F√ľr die Verarbeitung personenbezogener Daten ausschlie√ülich zu journalistischen Zwecken oder zu wissenschaftlichen, k√ľnstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungs√§u√üerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere f√ľr die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsma√ünahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abw√§gung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grunds√§tze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftragsverarbeiter, die √úbermittlung von personenbezogenen Daten an Drittl√§nder oder an internationale Organisationen, die unabh√§ngigen Aufsichtsbeh√∂rden, die Zusammenarbeit und Koh√§renz und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts auf freie Meinungs√§u√üerung in einer demokratischen Gesellschaft Rechnung zu tragen, m√ľssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.

(154)

Diese Verordnung erm√∂glicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der √Ėffentlichkeit zu amtlichen Dokumenten ber√ľcksichtigt wird. Der Zugang der √Ėffentlichkeit zu amtlichen Dokumenten kann als √∂ffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Beh√∂rde oder einer √∂ffentlichen Stelle befinden, sollten von dieser Beh√∂rde oder Stelle √∂ffentlich offengelegt werden k√∂nnen, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der √Ėffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des √∂ffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und k√∂nnen daher die notwendige √úbereinstimmung mit dem Recht auf Schutz personenbezogener Daten gem√§√ü dieser Verordnung regeln. Die Bezugnahme auf Beh√∂rden und √∂ffentliche Stellen sollte in diesem Kontext s√§mtliche Beh√∂rden oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats √ľber den Zugang der √Ėffentlichkeit zu Dokumenten erfasst werden. Die Richtlinie 2003/98/EG des Europ√§ischen Parlaments und des Rates (14) l√§sst das Schutzniveau f√ľr nat√ľrliche Personen in Bezug auf die Verarbeitung personenbezogener Daten gem√§√ü den Bestimmungen des Unionsrechts und des Rechts der Mitgliedstaaten unber√ľhrt und beeintr√§chtigt diesen in keiner Weise, und sie bewirkt insbesondere keine √Ąnderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere sollte die genannte Richtlinie nicht f√ľr Dokumente gelten, die nach den Zugangsregelungen der Mitgliedstaaten aus Gr√ľnden des Schutzes personenbezogener Daten nicht oder nur eingeschr√§nkt zug√§nglich sind, oder f√ľr Teile von Dokumenten, die nach diesen Regelungen zug√§nglich sind, wenn sie personenbezogene Daten enthalten, bei denen Rechtsvorschriften vorsehen, dass ihre Weiterverwendung nicht mit dem Recht √ľber den Schutz nat√ľrlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist.

(155)

Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschlie√ülich ‚ÄôBetriebsvereinbarungen‚Äô) k√∂nnen spezifische Vorschriften f√ľr die Verarbeitung personenbezogener Besch√§ftigtendaten im Besch√§ftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften √ľber die Bedingungen, unter denen personenbezogene Daten im Besch√§ftigungskontext auf der Grundlage der Einwilligung des Besch√§ftigten verarbeitet werden d√ľrfen, √ľber die Verarbeitung dieser Daten f√ľr Zwecke der Einstellung, der Erf√ľllung des Arbeitsvertrags einschlie√ülich der Erf√ľllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversit√§t am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie f√ľr Zwecke der Inanspruchnahme der mit der Besch√§ftigung zusammenh√§ngenden individuellen oder kollektiven Rechte und Leistungen und f√ľr Zwecke der Beendigung des Besch√§ftigungsverh√§ltnisses.

(156)

Die Verarbeitung personenbezogener Daten f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollte geeigneten Garantien f√ľr die Rechte und Freiheiten der betroffenen Person gem√§√ü dieser Verordnung unterliegen. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Ma√ünahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gew√§hrleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im √∂ffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche gepr√ľft hat, ob es m√∂glich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr m√∂glich ist, zu erf√ľllen, sofern geeignete Garantien bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Mitgliedstaaten sollten geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen. Es sollte den Mitgliedstaaten erlaubt sein, unter bestimmten Bedingungen und vorbehaltlich geeigneter Garantien f√ľr die betroffenen Personen Pr√§zisierungen und Ausnahmen in Bezug auf die Informationsanforderungen sowie der Rechte auf Berichtigung, L√∂schung, Vergessenwerden, zur Einschr√§nkung der Verarbeitung, auf Daten√ľbertragbarkeit sowie auf Widerspruch bei der Verarbeitung personenbezogener Daten zu im √∂ffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorzusehen. Im Rahmen der betreffenden Bedingungen und Garantien k√∂nnen spezifische Verfahren f√ľr die Aus√ľbung dieser Rechte durch die betroffenen Personen vorgesehen sein ‚ÄĒ sofern dies angesichts der mit der spezifischen Verarbeitung verfolgten Zwecke angemessen ist ‚ÄĒ sowie technische und organisatorische Ma√ünahmen zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick auf die Grunds√§tze der Verh√§ltnism√§√üigkeit und der Notwendigkeit. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken sollte auch anderen einschl√§gigen Rechtsvorschriften, beispielsweise f√ľr klinische Pr√ľfungen, gen√ľgen.

(157)

Durch die Verkn√ľpfung von Informationen aus Registern k√∂nnen Forscher neue Erkenntnisse von gro√üem Wert in Bezug auf weit verbreiteten Krankheiten wie Herz-Kreislauferkrankungen, Krebs und Depression erhalten. Durch die Verwendung von Registern k√∂nnen bessere Forschungsergebnisse erzielt werden, da sie auf einen gr√∂√üeren Bev√∂lkerungsanteil gest√ľtzt sind. Im Bereich der Sozialwissenschaften erm√∂glicht die Forschung anhand von Registern es den Forschern, entscheidende Erkenntnisse √ľber den langfristigen Zusammenhang einer Reihe sozialer Umst√§nde zu erlangen, wie Arbeitslosigkeit und Bildung mit anderen Lebensumst√§nden. Durch Register erhaltene Forschungsergebnisse bieten solide, hochwertige Erkenntnisse, die die Basis f√ľr die Erarbeitung und Umsetzung wissensgest√ľtzter politischer Ma√ünahmen darstellen, die Lebensqualit√§t zahlreicher Menschen verbessern und die Effizienz der Sozialdienste verbessern k√∂nnen. Zur Erleichterung der wissenschaftlichen Forschung k√∂nnen daher personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden, wobei sie angemessenen Bedingungen und Garantien unterliegen, die im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt sind.

(158)

Diese Verordnung sollte auch f√ľr die Verarbeitung personenbezogener Daten zu Archivzwecken gelten, wobei darauf hinzuweisen ist, dass die Verordnung nicht f√ľr verstorbene Personen gelten sollte. Beh√∂rden oder √∂ffentliche oder private Stellen, die Aufzeichnungen von √∂ffentlichem Interesse f√ľhren, sollten gem√§√ü dem Unionsrecht oder dem Recht der Mitgliedstaaten rechtlich verpflichtet sein, Aufzeichnungen von bleibendem Wert f√ľr das allgemeine √∂ffentliche Interesse zu erwerben, zu erhalten, zu bewerten, aufzubereiten, zu beschreiben, mitzuteilen, zu f√∂rdern, zu verbreiten sowie Zugang dazu bereitzustellen. Es sollte den Mitgliedstaaten ferner erlaubt sein vorzusehen, dass personenbezogene Daten zu Archivzwecken weiterverarbeitet werden, beispielsweise im Hinblick auf die Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalit√§ren Regimen, V√∂lkermord, Verbrechen gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen.

(159)

Diese Verordnung sollte auch f√ľr die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gelten. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung f√ľr beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschlie√üen. Dar√ľber hinaus sollte sie dem in Artikel 179 Absatz 1 AEUV festgeschriebenen Ziel, einen europ√§ischen Raum der Forschung zu schaffen, Rechnung tragen. Die wissenschaftlichen Forschungszwecke sollten auch Studien umfassen, die im √∂ffentlichen Interesse im Bereich der √∂ffentlichen Gesundheit durchgef√ľhrt werden. Um den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu gen√ľgen, sollten spezifische Bedingungen insbesondere hinsichtlich der Ver√∂ffentlichung oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten. Geben die Ergebnisse wissenschaftlicher Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Ma√ünahmen im Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung f√ľr diese Ma√ünahmen gelten.

(160)

Diese Verordnung sollte auch f√ľr die Verarbeitung personenbezogener Daten zu historischen Forschungszwecken gelten. Dazu sollte auch historische Forschung und Forschung im Bereich der Genealogie z√§hlen, wobei darauf hinzuweisen ist, dass diese Verordnung nicht f√ľr verstorbene Personen gelten sollte.

(161)

F√ľr die Zwecke der Einwilligung in die Teilnahme an wissenschaftlichen Forschungst√§tigkeiten im Rahmen klinischer Pr√ľfungen sollten die einschl√§gigen Bestimmungen der Verordnung (EU) Nr. 536/2014 des Europ√§ischen Parlaments und des Rates (15) gelten.

(162)

Diese Verordnung sollte auch f√ľr die Verarbeitung personenbezogener Daten zu statistischen Zwecken gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte in den Grenzen dieser Verordnung den statistischen Inhalt, die Zugangskontrolle, die Spezifikationen f√ľr die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete Ma√ünahmen zur Sicherung der Rechte und Freiheiten der betroffenen Personen und zur Sicherstellung der statistischen Geheimhaltung bestimmen. Unter dem Begriff ‚Äěstatistische Zwecke‚Äú ist jeder f√ľr die Durchf√ľhrung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten zu verstehen. Diese statistischen Ergebnisse k√∂nnen f√ľr verschiedene Zwecke, so auch f√ľr wissenschaftliche Forschungszwecke, weiterverwendet werden. Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Daten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht f√ľr Ma√ünahmen oder Entscheidungen gegen√ľber einzelnen nat√ľrlichen Personen verwendet werden.

(163)

Die vertraulichen Informationen, die die statistischen Beh√∂rden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europ√§ischen und der amtlichen nationalen Statistiken erheben, sollten gesch√ľtzt werden. Die europ√§ischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grunds√§tzen entwickelt, erstellt und verbreitet werden, wobei die nationalen Statistiken auch mit dem Recht der Mitgliedstaaten √ľbereinstimmen m√ľssen. Die Verordnung (EG) Nr. 223/2009 des Europ√§ischen Parlaments und des Rates (16) enth√§lt genauere Bestimmungen zur Vertraulichkeit europ√§ischer Statistiken.

(164)

Hinsichtlich der Befugnisse der Aufsichtsbeh√∂rden, von dem Verantwortlichen oder vom Auftragsverarbeiter Zugang zu personenbezogenen Daten oder zu seinen R√§umlichkeiten zu erlangen, k√∂nnen die Mitgliedstaaten in den Grenzen dieser Verordnung den Schutz des Berufsgeheimnisses oder anderer gleichwertiger Geheimhaltungspflichten durch Rechtsvorschriften regeln, soweit dies notwendig ist, um das Recht auf Schutz der personenbezogenen Daten mit einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen. Dies ber√ľhrt nicht die bestehenden Verpflichtungen der Mitgliedstaaten zum Erlass von Vorschriften √ľber das Berufsgeheimnis, wenn dies aufgrund des Unionsrechts erforderlich ist.

(165)

Im Einklang mit Artikel 17 AEUV achtet diese Verordnung den Status, den Kirchen und religi√∂se Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genie√üen, und beeintr√§chtigt ihn nicht.

(166)

Um die Zielvorgaben dieser Verordnung zu erf√ľllen, d. h. die Grundrechte und Grundfreiheiten nat√ľrlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu sch√ľtzen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gew√§hrleisten, sollte der Kommission die Befugnis √ľbertragen werden, gem√§√ü Artikel 290 AEUV Rechtsakte zu erlassen. Delegierte Rechtsakte sollten insbesondere in Bezug auf die f√ľr Zertifizierungsverfahren geltenden Kriterien und Anforderungen, die durch standardisierte Bildsymbole darzustellenden Informationen und die Verfahren f√ľr die Bereitstellung dieser Bildsymbole erlassen werden. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverst√§ndigen, durchf√ľhrt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gew√§hrleisten, dass die einschl√§gigen Dokumente dem Europ√§ischen Parlament und dem Rat gleichzeitig, rechtzeitig und auf angemessene Weise √ľbermittelt werden.

(167)

Zur Gew√§hrleistung einheitlicher Bedingungen f√ľr die Durchf√ľhrung dieser Verordnung sollten der Kommission Durchf√ľhrungsbefugnisse √ľbertragen werden, wenn dies in dieser Verordnung vorgesehen ist. Diese Befugnisse sollten nach Ma√ügabe der Verordnung (EU) Nr. 182/2011 des Europ√§ischen Parlaments und des Rates ausge√ľbt werden. In diesem Zusammenhang sollte die Kommission besondere Ma√ünahmen f√ľr Kleinstunternehmen sowie kleine und mittlere Unternehmen erw√§gen.

(168)

F√ľr den Erlass von Durchf√ľhrungsrechtsakten bez√ľglich Standardvertragsklauseln f√ľr Vertr√§ge zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern; Verhaltensregeln; technische Standards und Verfahren f√ľr die Zertifizierung; Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland, einem Gebiet oder bestimmten Sektor dieses Drittlands oder in einer internationalen Organisation; Standardschutzklauseln; Formate und Verfahren f√ľr den Informationsaustausch zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbeh√∂rden im Hinblick auf verbindliche interne Datenschutzvorschriften; Amtshilfe; sowie Vorkehrungen f√ľr den elektronischen Informationsaustausch zwischen Aufsichtsbeh√∂rden und zwischen Aufsichtsbeh√∂rden und dem Ausschuss sollte das Pr√ľfverfahren angewandt werden.

(169)

Die Kommission sollte sofort geltende Durchf√ľhrungsrechtsakte erlassen, wenn anhand vorliegender Beweise festgestellt wird, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gew√§hrleistet, und dies aus Gr√ľnden √§u√üerster Dringlichkeit erforderlich ist.

(170)

Da das Ziel dieser Verordnung, n√§mlich die Gew√§hrleistung eines gleichwertigen Datenschutzniveaus f√ľr nat√ľrliche Personen und des freien Verkehrs personenbezogener Daten in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des Umfangs oder der Wirkungen der Ma√ünahme auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags √ľber die Europ√§ische Union (EUV) verankerten Subsidiarit√§tsprinzip t√§tig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verh√§ltnism√§√üigkeit geht diese Verordnung nicht √ľber das f√ľr die Verwirklichung dieses Ziels erforderliche Ma√ü hinaus.

(171)

Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gem√§√ü der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschl√ľsse der Kommission und Genehmigungen der Aufsichtsbeh√∂rden bleiben in Kraft, bis sie ge√§ndert, ersetzt oder aufgehoben werden.

(172)

Der Europ√§ische Datenschutzbeauftragte wurde gem√§√ü Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat am 7. M√§rz 2012 (17) eine Stellungnahme abgegeben.

(173)

Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG des Europ√§ischen Parlaments und des Rates (18) bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschlie√ülich der Pflichten des Verantwortlichen und der Rechte nat√ľrlicher Personen. Um das Verh√§ltnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend ge√§ndert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer √úberpr√ľfung unterzogen werden, um insbesondere die Koh√§renz mit dieser Verordnung zu gew√§hrleisten ‚ÄĒ

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

Allgemeine Bestimmungen

Artikel 1

Gegenstand und Ziele

(1)   Diese Verordnung enth√§lt Vorschriften zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

(2)   Diese Verordnung sch√ľtzt die Grundrechte und Grundfreiheiten nat√ľrlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)   Der freie Verkehr personenbezogener Daten in der Union darf aus Gr√ľnden des Schutzes nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschr√§nkt noch verboten werden.

Artikel 2

Sachlicher Anwendungsbereich

(1)   Diese Verordnung gilt f√ľr die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie f√ľr die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(2)   Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)

im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,

b)

durch die Mitgliedstaaten im Rahmen von T√§tigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,

c)

durch nat√ľrliche Personen zur Aus√ľbung ausschlie√ülich pers√∂nlicher oder famili√§rer T√§tigkeiten,

d)

durch die zust√§ndigen Beh√∂rden zum Zwecke der Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit.

(3)   F√ľr die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, √Ąmter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grunds√§tze und Vorschriften der vorliegenden Verordnung angepasst.

(4)   Die vorliegende Verordnung l√§sst die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unber√ľhrt.

Artikel 3

Räumlicher Anwendungsbereich

(1)   Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der T√§tigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabh√§ngig davon, ob die Verarbeitung in der Union stattfindet.

(2)   Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

a)

betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;

b)

das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.

(3)   Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund V√∂lkerrechts dem Recht eines Mitgliedstaats unterliegt.

Artikel 4

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.

‚Äěpersonenbezogene Daten‚Äú alle Informationen, die sich auf eine identifizierte oder identifizierbare nat√ľrliche Person (im Folgenden ‚Äěbetroffene Person‚Äú) beziehen; als identifizierbar wird eine nat√ľrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identit√§t dieser nat√ľrlichen Person sind, identifiziert werden kann;

2.

‚ÄěVerarbeitung‚Äú jeden mit oder ohne Hilfe automatisierter Verfahren ausgef√ľhrten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Ver√§nderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch √úbermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verkn√ľpfung, die Einschr√§nkung, das L√∂schen oder die Vernichtung;

3.

‚ÄěEinschr√§nkung der Verarbeitung‚Äú die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre k√ľnftige Verarbeitung einzuschr√§nken;

4.

‚ÄěProfiling‚Äú jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte pers√∂nliche Aspekte, die sich auf eine nat√ľrliche Person beziehen, zu bewerten, insbesondere um Aspekte bez√ľglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers√∂nliche Vorlieben, Interessen, Zuverl√§ssigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser nat√ľrlichen Person zu analysieren oder vorherzusagen;

5.

‚ÄěPseudonymisierung‚Äú die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zus√§tzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden k√∂nnen, sofern diese zus√§tzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Ma√ünahmen unterliegen, die gew√§hrleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren nat√ľrlichen Person zugewiesen werden;

6.

‚ÄěDateisystem‚Äú jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zug√§nglich sind, unabh√§ngig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet gef√ľhrt wird;

7.

‚ÄěVerantwortlicher‚Äú die nat√ľrliche oder juristische Person, Beh√∂rde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen √ľber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise k√∂nnen die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.

‚ÄěAuftragsverarbeiter‚Äú eine nat√ľrliche oder juristische Person, Beh√∂rde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9.

‚ÄěEmpf√§nger‚Äú eine nat√ľrliche oder juristische Person, Beh√∂rde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabh√§ngig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Beh√∂rden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten m√∂glicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empf√§nger; die Verarbeitung dieser Daten durch die genannten Beh√∂rden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gem√§√ü den Zwecken der Verarbeitung;

10.

‚ÄěDritter‚Äú eine nat√ľrliche oder juristische Person, Beh√∂rde, Einrichtung oder andere Stelle, au√üer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

11.

‚ÄěEinwilligung‚Äú der betroffenen Person jede freiwillig f√ľr den bestimmten Fall, in informierter Weise und unmissverst√§ndlich abgegebene Willensbekundung in Form einer Erkl√§rung oder einer sonstigen eindeutigen best√§tigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

12.

‚ÄěVerletzung des Schutzes personenbezogener Daten‚Äú eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtm√§√üig, zur Vernichtung, zum Verlust, zur Ver√§nderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten f√ľhrt, die √ľbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

13.

‚Äěgenetische Daten‚Äú personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer nat√ľrlichen Person, die eindeutige Informationen √ľber die Physiologie oder die Gesundheit dieser nat√ľrlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden nat√ľrlichen Person gewonnen wurden;

14.

‚Äěbiometrische Daten‚Äú mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer nat√ľrlichen Person, die die eindeutige Identifizierung dieser nat√ľrlichen Person erm√∂glichen oder best√§tigen, wie Gesichtsbilder oder daktyloskopische Daten;

15.

‚ÄěGesundheitsdaten‚Äú personenbezogene Daten, die sich auf die k√∂rperliche oder geistige Gesundheit einer nat√ľrlichen Person, einschlie√ülich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen √ľber deren Gesundheitszustand hervorgehen;

16.

‚ÄěHauptniederlassung‚Äú

a)

im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

b)

im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

17.

‚ÄěVertreter‚Äú eine in der Union niedergelassene nat√ľrliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gem√§√ü Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;

18.

‚ÄěUnternehmen‚Äú eine nat√ľrliche und juristische Person, die eine wirtschaftliche T√§tigkeit aus√ľbt, unabh√§ngig von ihrer Rechtsform, einschlie√ülich Personengesellschaften oder Vereinigungen, die regelm√§√üig einer wirtschaftlichen T√§tigkeit nachgehen;

19.

‚ÄěUnternehmensgruppe‚Äú eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abh√§ngigen Unternehmen besteht;

20.

‚Äěverbindliche interne Datenschutzvorschriften‚Äú Ma√ünahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Daten√ľbermittlungen oder eine Kategorie von Daten√ľbermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, in einem oder mehreren Drittl√§ndern;

21.

‚ÄěAufsichtsbeh√∂rde‚Äú eine von einem Mitgliedstaat gem√§√ü Artikel 51 eingerichtete unabh√§ngige staatliche Stelle;

22.

‚Äěbetroffene Aufsichtsbeh√∂rde‚Äú eine Aufsichtsbeh√∂rde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil

a)

der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,

b)

diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder

c)

eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;

23.

‚Äěgrenz√ľberschreitende Verarbeitung‚Äú entweder

a)

eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder

b)

eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;

24.

‚Äěma√ügeblicher und begr√ľndeter Einspruch‚Äú einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Versto√ü gegen diese Verordnung vorliegt oder ob beabsichtigte Ma√ünahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;

25.

‚ÄěDienst der Informationsgesellschaft‚Äú eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europ√§ischen Parlaments und des Rates (19);

26.

‚Äěinternationale Organisation‚Äú eine v√∂lkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr L√§ndern geschlossene √úbereinkunft oder auf der Grundlage einer solchen √úbereinkunft geschaffen wurde.

KAPITEL II

Grundsätze

Artikel 5

Grunds√§tze f√ľr die Verarbeitung personenbezogener Daten

(1)   Personenbezogene Daten m√ľssen

a)

auf rechtm√§√üige Weise, nach Treu und Glauben und in einer f√ľr die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚ÄěRechtm√§√üigkeit, Verarbeitung nach Treu und Glauben, Transparenz‚Äú);

b)

f√ľr festgelegte, eindeutige und legitime Zwecke erhoben werden und d√ľrfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, f√ľr wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke gilt gem√§√ü Artikel 89 Absatz 1 nicht als unvereinbar mit den urspr√ľnglichen Zwecken (‚ÄěZweckbindung‚Äú);

c)

dem Zweck angemessen und erheblich sowie auf das f√ľr die Zwecke der Verarbeitung notwendige Ma√ü beschr√§nkt sein (‚ÄěDatenminimierung‚Äú);

d)

sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Ma√ünahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverz√ľglich gel√∂scht oder berichtigt werden (‚ÄěRichtigkeit‚Äú);

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange erm√∂glicht, wie es f√ľr die Zwecke, f√ľr die sie verarbeitet werden, erforderlich ist; personenbezogene Daten d√ľrfen l√§nger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchf√ľhrung geeigneter technischer und organisatorischer Ma√ünahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschlie√ülich f√ľr im √∂ffentlichen Interesse liegende Archivzwecke oder f√ľr wissenschaftliche und historische Forschungszwecke oder f√ľr statistische Zwecke gem√§√ü Artikel 89 Absatz 1 verarbeitet werden (‚ÄěSpeicherbegrenzung‚Äú);

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew√§hrleistet, einschlie√ülich Schutz vor unbefugter oder unrechtm√§√üiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerst√∂rung oder unbeabsichtigter Sch√§digung durch geeignete technische und organisatorische Ma√ünahmen (‚ÄěIntegrit√§t und Vertraulichkeit‚Äú);

(2)   Der Verantwortliche ist f√ľr die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen k√∂nnen (‚ÄěRechenschaftspflicht‚Äú).

Artikel 6

Rechtmäßigkeit der Verarbeitung

(1)   Die Verarbeitung ist nur rechtm√§√üig, wenn mindestens eine der nachstehenden Bedingungen erf√ľllt ist:

a)

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten f√ľr einen oder mehrere bestimmte Zwecke gegeben;

b)

die Verarbeitung ist f√ľr die Erf√ľllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchf√ľhrung vorvertraglicher Ma√ünahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)

die Verarbeitung ist zur Erf√ľllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen nat√ľrlichen Person zu sch√ľtzen;

e)

die Verarbeitung ist f√ľr die Wahrnehmung einer Aufgabe erforderlich, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde;

f)

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, √ľberwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht f√ľr die von Beh√∂rden in Erf√ľllung ihrer Aufgaben vorgenommene Verarbeitung.

(2)   Die Mitgliedstaaten k√∂nnen spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erf√ľllung von Absatz 1 Buchstaben c und e beibehalten oder einf√ľhren, indem sie spezifische Anforderungen f√ľr die Verarbeitung sowie sonstige Ma√ünahmen pr√§ziser bestimmen, um eine rechtm√§√üig und nach Treu und Glauben erfolgende Verarbeitung zu gew√§hrleisten, einschlie√ülich f√ľr andere besondere Verarbeitungssituationen gem√§√ü Kapitel IX.

(3)   Die Rechtsgrundlage f√ľr die Verarbeitungen gem√§√ü Absatz 1 Buchstaben c und e wird festgelegt durch

a)

Unionsrecht oder

b)

das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gem√§√ü Absatz 1 Buchstabe e f√ľr die Erf√ľllung einer Aufgabe erforderlich sein, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen dar√ľber, welche allgemeinen Bedingungen f√ľr die Regelung der Rechtm√§√üigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und f√ľr welche Zwecke die personenbezogenen Daten offengelegt werden d√ľrfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden d√ľrfen und welche Verarbeitungsvorg√§nge und -verfahren angewandt werden d√ľrfen, einschlie√ülich Ma√ünahmen zur Gew√§hrleistung einer rechtm√§√üig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche f√ľr sonstige besondere Verarbeitungssituationen gem√§√ü Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten m√ľssen ein im √∂ffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verh√§ltnis zu dem verfolgten legitimen Zweck stehen.

(4)   Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verh√§ltnism√§√üige Ma√ünahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so ber√ľcksichtigt der Verantwortliche ‚ÄĒ um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten urspr√ľnglich erhoben wurden, vereinbar ist ‚ÄĒ unter anderem

a)

jede Verbindung zwischen den Zwecken, f√ľr die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b)

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c)

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gem√§√ü Artikel 9 verarbeitet werden oder ob personenbezogene Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü Artikel 10 verarbeitet werden,

d)

die m√∂glichen Folgen der beabsichtigten Weiterverarbeitung f√ľr die betroffenen Personen,

e)

das Vorhandensein geeigneter Garantien, wozu Verschl√ľsselung oder Pseudonymisierung geh√∂ren kann.

Artikel 7

Bedingungen f√ľr die Einwilligung

(1)   Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen k√∂nnen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2)   Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erkl√§rung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verst√§ndlicher und leicht zug√§nglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erkl√§rung sind dann nicht verbindlich, wenn sie einen Versto√ü gegen diese Verordnung darstellen.

(3)   Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtm√§√üigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht ber√ľhrt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4)   Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in gr√∂√ütm√∂glichem Umfang Rechnung getragen werden, ob unter anderem die Erf√ľllung eines Vertrags, einschlie√ülich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abh√§ngig ist, die f√ľr die Erf√ľllung des Vertrags nicht erforderlich sind.

Artikel 8

Bedingungen f√ľr die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

(1)   Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtm√§√üig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtm√§√üig, sofern und soweit diese Einwilligung durch den Tr√§ger der elterlichen Verantwortung f√ľr das Kind oder mit dessen Zustimmung erteilt wird.

Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

(2)   Der Verantwortliche unternimmt unter Ber√ľcksichtigung der verf√ľgbaren Technik angemessene Anstrengungen, um sich in solchen F√§llen zu vergewissern, dass die Einwilligung durch den Tr√§ger der elterlichen Verantwortung f√ľr das Kind oder mit dessen Zustimmung erteilt wurde.

(3)   Absatz 1 l√§sst das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur G√ľltigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unber√ľhrt.

Artikel 9

Verarbeitung besonderer Kategorien personenbezogener Daten

(1)   Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religi√∂se oder weltanschauliche √úberzeugungen oder die Gewerkschaftszugeh√∂rigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer nat√ľrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer nat√ľrlichen Person ist untersagt.

(2)   Absatz 1 gilt nicht in folgenden F√§llen:

a)

Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten f√ľr einen oder mehrere festgelegte Zwecke ausdr√ľcklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b)

die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte aus√ľben und seinen bzw. ihren diesbez√ľglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien f√ľr die Grundrechte und die Interessen der betroffenen Person vorsieht, zul√§ssig ist,

c)

die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen nat√ľrlichen Person erforderlich und die betroffene Person ist aus k√∂rperlichen oder rechtlichen Gr√ľnden au√üerstande, ihre Einwilligung zu geben,

d)

die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e)

die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f)

die Verarbeitung ist zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen T√§tigkeit erforderlich,

g)

die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verh√§ltnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Ma√ünahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gr√ľnden eines erheblichen √∂ffentlichen Interesses erforderlich,

h)

die Verarbeitung ist f√ľr Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, f√ľr die Beurteilung der Arbeitsf√§higkeit des Besch√§ftigten, f√ľr die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder f√ľr die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angeh√∂rigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i)

die Verarbeitung ist aus Gr√ľnden des √∂ffentlichen Interesses im Bereich der √∂ffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenz√ľberschreitenden Gesundheitsgefahren oder zur Gew√§hrleistung hoher Qualit√§ts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Ma√ünahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j)

die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verh√§ltnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Ma√ünahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, f√ľr wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke gem√§√ü Artikel 89 Absatz 1 erforderlich.

(3)   Die in Absatz 1 genannten personenbezogenen Daten d√ľrfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zust√§ndiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zust√§ndiger Stellen einer Geheimhaltungspflicht unterliegt.

(4)   Die Mitgliedstaaten k√∂nnen zus√§tzliche Bedingungen, einschlie√ülich Beschr√§nkungen, einf√ľhren oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Artikel 10

Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten √ľber strafrechtliche Verurteilungen und Straftaten oder damit zusammenh√§ngende Sicherungsma√üregeln aufgrund von Artikel 6 Absatz 1 darf nur unter beh√∂rdlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien f√ľr die Rechte und Freiheiten der betroffenen Personen vorsieht, zul√§ssig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter beh√∂rdlicher Aufsicht gef√ľhrt werden.

Artikel 11

Verarbeitung, f√ľr die eine Identifizierung der betroffenen Person nicht erforderlich ist

(1)   Ist f√ľr die Zwecke, f√ľr die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur blo√üen Einhaltung dieser Verordnung zus√§tzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

(2)   Kann der Verantwortliche in F√§llen gem√§√ü Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hier√ľber, sofern m√∂glich. In diesen F√§llen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Aus√ľbung ihrer in diesen Artikeln niedergelegten Rechte zus√§tzliche Informationen bereit, die ihre Identifizierung erm√∂glichen.

KAPITEL III

Rechte der betroffenen Person

Abschnitt 1

Transparenz und Modalitäten

Artikel 12

Transparente Information, Kommunikation und Modalit√§ten f√ľr die Aus√ľbung der Rechte der betroffenen Person

(1)   Der Verantwortliche trifft geeignete Ma√ünahmen, um der betroffenen Person alle Informationen gem√§√ü den Artikeln 13 und 14 und alle Mitteilungen gem√§√ü den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in pr√§ziser, transparenter, verst√§ndlicher und leicht zug√§nglicher Form in einer klaren und einfachen Sprache zu √ľbermitteln; dies gilt insbesondere f√ľr Informationen, die sich speziell an Kinder richten. Die √úbermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information m√ľndlich erteilt werden, sofern die Identit√§t der betroffenen Person in anderer Form nachgewiesen wurde.

(2)   Der Verantwortliche erleichtert der betroffenen Person die Aus√ľbung ihrer Rechte gem√§√ü den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten F√§llen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gem√§√ü den Artikeln 15 bis 22 t√§tig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3)   Der Verantwortliche stellt der betroffenen Person Informationen √ľber die auf Antrag gem√§√ü den Artikeln 15 bis 22 ergriffenen Ma√ünahmen unverz√ľglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verf√ľgung. Diese Frist kann um weitere zwei Monate verl√§ngert werden, wenn dies unter Ber√ľcksichtigung der Komplexit√§t und der Anzahl von Antr√§gen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags √ľber eine Fristverl√§ngerung, zusammen mit den Gr√ľnden f√ľr die Verz√∂gerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach M√∂glichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(4)   Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht t√§tig, so unterrichtet er die betroffene Person ohne Verz√∂gerung, sp√§testens aber innerhalb eines Monats nach Eingang des Antrags √ľber die Gr√ľnde hierf√ľr und √ľber die M√∂glichkeit, bei einer Aufsichtsbeh√∂rde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

(5)   Informationen gem√§√ü den Artikeln 13 und 14 sowie alle Mitteilungen und Ma√ünahmen gem√§√ü den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verf√ľgung gestellt. Bei offenkundig unbegr√ľndeten oder ‚ÄĒ insbesondere im Fall von h√§ufiger Wiederholung ‚ÄĒ exzessiven Antr√§gen einer betroffenen Person kann der Verantwortliche entweder

a)

ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten f√ľr die Unterrichtung oder die Mitteilung oder die Durchf√ľhrung der beantragten Ma√ünahme ber√ľcksichtigt werden, oder

b)

sich weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis f√ľr den offenkundig unbegr√ľndeten oder exzessiven Charakter des Antrags zu erbringen.

(6)   Hat der Verantwortliche begr√ľndete Zweifel an der Identit√§t der nat√ľrlichen Person, die den Antrag gem√§√ü den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zus√§tzliche Informationen anfordern, die zur Best√§tigung der Identit√§t der betroffenen Person erforderlich sind.

(7)   Die Informationen, die den betroffenen Personen gem√§√ü den Artikeln 13 und 14 bereitzustellen sind, k√∂nnen in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verst√§ndlicher und klar nachvollziehbarer Form einen aussagekr√§ftigen √úberblick √ľber die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, m√ľssen sie maschinenlesbar sein.

(8)   Der Kommission wird die Befugnis √ľbertragen, gem√§√ü Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren f√ľr die Bereitstellung standardisierter Bildsymbole zu erlassen.

Abschnitt 2

Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Artikel 13

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1)   Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a)

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b)

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c)

die Zwecke, f√ľr die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage f√ľr die Verarbeitung;

d)

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e)

gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f)

gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu √ľbermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von √úbermittlungen gem√§√ü Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die M√∂glichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verf√ľgbar sind.

(2)   Zus√§tzlich zu den Informationen gem√§√ü Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verf√ľgung, die notwendig sind, um eine faire und transparente Verarbeitung zu gew√§hrleisten:

a)

die Dauer, f√ľr die die personenbezogenen Daten gespeichert werden oder, falls dies nicht m√∂glich ist, die Kriterien f√ľr die Festlegung dieser Dauer;

b)

das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen √ľber die betreffenden personenbezogenen Daten sowie auf Berichtigung oder L√∂schung oder auf Einschr√§nkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Daten√ľbertragbarkeit;

c)

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtm√§√üigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung ber√ľhrt wird;

d)

das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e)

ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder f√ľr einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche m√∂gliche Folgen die Nichtbereitstellung h√§tte und

f)

das Bestehen einer automatisierten Entscheidungsfindung einschlie√ülich Profiling gem√§√ü Artikel 22 Abs√§tze 1 und 4 und ‚ÄĒ zumindest in diesen F√§llen ‚ÄĒ aussagekr√§ftige Informationen √ľber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung f√ľr die betroffene Person.

(3)   Beabsichtigt der Verantwortliche, die personenbezogenen Daten f√ľr einen anderen Zweck weiterzuverarbeiten als den, f√ľr den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen √ľber diesen anderen Zweck und alle anderen ma√ügeblichen Informationen gem√§√ü Absatz 2 zur Verf√ľgung.

(4)   Die Abs√§tze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits √ľber die Informationen verf√ľgt.

Artikel 14

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

(1)   Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:

a)

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b)

zusätzlich die Kontaktdaten des Datenschutzbeauftragten;

c)

die Zwecke, f√ľr die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage f√ľr die Verarbeitung;

d)

die Kategorien personenbezogener Daten, die verarbeitet werden;

e)

gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

f)

gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empf√§nger in einem Drittland oder einer internationalen Organisation zu √ľbermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von √úbermittlungen gem√§√ü Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die M√∂glichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verf√ľgbar sind.

(2)   Zus√§tzlich zu den Informationen gem√§√ü Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verf√ľgung, die erforderlich sind, um der betroffenen Person gegen√ľber eine faire und transparente Verarbeitung zu gew√§hrleisten:

a)

die Dauer, f√ľr die die personenbezogenen Daten gespeichert werden oder, falls dies nicht m√∂glich ist, die Kriterien f√ľr die Festlegung dieser Dauer;

b)

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

c)

das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen √ľber die betreffenden personenbezogenen Daten sowie auf Berichtigung oder L√∂schung oder auf Einschr√§nkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Daten√ľbertragbarkeit;

d)

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtm√§√üigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung ber√ľhrt wird;

e)

das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

f)

aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

g)

das Bestehen einer automatisierten Entscheidungsfindung einschlie√ülich Profiling gem√§√ü Artikel 22 Abs√§tze 1 und 4 und ‚ÄĒ zumindest in diesen F√§llen ‚ÄĒ aussagekr√§ftige Informationen √ľber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung f√ľr die betroffene Person.

(3)   Der Verantwortliche erteilt die Informationen gem√§√ü den Abs√§tzen 1 und 2

a)

unter Ber√ľcksichtigung der spezifischen Umst√§nde der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, l√§ngstens jedoch innerhalb eines Monats,

b)

falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,

c)

falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

(4)   Beabsichtigt der Verantwortliche, die personenbezogenen Daten f√ľr einen anderen Zweck weiterzuverarbeiten als den, f√ľr den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen √ľber diesen anderen Zweck und alle anderen ma√ügeblichen Informationen gem√§√ü Absatz 2 zur Verf√ľgung.

(5)   Die Abs√§tze 1 bis 4 finden keine Anwendung, wenn und soweit

a)

die betroffene Person bereits √ľber die Informationen verf√ľgt,

b)

die Erteilung dieser Informationen sich als unm√∂glich erweist oder einen unverh√§ltnism√§√üigen Aufwand erfordern w√ľrde; dies gilt insbesondere f√ľr die Verarbeitung f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, f√ľr wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unm√∂glich macht oder ernsthaft beeintr√§chtigt In diesen F√§llen ergreift der Verantwortliche geeignete Ma√ünahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschlie√ülich der Bereitstellung dieser Informationen f√ľr die √Ėffentlichkeit,

c)

die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Ma√ünahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdr√ľcklich geregelt ist oder

d)

die personenbezogenen Daten gem√§√ü dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschlie√ülich einer satzungsm√§√üigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden m√ľssen.

Artikel 15

Auskunftsrecht der betroffenen Person

(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen eine Best√§tigung dar√ľber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft √ľber diese personenbezogenen Daten und auf folgende Informationen:

a)

die Verarbeitungszwecke;

b)

die Kategorien personenbezogener Daten, die verarbeitet werden;

c)

die Empf√§nger oder Kategorien von Empf√§ngern, gegen√ľber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empf√§ngern in Drittl√§ndern oder bei internationalen Organisationen;

d)

falls m√∂glich die geplante Dauer, f√ľr die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht m√∂glich ist, die Kriterien f√ľr die Festlegung dieser Dauer;

e)

das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f)

das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g)

wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verf√ľgbaren Informationen √ľber die Herkunft der Daten;

h)

das Bestehen einer automatisierten Entscheidungsfindung einschlie√ülich Profiling gem√§√ü Artikel 22 Abs√§tze 1 und 4 und ‚ÄĒ zumindest in diesen F√§llen ‚ÄĒ aussagekr√§ftige Informationen √ľber die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung f√ľr die betroffene Person.

(2)   Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation √ľbermittelt, so hat die betroffene Person das Recht, √ľber die geeigneten Garantien gem√§√ü Artikel 46 im Zusammenhang mit der √úbermittlung unterrichtet zu werden.

(3)   Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verf√ľgung. F√ľr alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem g√§ngigen elektronischen Format zur Verf√ľgung zu stellen, sofern sie nichts anderes angibt.

(4)   Das Recht auf Erhalt einer Kopie gem√§√ü Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeintr√§chtigen.

Abschnitt 3

Berichtigung und Löschung

Artikel 16

Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverz√ľglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Ber√ľcksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollst√§ndigung unvollst√§ndiger personenbezogener Daten ‚ÄĒ auch mittels einer erg√§nzenden Erkl√§rung ‚ÄĒ zu verlangen.

Artikel 17

Recht auf L√∂schung (‚ÄěRecht auf Vergessenwerden‚Äú)

(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverz√ľglich gel√∂scht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverz√ľglich zu l√∂schen, sofern einer der folgenden Gr√ľnde zutrifft:

a)

Die personenbezogenen Daten sind f√ľr die Zwecke, f√ľr die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b)

Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gem√§√ü Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a st√ľtzte, und es fehlt an einer anderweitigen Rechtsgrundlage f√ľr die Verarbeitung.

c)

Die betroffene Person legt gem√§√ü Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gr√ľnde f√ľr die Verarbeitung vor, oder die betroffene Person legt gem√§√ü Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d)

Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e)

Die L√∂schung der personenbezogenen Daten ist zur Erf√ľllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f)

Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gem√§√ü Artikel 8 Absatz 1 erhoben.

(2)   Hat der Verantwortliche die personenbezogenen Daten √∂ffentlich gemacht und ist er gem√§√ü Absatz 1 zu deren L√∂schung verpflichtet, so trifft er unter Ber√ľcksichtigung der verf√ľgbaren Technologie und der Implementierungskosten angemessene Ma√ünahmen, auch technischer Art, um f√ľr die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, dar√ľber zu informieren, dass eine betroffene Person von ihnen die L√∂schung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3)   Die Abs√§tze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a)

zur Aus√ľbung des Rechts auf freie Meinungs√§u√üerung und Information;

b)

zur Erf√ľllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde;

c)

aus Gr√ľnden des √∂ffentlichen Interesses im Bereich der √∂ffentlichen Gesundheit gem√§√ü Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;

d)

f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke gem√§√ü Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unm√∂glich macht oder ernsthaft beeintr√§chtigt, oder

e)

zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen.

Artikel 18

Recht auf Einschränkung der Verarbeitung

(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschr√§nkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a)

die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar f√ľr eine Dauer, die es dem Verantwortlichen erm√∂glicht, die Richtigkeit der personenbezogenen Daten zu √ľberpr√ľfen,

b)

die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

c)

der Verantwortliche die personenbezogenen Daten f√ľr die Zwecke der Verarbeitung nicht l√§nger ben√∂tigt, die betroffene Person sie jedoch zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen ben√∂tigt, oder

d)

die betroffene Person Widerspruch gegen die Verarbeitung gem√§√ü Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gr√ľnde des Verantwortlichen gegen√ľber denen der betroffenen Person √ľberwiegen.

(2)   Wurde die Verarbeitung gem√§√ü Absatz 1 eingeschr√§nkt, so d√ľrfen diese personenbezogenen Daten ‚ÄĒ von ihrer Speicherung abgesehen ‚ÄĒ nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen oder zum Schutz der Rechte einer anderen nat√ľrlichen oder juristischen Person oder aus Gr√ľnden eines wichtigen √∂ffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

(3)   Eine betroffene Person, die eine Einschr√§nkung der Verarbeitung gem√§√ü Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschr√§nkung aufgehoben wird.

Artikel 19

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Der Verantwortliche teilt allen Empf√§ngern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder L√∂schung der personenbezogenen Daten oder eine Einschr√§nkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unm√∂glich oder ist mit einem unverh√§ltnism√§√üigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person √ľber diese Empf√§nger, wenn die betroffene Person dies verlangt.

Artikel 20

Recht auf Daten√ľbertragbarkeit

(1)   Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, g√§ngigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu √ľbermitteln, sofern

a)

die Verarbeitung auf einer Einwilligung gem√§√ü Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gem√§√ü Artikel 6 Absatz 1 Buchstabe b beruht und

b)

die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

(2)   Bei der Aus√ľbung ihres Rechts auf Daten√ľbertragbarkeit gem√§√ü Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen √ľbermittelt werden, soweit dies technisch machbar ist.

(3)   Die Aus√ľbung des Rechts nach Absatz 1 des vorliegenden Artikels l√§sst Artikel 17 unber√ľhrt. Dieses Recht gilt nicht f√ľr eine Verarbeitung, die f√ľr die Wahrnehmung einer Aufgabe erforderlich ist, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde.

(4)   Das Recht gem√§√ü Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeintr√§chtigen.

Abschnitt 4

Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 21

Widerspruchsrecht

(1)   Die betroffene Person hat das Recht, aus Gr√ľnden, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch f√ľr ein auf diese Bestimmungen gest√ľtztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzw√ľrdige Gr√ľnde f√ľr die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person √ľberwiegen, oder die Verarbeitung dient der Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen.

(2)   Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch f√ľr das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

(3)   Widerspricht die betroffene Person der Verarbeitung f√ľr Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr f√ľr diese Zwecke verarbeitet.

(4)   Die betroffene Person muss sp√§testens zum Zeitpunkt der ersten Kommunikation mit ihr ausdr√ľcklich auf das in den Abs√§tzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verst√§ndlichen und von anderen Informationen getrennten Form zu erfolgen.

(5)   Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren aus√ľben, bei denen technische Spezifikationen verwendet werden.

(6)   Die betroffene Person hat das Recht, aus Gr√ľnden, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem√§√ü Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erf√ľllung einer im √∂ffentlichen Interesse liegenden Aufgabe erforderlich.

Artikel 22

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(1)   Die betroffene Person hat das Recht, nicht einer ausschlie√ülich auf einer automatisierten Verarbeitung ‚ÄĒ einschlie√ülich Profiling ‚ÄĒ beruhenden Entscheidung unterworfen zu werden, die ihr gegen√ľber rechtliche Wirkung entfaltet oder sie in √§hnlicher Weise erheblich beeintr√§chtigt.

(2)   Absatz 1 gilt nicht, wenn die Entscheidung

a)

f√ľr den Abschluss oder die Erf√ľllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b)

aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c)

mit ausdr√ľcklicher Einwilligung der betroffenen Person erfolgt.

(3)   In den in Absatz 2 Buchstaben a und c genannten F√§llen trifft der Verantwortliche angemessene Ma√ünahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung geh√∂rt.

(4)   Entscheidungen nach Absatz 2 d√ľrfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Ma√ünahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

Abschnitt 5

Beschränkungen

Artikel 23

Beschränkungen

(1)   Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, k√∂nnen die Pflichten und Rechte gem√§√ü den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsma√ünahmen beschr√§nkt werden, sofern eine solche Beschr√§nkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verh√§ltnism√§√üige Ma√ünahme darstellt, die Folgendes sicherstellt:

a)

die nationale Sicherheit;

b)

die Landesverteidigung;

c)

die öffentliche Sicherheit;

d)

die Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit;

e)

den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f)

den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g)

die Verh√ľtung, Aufdeckung, Ermittlung und Verfolgung von Verst√∂√üen gegen die berufsst√§ndischen Regeln reglementierter Berufe;

h)

Kontroll-, √úberwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Aus√ľbung √∂ffentlicher Gewalt f√ľr die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;

i)

den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j)

die Durchsetzung zivilrechtlicher Anspr√ľche.

(2)   Jede Gesetzgebungsma√ünahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

a)

die Zwecke der Verarbeitung oder die Verarbeitungskategorien,

b)

die Kategorien personenbezogener Daten,

c)

den Umfang der vorgenommenen Beschränkungen,

d)

die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;

e)

die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,

f)

die jeweiligen Speicherfristen sowie die geltenden Garantien unter Ber√ľcksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,

g)

die Risiken f√ľr die Rechte und Freiheiten der betroffenen Personen und

h)

das Recht der betroffenen Personen auf Unterrichtung √ľber die Beschr√§nkung, sofern dies nicht dem Zweck der Beschr√§nkung abtr√§glich ist.

KAPITEL IV

Verantwortlicher und Auftragsverarbeiter

Abschnitt 1

Allgemeine Pflichten

Artikel 24

Verantwortung des f√ľr die Verarbeitung Verantwortlichen

(1)   Der Verantwortliche setzt unter Ber√ľcksichtigung der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen geeignete technische und organisatorische Ma√ünahmen um, um sicherzustellen und den Nachweis daf√ľr erbringen zu k√∂nnen, dass die Verarbeitung gem√§√ü dieser Verordnung erfolgt. Diese Ma√ünahmen werden erforderlichenfalls √ľberpr√ľft und aktualisiert.

(2)   Sofern dies in einem angemessenen Verh√§ltnis zu den Verarbeitungst√§tigkeiten steht, m√ľssen die Ma√ünahmen gem√§√ü Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

(3)   Die Einhaltung der genehmigten Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erf√ľllung der Pflichten des Verantwortlichen nachzuweisen.

Artikel 25

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1)   Unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel f√ľr die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Ma√ünahmen ‚ÄĒ wie z. B. Pseudonymisierung ‚ÄĒ trifft, die daf√ľr ausgelegt sind, die Datenschutzgrunds√§tze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu gen√ľgen und die Rechte der betroffenen Personen zu sch√ľtzen.

(2)   Der Verantwortliche trifft geeignete technische und organisatorische Ma√ünahmen, die sicherstellen, dass durch Voreinstellung grunds√§tzlich nur personenbezogene Daten, deren Verarbeitung f√ľr den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt f√ľr die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zug√§nglichkeit. Solche Ma√ünahmen m√ľssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von nat√ľrlichen Personen zug√§nglich gemacht werden.

(3)   Ein genehmigtes Zertifizierungsverfahren gem√§√ü Artikel 42 kann als Faktor herangezogen werden, um die Erf√ľllung der in den Abs√§tzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

Artikel 26

Gemeinsam f√ľr die Verarbeitung Verantwortliche

(1)   Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gem√§√ü dieser Verordnung erf√ľllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gem√§√ü den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle f√ľr die betroffenen Personen angegeben werden.

(2)   Die Vereinbarung gem√§√ü Absatz 1 muss die jeweiligen tats√§chlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegen√ľber betroffenen Personen geb√ľhrend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verf√ľgung gestellt.

(3)   Ungeachtet der Einzelheiten der Vereinbarung gem√§√ü Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegen√ľber jedem einzelnen der Verantwortlichen geltend machen.

Artikel 27

Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

(1)   In den F√§llen gem√§√ü Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.

(2)   Die Pflicht gem√§√ü Absatz 1 des vorliegenden Artikels gilt nicht f√ľr

a)

eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschlie√üt und unter Ber√ľcksichtigung der Art, der Umst√§nde, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt, oder

b)

Behörden oder öffentliche Stellen.

(3)   Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.

(4)   Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zus√§tzlich zu diesem oder an seiner Stelle insbesondere f√ľr Aufsichtsbeh√∂rden und betroffene Personen bei s√§mtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gew√§hrleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.

(5)   Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.

Artikel 28

Auftragsverarbeiter

(1)   Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien daf√ľr bieten, dass geeignete technische und organisatorische Ma√ünahmen so durchgef√ľhrt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gew√§hrleistet.

(2)   Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer √ľber jede beabsichtigte √Ąnderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die M√∂glichkeit erh√§lt, gegen derartige √Ąnderungen Einspruch zu erheben.

(3)   Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)

die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen ‚ÄĒ auch in Bezug auf die √úbermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ‚ÄĒ verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen √∂ffentlichen Interesses verbietet;

b)

gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c)

alle gem√§√ü Artikel 32 erforderlichen Ma√ünahmen ergreift;

d)

die in den Abs√§tzen 2 und 4 genannten Bedingungen f√ľr die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einh√§lt;

e)

angesichts der Art der Verarbeitung den Verantwortlichen nach M√∂glichkeit mit geeigneten technischen und organisatorischen Ma√ünahmen dabei unterst√ľtzt, seiner Pflicht zur Beantwortung von Antr√§gen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f)

unter Ber√ľcksichtigung der Art der Verarbeitung und der ihm zur Verf√ľgung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterst√ľtzt;

g)

nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder l√∂scht oder zur√ľckgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;

h)

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verf√ľgung stellt und √úberpr√ľfungen ‚ÄĒ einschlie√ülich Inspektionen ‚Äď, die vom Verantwortlichen oder einem anderen von diesem beauftragten Pr√ľfer durchgef√ľhrt werden, erm√∂glicht und dazu beitr√§gt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverz√ľglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verst√∂√üt.

(4)   Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungst√§tigkeiten im Namen des Verantwortlichen auszuf√ľhren, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gem√§√ü Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien daf√ľr geboten werden muss, dass die geeigneten technischen und organisatorischen Ma√ünahmen so durchgef√ľhrt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegen√ľber dem Verantwortlichen f√ľr die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

(5)   Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Abs√§tze 1 und 4 des vorliegenden Artikels nachzuweisen.

(6)   Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Abs√§tze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Abs√§tzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gem√§√ü den Artikeln 42 und 43 erteilten Zertifizierung sind.

(7)   Die Kommission kann im Einklang mit dem Pr√ľfverfahren gem√§√ü Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Abs√§tzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(8)   Eine Aufsichtsbeh√∂rde kann im Einklang mit dem Koh√§renzverfahren gem√§√ü Artikel 63 Standardvertragsklauseln zur Regelung der in den Abs√§tzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(9)   Der Vertrag oder das andere Rechtsinstrument im Sinne der Abs√§tze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(10)   Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Versto√ü gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 29

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, d√ľrfen diese Daten ausschlie√ülich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Artikel 30

Verzeichnis von Verarbeitungstätigkeiten

(1)   Jeder Verantwortliche und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis aller Verarbeitungst√§tigkeiten, die ihrer Zust√§ndigkeit unterliegen. Dieses Verzeichnis enth√§lt s√§mtliche folgenden Angaben:

a)

den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b)

die Zwecke der Verarbeitung;

c)

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d)

die Kategorien von Empf√§ngern, gegen√ľber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschlie√ülich Empf√§nger in Drittl√§ndern oder internationalen Organisationen;

e)

gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien;

f)

wenn m√∂glich, die vorgesehenen Fristen f√ľr die L√∂schung der verschiedenen Datenkategorien;

g)

wenn m√∂glich, eine allgemeine Beschreibung der technischen und organisatorischen Ma√ünahmen gem√§√ü Artikel 32 Absatz 1.

(2)   Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgef√ľhrten T√§tigkeiten der Verarbeitung, die Folgendes enth√§lt:

a)

den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;

b)

die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgef√ľhrt werden;

c)

gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien;

d)

wenn m√∂glich, eine allgemeine Beschreibung der technischen und organisatorischen Ma√ünahmen gem√§√ü Artikel 32 Absatz 1.

(3)   Das in den Abs√§tzen 1 und 2 genannte Verzeichnis ist schriftlich zu f√ľhren, was auch in einem elektronischen Format erfolgen kann.

(4)   Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbeh√∂rde das Verzeichnis auf Anfrage zur Verf√ľgung.

(5)   Die in den Abs√§tzen 1 und 2 genannten Pflichten gelten nicht f√ľr Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter besch√§ftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gem√§√ü Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschlie√üt.

Artikel 31

Zusammenarbeit mit der Aufsichtsbehörde

Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbeh√∂rde bei der Erf√ľllung ihrer Aufgaben zusammen.

Abschnitt 2

Sicherheit personenbezogener Daten

Artikel 32

Sicherheit der Verarbeitung

(1)   Unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma√ünahmen, um ein dem Risiko angemessenes Schutzniveau zu gew√§hrleisten; diese Ma√ünahmen schlie√üen unter anderem Folgendes ein:

a)

die Pseudonymisierung und Verschl√ľsselung personenbezogener Daten;

b)

die F√§higkeit, die Vertraulichkeit, Integrit√§t, Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c)

die F√§higkeit, die Verf√ľgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d)

ein Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma√ünahmen zur Gew√§hrleistung der Sicherheit der Verarbeitung.

(2)   Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu ber√ľcksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ‚ÄĒ ob unbeabsichtigt oder unrechtm√§√üig ‚ÄĒ Vernichtung, Verlust, Ver√§nderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die √ľbermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3)   Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 kann als Faktor herangezogen werden, um die Erf√ľllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4)   Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte nat√ľrliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Artikel 33

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1)   Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverz√ľglich und m√∂glichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gem√§√ü Artikel 51 zust√§ndigen Aufsichtsbeh√∂rde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt. Erfolgt die Meldung an die Aufsichtsbeh√∂rde nicht binnen 72 Stunden, so ist ihr eine Begr√ľndung f√ľr die Verz√∂gerung beizuf√ľgen.

(2)   Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverz√ľglich.

(3)   Die Meldung gem√§√ü Absatz 1 enth√§lt zumindest folgende Informationen:

a)

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b)

den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle f√ľr weitere Informationen;

c)

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d)

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4)   Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden k√∂nnen, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verz√∂gerung schrittweise zur Verf√ľgung stellen.

(5)   Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschlie√ülich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfema√ünahmen. Diese Dokumentation muss der Aufsichtsbeh√∂rde die √úberpr√ľfung der Einhaltung der Bestimmungen dieses Artikels erm√∂glichen.

Artikel 34

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverz√ľglich von der Verletzung.

(2)   Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enth√§lt zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Ma√ünahmen.

(3)   Die Benachrichtigung der betroffenen Person gem√§√ü Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erf√ľllt ist:

a)

der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten f√ľr alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzug√§nglich gemacht werden, etwa durch Verschl√ľsselung;

b)

der Verantwortliche durch nachfolgende Ma√ünahmen sichergestellt hat, dass das hohe Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen gem√§√ü Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

c)

dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4)   Wenn der Verantwortliche die betroffene Person nicht bereits √ľber die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbeh√∂rde unter Ber√ľcksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko f√ľhrt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erf√ľllt sind.

Abschnitt 3

Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 35

Datenschutz-Folgenabschätzung

(1)   Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen zur Folge, so f√ľhrt der Verantwortliche vorab eine Absch√§tzung der Folgen der vorgesehenen Verarbeitungsvorg√§nge f√ľr den Schutz personenbezogener Daten durch. F√ľr die Untersuchung mehrerer √§hnlicher Verarbeitungsvorg√§nge mit √§hnlich hohen Risiken kann eine einzige Absch√§tzung vorgenommen werden.

(2)   Der Verantwortliche holt bei der Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3)   Eine Datenschutz-Folgenabsch√§tzung gem√§√ü Absatz 1 ist insbesondere in folgenden F√§llen erforderlich:

a)

systematische und umfassende Bewertung pers√∂nlicher Aspekte nat√ľrlicher Personen, die sich auf automatisierte Verarbeitung einschlie√ülich Profiling gr√ľndet und die ihrerseits als Grundlage f√ľr Entscheidungen dient, die Rechtswirkung gegen√ľber nat√ľrlichen Personen entfalten oder diese in √§hnlich erheblicher Weise beeintr√§chtigen;

b)

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem√§√ü Artikel 9 Absatz 1 oder von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü Artikel 10 oder

c)

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4)   Die Aufsichtsbeh√∂rde erstellt eine Liste der Verarbeitungsvorg√§nge, f√ľr die gem√§√ü Absatz 1 eine Datenschutz-Folgenabsch√§tzung durchzuf√ľhren ist, und ver√∂ffentlicht diese. Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

(5)   Die Aufsichtsbeh√∂rde kann des Weiteren eine Liste der Arten von Verarbeitungsvorg√§ngen erstellen und ver√∂ffentlichen, f√ľr die keine Datenschutz-Folgenabsch√§tzung erforderlich ist. Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem Ausschuss.

(6)   Vor Festlegung der in den Abs√§tzen 4 und 5 genannten Listen wendet die zust√§ndige Aufsichtsbeh√∂rde das Koh√§renzverfahren gem√§√ü Artikel 63 an, wenn solche Listen Verarbeitungst√§tigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen f√ľr betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeintr√§chtigen k√∂nnten.

(7)   Die Folgenabsch√§tzung enth√§lt zumindest Folgendes:

a)

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b)

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c)

eine Bewertung der Risiken f√ľr die Rechte und Freiheiten der betroffenen Personen gem√§√ü Absatz 1 und

d)

die zur Bew√§ltigung der Risiken geplanten Abhilfema√ünahmen, einschlie√ülich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis daf√ľr erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8)   Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel 40 durch die zust√§ndigen Verantwortlichen oder die zust√§ndigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgef√ľhrten Verarbeitungsvorg√§nge, insbesondere f√ľr die Zwecke einer Datenschutz-Folgenabsch√§tzung, geb√ľhrend zu ber√ľcksichtigen.

(9)   Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder √∂ffentlicher Interessen oder der Sicherheit der Verarbeitungsvorg√§nge ein.

(10)   Falls die Verarbeitung gem√§√ü Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorg√§nge regeln und bereits im Rahmen der allgemeinen Folgenabsch√§tzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabsch√§tzung erfolgte, gelten die Abs√§tze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungst√§tigkeiten eine solche Folgenabsch√§tzung durchzuf√ľhren.

(11)   Erforderlichenfalls f√ľhrt der Verantwortliche eine √úberpr√ľfung durch, um zu bewerten, ob die Verarbeitung gem√§√ü der Datenschutz-Folgenabsch√§tzung durchgef√ľhrt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorg√§ngen verbundenen Risikos √Ąnderungen eingetreten sind.

Artikel 36

Vorherige Konsultation

(1)   Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbeh√∂rde, wenn aus einer Datenschutz-Folgenabsch√§tzung gem√§√ü Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge h√§tte, sofern der Verantwortliche keine Ma√ünahmen zur Eind√§mmung des Risikos trifft.

(2)   Falls die Aufsichtsbeh√∂rde der Auffassung ist, dass die geplante Verarbeitung gem√§√ü Absatz 1 nicht im Einklang mit dieser Verordnung st√ľnde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend einged√§mmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse aus√ľben. Diese Frist kann unter Ber√ľcksichtigung der Komplexit√§t der geplanten Verarbeitung um sechs Wochen verl√§ngert werden. Die Aufsichtsbeh√∂rde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter √ľber eine solche Fristverl√§ngerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gr√ľnden f√ľr die Verz√∂gerung. Diese Fristen k√∂nnen ausgesetzt werden, bis die Aufsichtsbeh√∂rde die f√ľr die Zwecke der Konsultation angeforderten Informationen erhalten hat.

(3)   Der Verantwortliche stellt der Aufsichtsbeh√∂rde bei einer Konsultation gem√§√ü Absatz 1 folgende Informationen zur Verf√ľgung:

a)

gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;

b)

die Zwecke und die Mittel der beabsichtigten Verarbeitung;

c)

die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;

d)

gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

e)

die Datenschutz-Folgenabsch√§tzung gem√§√ü Artikel 35 und

f)

alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

(4)   Die Mitgliedstaaten konsultieren die Aufsichtsbeh√∂rde bei der Ausarbeitung eines Vorschlags f√ľr von einem nationalen Parlament zu erlassende Gesetzgebungsma√ünahmen oder von auf solchen Gesetzgebungsma√ünahmen basierenden Regelungsma√ünahmen, die die Verarbeitung betreffen.

(5)   Ungeachtet des Absatzes 1 k√∂nnen Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erf√ľllung einer im √∂ffentlichen Interesse liegenden Aufgabe, einschlie√ülich der Verarbeitung zu Zwecken der sozialen Sicherheit und der √∂ffentlichen Gesundheit, die Aufsichtsbeh√∂rde zu konsultieren und deren vorherige Genehmigung einzuholen.

Abschnitt 4

Datenschutzbeauftragter

Artikel 37

Benennung eines Datenschutzbeauftragten

(1)   Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a)

die Verarbeitung von einer Beh√∂rde oder √∂ffentlichen Stelle durchgef√ľhrt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen T√§tigkeit handeln,

b)

die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchf√ľhrung von Verarbeitungsvorg√§ngen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelm√§√üige und systematische √úberwachung von betroffenen Personen erforderlich machen, oder

c)

die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem√§√ü Artikel 9 oder von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü Artikel 10 besteht.

(2)   Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3)   Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Beh√∂rde oder √∂ffentliche Stelle handelt, kann f√ľr mehrere solcher Beh√∂rden oder Stellen unter Ber√ľcksichtigung ihrer Organisationsstruktur und ihrer Gr√∂√üe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4)   In anderen als den in Absatz 1 genannten F√§llen k√∂nnen der Verantwortliche oder der Auftragsverarbeiter oder Verb√§nde und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, m√ľssen sie einen solchen benennen. Der Datenschutzbeauftragte kann f√ľr derartige Verb√§nde und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5)   Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner F√§higkeit zur Erf√ľllung der in Artikel 39 genannten Aufgaben.

(6)   Der Datenschutzbeauftragte kann Besch√§ftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erf√ľllen.

(7)   Der Verantwortliche oder der Auftragsverarbeiter ver√∂ffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbeh√∂rde mit.

Artikel 38

Stellung des Datenschutzbeauftragten

(1)   Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgem√§√ü und fr√ľhzeitig in alle mit dem Schutz personenbezogener Daten zusammenh√§ngenden Fragen eingebunden wird.

(2)   Der Verantwortliche und der Auftragsverarbeiter unterst√ľtzen den Datenschutzbeauftragten bei der Erf√ľllung seiner Aufgaben gem√§√ü Artikel 39, indem sie die f√ľr die Erf√ľllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorg√§ngen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verf√ľgung stellen.

(3)   Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erf√ľllung seiner Aufgaben keine Anweisungen bez√ľglich der Aus√ľbung dieser Aufgaben erh√§lt. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erf√ľllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der h√∂chsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

(4)   Betroffene Personen k√∂nnen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gem√§√ü dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(5)   Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erf√ľllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

(6)   Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.

Artikel 39

Aufgaben des Datenschutzbeauftragten

(1)   Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a)

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Besch√§ftigten, die Verarbeitungen durchf√ľhren, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b)

√úberwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters f√ľr den Schutz personenbezogener Daten einschlie√ülich der Zuweisung von Zust√§ndigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorg√§ngen beteiligten Mitarbeiter und der diesbez√ľglichen √úberpr√ľfungen;

c)

Beratung ‚ÄĒ auf Anfrage ‚ÄĒ im Zusammenhang mit der Datenschutz-Folgenabsch√§tzung und √úberwachung ihrer Durchf√ľhrung gem√§√ü Artikel 35;

d)

Zusammenarbeit mit der Aufsichtsbehörde;

e)

T√§tigkeit als Anlaufstelle f√ľr die Aufsichtsbeh√∂rde in mit der Verarbeitung zusammenh√§ngenden Fragen, einschlie√ülich der vorherigen Konsultation gem√§√ü Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2)   Der Datenschutzbeauftragte tr√§gt bei der Erf√ľllung seiner Aufgaben dem mit den Verarbeitungsvorg√§ngen verbundenen Risiko geb√ľhrend Rechnung, wobei er die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung ber√ľcksichtigt.

Abschnitt 5

Verhaltensregeln und Zertifizierung

Artikel 40

Verhaltensregeln

(1)   Die Mitgliedstaaten, die Aufsichtsbeh√∂rden, der Ausschuss und die Kommission f√∂rdern die Ausarbeitung von Verhaltensregeln, die nach Ma√ügabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bed√ľrfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgem√§√üen Anwendung dieser Verordnung beitragen sollen.

(2)   Verb√§nde und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, k√∂nnen Verhaltensregeln ausarbeiten oder √§ndern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden pr√§zisiert wird:

a)

faire und transparente Verarbeitung;

b)

die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;

c)

Erhebung personenbezogener Daten;

d)

Pseudonymisierung personenbezogener Daten;

e)

Unterrichtung der √Ėffentlichkeit und der betroffenen Personen;

f)

Aus√ľbung der Rechte betroffener Personen;

g)

Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Tr√§gers der elterlichen Verantwortung f√ľr das Kind einzuholen ist;

h)

die Ma√ünahmen und Verfahren gem√§√ü den Artikeln 24 und 25 und die Ma√ünahmen f√ľr die Sicherheit der Verarbeitung gem√§√ü Artikel 32;

i)

die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;

j)

die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder

k)

au√üergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gem√§√ü den Artikeln 77 und 79.

(3)   Zus√§tzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter k√∂nnen Verhaltensregeln, die gem√§√ü Absatz 5 des vorliegenden Artikels genehmigt wurden und gem√§√ü Absatz 9 des vorliegenden Artikels allgemeine G√ľltigkeit besitzen, k√∂nnen auch von Verantwortlichen oder Auftragsverarbeitern, die gem√§√ü Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen nach Ma√ügabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.

(4)   Die Verhaltensregeln gem√§√ü Absatz 2 des vorliegenden Artikels m√ľssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle erm√∂glichen, die obligatorische √úberwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbeh√∂rde, die nach Artikel 55 oder 56 zust√§ndig ist.

(5)   Verb√§nde und andere Vereinigungen gem√§√ü Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu √§ndern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung der Aufsichtsbeh√∂rde vor, die nach Artikel 55 zust√§ndig ist. Die Aufsichtsbeh√∂rde gibt eine Stellungnahme dar√ľber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.

(6)   Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungst√§tigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbeh√∂rde die Verhaltensregeln in ein Verzeichnis auf und ver√∂ffentlicht sie.

(7)   Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungst√§tigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zust√§ndige Aufsichtsbeh√∂rde ‚ÄĒ bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung genehmigt ‚ÄĒ ihn nach dem Verfahren gem√§√ü Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist oder ‚ÄĒ im Fall nach Absatz 3 dieses Artikels ‚ÄĒ geeignete Garantien vorsieht.

(8)   Wird durch die Stellungnahme nach Absatz 7 best√§tigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist oder ‚ÄĒ im Fall nach Absatz 3 ‚ÄĒ geeignete Garantien vorsieht, so √ľbermittelt der Ausschuss seine Stellungnahme der Kommission.

(9)   Die Kommission kann im Wege von Durchf√ľhrungsrechtsakten beschlie√üen, dass die ihr gem√§√ü Absatz 8 √ľbermittelten genehmigten Verhaltensregeln bzw. deren genehmigte √Ąnderung oder Erweiterung allgemeine G√ľltigkeit in der Union besitzen. Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 erlassen.

(10)   Die Kommission tr√§gt daf√ľr Sorge, dass die genehmigten Verhaltensregeln, denen gem√§√ü Absatz 9 allgemeine G√ľltigkeit zuerkannt wurde, in geeigneter Weise ver√∂ffentlicht werden.

(11)   Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte √Ąnderungen oder Erweiterungen in ein Register auf und ver√∂ffentlicht sie in geeigneter Weise.

Artikel 41

√úberwachung der genehmigten Verhaltensregeln

(1)   Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü den Artikeln 57 und 58 kann die √úberwachung der Einhaltung von Verhaltensregeln gem√§√ü Artikel 40 von einer Stelle durchgef√ľhrt werden, die √ľber das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verf√ľgt und die von der zust√§ndigen Aufsichtsbeh√∂rde zu diesem Zweck akkreditiert wurde.

(2)   Eine Stelle gem√§√ü Absatz 1 kann zum Zwecke der √úberwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie

a)

ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;

b)

Verfahren festgelegt hat, die es ihr erm√∂glichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden k√∂nnen, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu √ľberwachen und die Anwendung der Verhaltensregeln regelm√§√üig zu √ľberpr√ľfen;

c)

Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden √ľber Verletzungen der Verhaltensregeln oder √ľber die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen f√ľr betroffene Personen und die √Ėffentlichkeit transparent macht, und

d)

zur Zufriedenheit der zust√§ndigen Aufsichtsbeh√∂rde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.

(3)   Die zust√§ndige Aufsichtsbeh√∂rde √ľbermittelt den Entwurf der Kriterien f√ľr die Akkreditierung einer Stelle nach Absatz 1 gem√§√ü dem Koh√§renzverfahren nach Artikel 63 an den Ausschuss.

(4)   Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gem√§√ü Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Ma√ünahmen, einschlie√ülich eines vorl√§ufigen oder endg√ľltigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zust√§ndige Aufsichtsbeh√∂rde √ľber solche Ma√ünahmen und deren Begr√ľndung.

(5)   Die zust√§ndige Aufsichtsbeh√∂rde widerruft die Akkreditierung einer Stelle gem√§√ü Absatz 1, wenn die Voraussetzungen f√ľr ihre Akkreditierung nicht oder nicht mehr erf√ľllt sind oder wenn die Stelle Ma√ünahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.

(6)   Dieser Artikel gilt nicht f√ľr die Verarbeitung durch Beh√∂rden oder √∂ffentliche Stellen.

Artikel 42

Zertifizierung

(1)   Die Mitgliedstaaten, die Aufsichtsbeh√∂rden, der Ausschuss und die Kommission f√∂rdern insbesondere auf Unionsebene die Einf√ľhrung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -pr√ľfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorg√§ngen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bed√ľrfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.

(2)   Zus√§tzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter k√∂nnen auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Pr√ľfzeichen, die gem√§√ü Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gem√§√ü Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen nach Ma√ügabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.

(3)   Die Zertifizierung muss freiwillig und √ľber ein transparentes Verfahren zug√§nglich sein.

(4)   Eine Zertifizierung gem√§√ü diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters f√ľr die Einhaltung dieser Verordnung und ber√ľhrt nicht die Aufgaben und Befugnisse der Aufsichtsbeh√∂rden, die gem√§√ü Artikel 55 oder 56 zust√§ndig sind.

(5)   Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zust√§ndige Aufsichtsbeh√∂rde anhand der von dieser zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü Artikel 58 Absatz 3 oder ‚ÄĒ gem√§√ü Artikel 63 ‚ÄĒ durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europ√§ischen Datenschutzsiegel, f√ľhren.

(6)   Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgef√ľhrte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zust√§ndigen Aufsichtsbeh√∂rde alle f√ľr die Durchf√ľhrung des Zertifizierungsverfahrens erforderlichen Informationen zur Verf√ľgung und gew√§hrt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungst√§tigkeiten.

(7)   Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter f√ľr eine H√∂chstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verl√§ngert werden, sofern die einschl√§gigen Voraussetzungen weiterhin erf√ľllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zust√§ndige Aufsichtsbeh√∂rde widerrufen, wenn die Voraussetzungen f√ľr die Zertifizierung nicht oder nicht mehr erf√ľllt werden.

(8)   Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen in ein Register auf und ver√∂ffentlicht sie in geeigneter Weise.

Artikel 43

Zertifizierungsstellen

(1)   Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü den Artikeln 57 und 58 erteilen oder verl√§ngern Zertifizierungsstellen, die √ľber das geeignete Fachwissen hinsichtlich des Datenschutzes verf√ľgen, nach Unterrichtung der Aufsichtsbeh√∂rde ‚ÄĒ damit diese erforderlichenfalls von ihren Befugnissen gem√§√ü Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann ‚ÄĒ die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:

a)

der gem√§√ü Artikel 55 oder 56 zust√§ndigen Aufsichtsbeh√∂rde;

b)

der nationalen Akkreditierungsstelle, die gem√§√ü der Verordnung (EG) Nr. 765/2008 des Europ√§ischen Parlaments und des Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zus√§tzlichen von der gem√§√ü Artikel 55 oder 56 zust√§ndigen Aufsichtsbeh√∂rde festgelegten Anforderungen benannt wurde.

(2)   Zertifizierungsstellen nach Absatz 1 d√ľrfen nur dann gem√§√ü dem genannten Absatz akkreditiert werden, wenn sie

a)

ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;

b)

sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gem√§√ü Artikel 55 oder 56 zust√§ndigen Aufsichtsbeh√∂rde oder ‚ÄĒ gem√§√ü Artikel 63 ‚ÄĒ von dem Ausschuss genehmigt wurden, einzuhalten;

c)

Verfahren f√ľr die Erteilung, die regelm√§√üige √úberpr√ľfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -pr√ľfzeichen festgelegt haben;

d)

Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden √ľber Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen f√ľr betroffene Personen und die √Ėffentlichkeit transparent machen, und

e)

zur Zufriedenheit der zust√§ndigen Aufsichtsbeh√∂rde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.

(3)   Die Akkreditierung von Zertifizierungsstellen nach den Abs√§tzen 1 und 2 erfolgt anhand der Kriterien, die von der gem√§√ü Artikel 55 oder 56 zust√§ndigen Aufsichtsbeh√∂rde oder ‚ÄĒ gem√§√ü Artikel 63 ‚ÄĒ von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels erg√§nzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.

(4)   Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter f√ľr die Einhaltung dieser Verordnung hat, f√ľr die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird f√ľr eine H√∂chstdauer von f√ľnf Jahren erteilt und kann unter denselben Bedingungen verl√§ngert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erf√ľllt.

(5)   Die Zertifizierungsstellen nach Absatz 1 teilen den zust√§ndigen Aufsichtsbeh√∂rden die Gr√ľnde f√ľr die Erteilung oder den Widerruf der beantragten Zertifizierung mit.

(6)   Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbeh√∂rde in leicht zug√§nglicher Form ver√∂ffentlicht. Die Aufsichtsbeh√∂rden √ľbermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und ver√∂ffentlicht sie in geeigneter Weise.

(7)   Unbeschadet des Kapitels VIII widerruft die zust√§ndige Aufsichtsbeh√∂rde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen f√ľr die Akkreditierung nicht oder nicht mehr erf√ľllt sind oder wenn eine Zertifizierungsstelle Ma√ünahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.

(8)   Der Kommission wird die Befugnis √ľbertragen, gem√§√ü Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die f√ľr die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu ber√ľcksichtigen sind.

(9)   Die Kommission kann Durchf√ľhrungsrechtsakte erlassen, mit denen technische Standards f√ľr Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen sowie Mechanismen zur F√∂rderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen festgelegt werden. Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem in Artikel 93 Absatz 2 genannten Pr√ľfverfahren erlassen.

KAPITEL V

Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

Artikel 44

Allgemeine Grunds√§tze der Daten√ľbermittlung

Jedwede √úbermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer √úbermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zul√§ssig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch f√ľr die etwaige Weiter√ľbermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gew√§hrleistete Schutzniveau f√ľr nat√ľrliche Personen nicht untergraben wird.

Artikel 45

Daten√ľbermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1)   Eine √úbermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Daten√ľbermittlung bedarf keiner besonderen Genehmigung.

(2)   Bei der Pr√ľfung der Angemessenheit des gebotenen Schutzniveaus ber√ľcksichtigt die Kommission insbesondere das Folgende:

a)

die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschl√§gigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art ‚ÄĒ auch in Bezug auf √∂ffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Beh√∂rden zu personenbezogenen Daten ‚ÄĒ sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschlie√ülich der Vorschriften f√ľr die Weiter√ľbermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe f√ľr betroffene Personen, deren personenbezogene Daten √ľbermittelt werden,

b)

die Existenz und die wirksame Funktionsweise einer oder mehrerer unabh√§ngiger Aufsichtsbeh√∂rden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die f√ľr die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschlie√ülich angemessener Durchsetzungsbefugnisse, f√ľr die Unterst√ľtzung und Beratung der betroffenen Personen bei der Aus√ľbung ihrer Rechte und f√ľr die Zusammenarbeit mit den Aufsichtsbeh√∂rden der Mitgliedstaaten zust√§ndig sind, und

c)

die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen √úbereink√ľnften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

(3)   Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchf√ľhrungsrechtsaktes beschlie√üen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchf√ľhrungsrechtsakt ist ein Mechanismus f√ľr eine regelm√§√üige √úberpr√ľfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen ma√ügeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchf√ľhrungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbeh√∂rde bzw. genannten Aufsichtsbeh√∂rden angegeben. Der Durchf√ľhrungsrechtsakt wird gem√§√ü dem in Artikel 93 Absatz 2 genannten Pr√ľfverfahren erlassen.

(4)   Die Kommission √ľberwacht fortlaufend die Entwicklungen in Drittl√§ndern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschl√ľsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeintr√§chtigen k√∂nnten.

(5)   Die Kommission widerruft, √§ndert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschl√ľsse im Wege von Durchf√ľhrungsrechtsakten aus, soweit dies n√∂tig ist und ohne r√ľckwirkende Kraft, soweit entsprechende Informationen ‚ÄĒ insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte √úberpr√ľfung ‚ÄĒ dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gew√§hrleistet. Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 erlassen.

In hinreichend begr√ľndeten F√§llen √§u√üerster Dringlichkeit erl√§sst die Kommission gem√§√ü dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchf√ľhrungsrechtsakte.

(6)   Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe f√ľr die Situation zu schaffen, die zu dem gem√§√ü Absatz 5 erlassenen Beschluss gef√ľhrt hat.

(7)   √úbermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gem√§√ü den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht ber√ľhrt.

(8)   Die Kommission ver√∂ffentlicht im Amtsblatt der Europ√§ischen Union und auf ihrer Website eine Liste aller Drittl√§nder beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, f√ľr die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gew√§hrleisten bzw. nicht mehr gew√§hrleisten.

(9)   Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Pr√ľfverfahren gem√§√ü den Abs√§tzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission ge√§ndert, ersetzt oder aufgehoben werden.

Artikel 46

Daten√ľbermittlung vorbehaltlich geeigneter Garantien

(1)   Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur √ľbermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verf√ľgung stehen.

(2)   Die in Absatz 1 genannten geeigneten Garantien k√∂nnen, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbeh√∂rde erforderlich w√§re, bestehen in

a)

einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,

b)

verbindlichen internen Datenschutzvorschriften gem√§√ü Artikel 47,

c)

Standarddatenschutzklauseln, die von der Kommission gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 erlassen werden,

d)

von einer Aufsichtsbeh√∂rde angenommenen Standarddatenschutzklauseln, die von der Kommission gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,

e)

genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder

f)

einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.

(3)   Vorbehaltlich der Genehmigung durch die zust√§ndige Aufsichtsbeh√∂rde k√∂nnen die geeigneten Garantien gem√§√ü Absatz 1 auch insbesondere bestehen in

a)

Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder

b)

Bestimmungen, die in Verwaltungsvereinbarungen zwischen Beh√∂rden oder √∂ffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte f√ľr die betroffenen Personen einschlie√üen.

(4)   Die Aufsichtsbeh√∂rde wendet das Koh√§renzverfahren nach Artikel 63 an, wenn ein Fall gem√§√ü Absatz 3 des vorliegenden Artikels vorliegt.

(5)   Von einem Mitgliedstaat oder einer Aufsichtsbeh√∂rde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange g√ľltig, bis sie erforderlichenfalls von dieser Aufsichtsbeh√∂rde ge√§ndert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission ge√§ndert, ersetzt oder aufgehoben werden.

Artikel 47

Verbindliche interne Datenschutzvorschriften

(1)   Die zust√§ndige Aufsichtsbeh√∂rde genehmigt gem√§√ü dem Koh√§renzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese

a)

rechtlich bindend sind, f√ľr alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch f√ľr ihre Besch√§ftigten gilt,

b)

den betroffenen Personen ausdr√ľcklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten √ľbertragen und

c)

die in Absatz 2 festgelegten Anforderungen erf√ľllen.

(2)   Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:

a)

Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, und jedes ihrer Mitglieder;

b)

die betreffenden Daten√ľbermittlungen oder Reihen von Daten√ľbermittlungen einschlie√ülich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittl√§nder;

c)

interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;

d)

die Anwendung der allgemeinen Datenschutzgrunds√§tze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualit√§t, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage f√ľr die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Ma√ünahmen zur Sicherstellung der Datensicherheit und Anforderungen f√ľr die Weiter√ľbermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;

e)

die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschlie√ülich des Rechts, nicht einer ausschlie√ülich auf einer automatisierten Verarbeitung ‚ÄĒ einschlie√ülich Profiling ‚ÄĒ beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zust√§ndigen Aufsichtsbeh√∂rde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zust√§ndigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;

f)

die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter √ľbernommene Haftung f√ľr etwaige Verst√∂√üe eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollst√§ndig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;

g)

die Art und Weise, wie die betroffenen Personen √ľber die Bestimmungen der Artikel 13 und 14 hinaus √ľber die verbindlichen internen Datenschutzvorschriften und insbesondere √ľber die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;

h)

die Aufgaben jedes gem√§√ü Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der √úberwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, sowie mit der √úberwachung der Schulungsma√ünahmen und dem Umgang mit Beschwerden befasst ist;

i)

die Beschwerdeverfahren;

j)

die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, bestehenden Verfahren zur √úberpr√ľfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutz√ľberpr√ľfungen und Verfahren zur Gew√§hrleistung von Abhilfema√ünahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger √úberpr√ľfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, mitgeteilt werden und sollten der zust√§ndigen Aufsichtsbeh√∂rde auf Anfrage zur Verf√ľgung gestellt werden;

k)

die Verfahren f√ľr die Meldung und Erfassung von √Ąnderungen der Vorschriften und ihre Meldung an die Aufsichtsbeh√∂rde;

l)

die Verfahren f√ľr die Zusammenarbeit mit der Aufsichtsbeh√∂rde, die die Befolgung der Vorschriften durch s√§mtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, gew√§hrleisten, insbesondere durch Offenlegung der Ergebnisse von √úberpr√ľfungen der unter Buchstabe j genannten Ma√ünahmen gegen√ľber der Aufsichtsbeh√∂rde;

m)

die Meldeverfahren zur Unterrichtung der zust√§ndigen Aufsichtsbeh√∂rde √ľber jegliche f√ľr ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken k√∂nnten, die die verbindlichen internen Datenschutzvorschriften bieten, und

n)

geeignete Datenschutzschulungen f√ľr Personal mit st√§ndigem oder regelm√§√üigem Zugang zu personenbezogenen Daten.

(3)   Die Kommission kann das Format und die Verfahren f√ľr den Informationsaustausch √ľber verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbeh√∂rden festlegen. Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 erlassen.

Artikel 48

Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbeh√∂rde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die √úbermittlung oder Offenlegung personenbezogener Daten verlangt wird, d√ľrfen unbeschadet anderer Gr√ľnde f√ľr die √úbermittlung gem√§√ü diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale √úbereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gest√ľtzt sind.

Artikel 49

Ausnahmen f√ľr bestimmte F√§lle

(1)   Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschlie√ülich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine √úbermittlung oder eine Reihe von √úbermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zul√§ssig:

a)

die betroffene Person hat in die vorgeschlagene Daten√ľbermittlung ausdr√ľcklich eingewilligt, nachdem sie √ľber die f√ľr sie bestehenden m√∂glichen Risiken derartiger Daten√ľbermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)

die √úbermittlung ist f√ľr die Erf√ľllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchf√ľhrung von vorvertraglichen Ma√ünahmen auf Antrag der betroffenen Person erforderlich,

c)

die √úbermittlung ist zum Abschluss oder zur Erf√ľllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen nat√ľrlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)

die √úbermittlung ist aus wichtigen Gr√ľnden des √∂ffentlichen Interesses notwendig,

e)

die √úbermittlung ist zur Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen erforderlich,

f)

die √úbermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gr√ľnden au√üerstande ist, ihre Einwilligung zu geben,

g)

die √úbermittlung erfolgt aus einem Register, das gem√§√ü dem Recht der Union oder der Mitgliedstaaten zur Information der √Ėffentlichkeit bestimmt ist und entweder der gesamten √Ėffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen k√∂nnen, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen f√ľr die Einsichtnahme im Einzelfall gegeben sind.

Falls die √úbermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 ‚ÄĒ einschlie√ülich der verbindlichen internen Datenschutzvorschriften ‚ÄĒ gest√ľtzt werden k√∂nnte und keine der Ausnahmen f√ľr einen bestimmten Fall gem√§√ü dem ersten Unterabsatz anwendbar ist, darf eine √úbermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die √úbermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, f√ľr die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht √ľberwiegen, und der Verantwortliche alle Umst√§nde der Daten√ľbermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbeh√∂rde von der √úbermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person √ľber die √úbermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zus√§tzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.

(2)   Daten√ľbermittlungen gem√§√ü Absatz 1 Unterabsatz 1 Buchstabe g d√ľrfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die √úbermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der √úbermittlung sind.

(3)   Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht f√ľr T√§tigkeiten, die Beh√∂rden in Aus√ľbung ihrer hoheitlichen Befugnisse durchf√ľhren.

(4)   Das √∂ffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein.

(5)   Liegt kein Angemessenheitsbeschluss vor, so k√∂nnen im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gr√ľnden des √∂ffentlichen Interesses ausdr√ľcklich Beschr√§nkungen der √úbermittlung bestimmter Kategorien von personenbezogenen Daten an Drittl√§nder oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.

(6)   Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gem√§√ü Artikel 30.

Artikel 50

Internationale Zusammenarbeit zum Schutz personenbezogener Daten

In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur

a)

Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,

b)

gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien f√ľr den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,

c)

Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,

d)

Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.

KAPITEL VI

Unabhängige Aufsichtsbehörden

Abschnitt 1

Unabhängigkeit

Artikel 51

Aufsichtsbehörde

(1)   Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabh√§ngige Beh√∂rden f√ľr die √úberwachung der Anwendung dieser Verordnung zust√§ndig sind, damit die Grundrechte und Grundfreiheiten nat√ľrlicher Personen bei der Verarbeitung gesch√ľtzt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden ‚ÄěAufsichtsbeh√∂rde‚Äú).

(2)   Jede Aufsichtsbeh√∂rde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbeh√∂rden untereinander sowie mit der Kommission gem√§√ü Kapitel VII zusammen.

(3)   Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbeh√∂rde, so bestimmt dieser Mitgliedstaat die Aufsichtsbeh√∂rde, die diese Beh√∂rden im Ausschuss vertritt, und f√ľhrt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Beh√∂rden die Regeln f√ľr das Koh√§renzverfahren nach Artikel 63 einhalten.

(4)   Jeder Mitgliedstaat teilt der Kommission bis sp√§testens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erl√§sst, sowie unverz√ľglich alle folgenden √Ąnderungen dieser Vorschriften mit.

Artikel 52

Unabhängigkeit

(1)   Jede Aufsichtsbeh√∂rde handelt bei der Erf√ľllung ihrer Aufgaben und bei der Aus√ľbung ihrer Befugnisse gem√§√ü dieser Verordnung v√∂llig unabh√§ngig.

(2)   Das Mitglied oder die Mitglieder jeder Aufsichtsbeh√∂rde unterliegen bei der Erf√ľllung ihrer Aufgaben und der Aus√ľbung ihrer Befugnisse gem√§√ü dieser Verordnung weder direkter noch indirekter Beeinflussung von au√üen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.

(3)   Das Mitglied oder die Mitglieder der Aufsichtsbeh√∂rde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und √ľben w√§hrend ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche T√§tigkeit aus.

(4)   Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbeh√∂rde mit den personellen, technischen und finanziellen Ressourcen, R√§umlichkeiten und Infrastrukturen ausgestattet wird, die sie ben√∂tigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu k√∂nnen.

(5)   Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbeh√∂rde ihr eigenes Personal ausw√§hlt und hat, das ausschlie√ülich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbeh√∂rde untersteht.

(6)   Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbeh√∂rde einer Finanzkontrolle unterliegt, die ihre Unabh√§ngigkeit nicht beeintr√§chtigt und dass sie √ľber eigene, √∂ffentliche, j√§hrliche Haushaltspl√§ne verf√ľgt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein k√∂nnen.

Artikel 53

Allgemeine Bedingungen f√ľr die Mitglieder der Aufsichtsbeh√∂rde

(1)   Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbeh√∂rden im Wege eines transparenten Verfahrens ernannt wird, und zwar

‚ÄĒ

vom Parlament,

‚ÄĒ

von der Regierung,

‚ÄĒ

vom Staatsoberhaupt oder

‚ÄĒ

von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird.

(2)   Jedes Mitglied muss √ľber die f√ľr die Erf√ľllung seiner Aufgaben und Aus√ľbung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verf√ľgen.

(3)   Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem R√ľcktritt oder verpflichtender Versetzung in den Ruhestand gem√§√ü dem Recht des betroffenen Mitgliedstaats.

(4)   Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen f√ľr die Wahrnehmung seiner Aufgaben nicht mehr erf√ľllt.

Artikel 54

Errichtung der Aufsichtsbehörde

(1)   Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:

a)

die Errichtung jeder Aufsichtsbehörde;

b)

die erforderlichen Qualifikationen und sonstigen Voraussetzungen f√ľr die Ernennung zum Mitglied jeder Aufsichtsbeh√∂rde;

c)

die Vorschriften und Verfahren f√ľr die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbeh√∂rde;

d)

die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbeh√∂rde von mindestens vier Jahren; dies gilt nicht f√ľr die erste Amtszeit nach 24. Mai 2016, die f√ľr einen Teil der Mitglieder k√ľrzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabh√§ngigkeit der Aufsichtsbeh√∂rde notwendig ist;

e)

die Frage, ob und ‚ÄĒ wenn ja ‚ÄĒ wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbeh√∂rde wiederernannt werden k√∂nnen;

f)

die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbeh√∂rde, die Verbote von Handlungen, beruflichen T√§tigkeiten und Verg√ľtungen w√§hrend und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln f√ľr die Beendigung des Besch√§ftigungsverh√§ltnisses.

(2)   Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbeh√∂rde sind gem√§√ü dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl w√§hrend ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, √ľber alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Aus√ľbung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. W√§hrend dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere f√ľr die von nat√ľrlichen Personen gemeldeten Verst√∂√üen gegen diese Verordnung.

Abschnitt 2

Zuständigkeit, Aufgaben und Befugnisse

Artikel 55

Zuständigkeit

(1)   Jede Aufsichtsbeh√∂rde ist f√ľr die Erf√ľllung der Aufgaben und die Aus√ľbung der Befugnisse, die ihr mit dieser Verordnung √ľbertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zust√§ndig.

(2)   Erfolgt die Verarbeitung durch Beh√∂rden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbeh√∂rde des betroffenen Mitgliedstaats zust√§ndig. In diesem Fall findet Artikel 56 keine Anwendung.

(3)   Die Aufsichtsbeh√∂rden sind nicht zust√§ndig f√ľr die Aufsicht √ľber die von Gerichten im Rahmen ihrer justiziellen T√§tigkeit vorgenommenen Verarbeitungen.

Artikel 56

Zust√§ndigkeit der federf√ľhrenden Aufsichtsbeh√∂rde

(1)   Unbeschadet des Artikels 55 ist die Aufsichtsbeh√∂rde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gem√§√ü dem Verfahren nach Artikel 60 die zust√§ndige federf√ľhrende Aufsichtsbeh√∂rde f√ľr die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgef√ľhrte grenz√ľberschreitende Verarbeitung.

(2)   Abweichend von Absatz 1 ist jede Aufsichtsbeh√∂rde daf√ľr zust√§ndig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Versto√ü gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenh√§ngt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeintr√§chtigt.

(3)   In den in Absatz 2 des vorliegenden Artikels genannten F√§llen unterrichtet die Aufsichtsbeh√∂rde unverz√ľglich die federf√ľhrende Aufsichtsbeh√∂rde √ľber diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federf√ľhrende Aufsichtsbeh√∂rde, ob sie sich mit dem Fall gem√§√ü dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie ber√ľcksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbeh√∂rde sie unterrichtet hat, eine Niederlassung hat oder nicht.

(4)   Entscheidet die federf√ľhrende Aufsichtsbeh√∂rde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbeh√∂rde, die die federf√ľhrende Aufsichtsbeh√∂rde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federf√ľhrende Aufsichtsbeh√∂rde tr√§gt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.

(5)   Entscheidet die federf√ľhrende Aufsichtsbeh√∂rde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbeh√∂rde, die die federf√ľhrende Aufsichtsbeh√∂rde unterrichtet hat, sich mit dem Fall gem√§√ü den Artikeln 61 und 62.

(6)   Die federf√ľhrende Aufsichtsbeh√∂rde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter f√ľr Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgef√ľhrten grenz√ľberschreitenden Verarbeitung.

Artikel 57

Aufgaben

(1)   Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbeh√∂rde in ihrem Hoheitsgebiet

a)

die Anwendung dieser Verordnung √ľberwachen und durchsetzen;

b)

die √Ėffentlichkeit f√ľr die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie dar√ľber aufkl√§ren. Besondere Beachtung finden dabei spezifische Ma√ünahmen f√ľr Kinder;

c)

im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien √ľber legislative und administrative Ma√ünahmen zum Schutz der Rechte und Freiheiten nat√ľrlicher Personen in Bezug auf die Verarbeitung beraten;

d)

die Verantwortlichen und die Auftragsverarbeiter f√ľr die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;

e)

auf Anfrage jeder betroffenen Person Informationen √ľber die Aus√ľbung ihrer Rechte aufgrund dieser Verordnung zur Verf√ľgung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbeh√∂rden in anderen Mitgliedstaaten zusammenarbeiten;

f)

sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gem√§√ü Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdef√ľhrer innerhalb einer angemessenen Frist √ľber den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbeh√∂rde notwendig ist;

g)

mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;

h)

Untersuchungen √ľber die Anwendung dieser Verordnung durchf√ľhren, auch auf der Grundlage von Informationen einer anderen Aufsichtsbeh√∂rde oder einer anderen Beh√∂rde;

i)

maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;

j)

Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;

k)

eine Liste der Verarbeitungsarten erstellen und f√ľhren, f√ľr die gem√§√ü Artikel 35 Absatz 4 eine Datenschutz-Folgenabsch√§tzung durchzuf√ľhren ist;

l)

Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorg√§nge leisten;

m)

die Ausarbeitung von Verhaltensregeln gem√§√ü Artikel 40 Absatz 1 f√∂rdern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten m√ľssen, Stellungnahmen abgeben und sie billigen;

n)

die Einf√ľhrung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -pr√ľfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;

o)

gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelm√§√üig √ľberpr√ľfen;

p)

die Kriterien f√ľr die Akkreditierung einer Stelle f√ľr die √úberwachung der Einhaltung der Verhaltensregeln gem√§√ü Artikel 41 und einer Zertifizierungsstelle gem√§√ü Artikel 43 abfassen und ver√∂ffentlichen;

q)

die Akkreditierung einer Stelle f√ľr die √úberwachung der Einhaltung der Verhaltensregeln gem√§√ü Artikel 41 und einer Zertifizierungsstelle gem√§√ü Artikel 43 vornehmen;

r)

Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;

s)

verbindliche interne Vorschriften gem√§√ü Artikel 47 genehmigen;

t)

Beiträge zur Tätigkeit des Ausschusses leisten;

u)

interne Verzeichnisse √ľber Verst√∂√üe gegen diese Verordnung und gem√§√ü Artikel 58 Absatz 2 ergriffene Ma√ünahmen und

v)

jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erf√ľllen.

(2)   Jede Aufsichtsbeh√∂rde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Ma√ünahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgef√ľllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(3)   Die Erf√ľllung der Aufgaben jeder Aufsichtsbeh√∂rde ist f√ľr die betroffene Person und gegebenenfalls f√ľr den Datenschutzbeauftragten unentgeltlich.

(4)   Bei offenkundig unbegr√ľndeten oder ‚ÄĒ insbesondere im Fall von h√§ufiger Wiederholung ‚ÄĒ exzessiven Anfragen kann die Aufsichtsbeh√∂rde eine angemessene Geb√ľhr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage t√§tig zu werden. In diesem Fall tr√§gt die Aufsichtsbeh√∂rde die Beweislast f√ľr den offenkundig unbegr√ľndeten oder exzessiven Charakter der Anfrage.

Artikel 58

Befugnisse

(1)   Jede Aufsichtsbeh√∂rde verf√ľgt √ľber s√§mtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,

a)

den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die f√ľr die Erf√ľllung ihrer Aufgaben erforderlich sind,

b)

Untersuchungen in Form von Datenschutz√ľberpr√ľfungen durchzuf√ľhren,

c)

eine √úberpr√ľfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuf√ľhren,

d)

den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

e)

von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erf√ľllung ihrer Aufgaben notwendig sind, zu erhalten,

f)

gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.

(2)   Jede Aufsichtsbeh√∂rde verf√ľgt √ľber s√§mtliche folgenden Abhilfebefugnisse, die es ihr gestatten,

a)

einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b)

einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c)

den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Antr√§gen der betroffenen Person auf Aus√ľbung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

d)

den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

e)

den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,

f)

eine vor√ľbergehende oder endg√ľltige Beschr√§nkung der Verarbeitung, einschlie√ülich eines Verbots, zu verh√§ngen,

g)

die Berichtigung oder L√∂schung von personenbezogenen Daten oder die Einschr√§nkung der Verarbeitung gem√§√ü den Artikeln 16, 17 und 18 und die Unterrichtung der Empf√§nger, an die diese personenbezogenen Daten gem√§√ü Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, √ľber solche Ma√ünahmen anzuordnen,

h)

eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gem√§√ü den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen f√ľr die Zertifizierung nicht oder nicht mehr erf√ľllt werden,

i)

eine Geldbu√üe gem√§√ü Artikel 83 zu verh√§ngen, zus√§tzlich zu oder anstelle von in diesem Absatz genannten Ma√ünahmen, je nach den Umst√§nden des Einzelfalls,

j)

die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

(3)   Jede Aufsichtsbeh√∂rde verf√ľgt √ľber s√§mtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,

a)

gem√§√ü dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,

b)

zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die √Ėffentlichkeit zu richten,

c)

die Verarbeitung gem√§√ü Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,

d)

eine Stellungnahme abzugeben und Entw√ľrfe von Verhaltensregeln gem√§√ü Artikel 40 Absatz 5 zu billigen,

e)

Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,

f)

im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien f√ľr die Zertifizierung zu billigen,

g)

Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,

h)

Vertragsklauseln gem√§√ü Artikel 46 Absatz 3 Buchstabe a zu genehmigen,

i)

Verwaltungsvereinbarungen gem√§√ü Artikel 46 Absatz 3 Buchstabe b zu genehmigen

j)

verbindliche interne Vorschriften gem√§√ü Artikel 47 zu genehmigen.

(4)   Die Aus√ľbung der der Aufsichtsbeh√∂rde gem√§√ü diesem Artikel √ľbertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschlie√ülich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgem√§√üer Verfahren gem√§√ü dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.

(5)   Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbeh√∂rde befugt ist, Verst√∂√üe gegen diese Verordnung den Justizbeh√∂rden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.

(6)   Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbeh√∂rde neben den in den Abs√§tzen 1, 2 und 3 aufgef√ľhrten Befugnissen √ľber zus√§tzliche Befugnisse verf√ľgt. Die Aus√ľbung dieser Befugnisse darf nicht die effektive Durchf√ľhrung des Kapitels VII beeintr√§chtigen.

Artikel 59

Tätigkeitsbericht

Jede Aufsichtsbeh√∂rde erstellt einen Jahresbericht √ľber ihre T√§tigkeit, der eine Liste der Arten der gemeldeten Verst√∂√üe und der Arten der getroffenen Ma√ünahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Beh√∂rden √ľbermittelt. Sie werden der √Ėffentlichkeit, der Kommission und dem Ausschuss zug√§nglich gemacht.

KAPITEL VII

Zusammenarbeit und Kohärenz

Abschnitt 1

Zusammenarbeit

Artikel 60

Zusammenarbeit zwischen der federf√ľhrenden Aufsichtsbeh√∂rde und den anderen betroffenen Aufsichtsbeh√∂rden

(1)   Die federf√ľhrende Aufsichtsbeh√∂rde arbeitet mit den anderen betroffenen Aufsichtsbeh√∂rden im Einklang mit diesem Artikel zusammen und bem√ľht sich dabei, einen Konsens zu erzielen. Die federf√ľhrende Aufsichtsbeh√∂rde und die betroffenen Aufsichtsbeh√∂rden tauschen untereinander alle zweckdienlichen Informationen aus.

(2)   Die federf√ľhrende Aufsichtsbeh√∂rde kann jederzeit andere betroffene Aufsichtsbeh√∂rden um Amtshilfe gem√§√ü Artikel 61 ersuchen und gemeinsame Ma√ünahmen gem√§√ü Artikel 62 durchf√ľhren, insbesondere zur Durchf√ľhrung von Untersuchungen oder zur √úberwachung der Umsetzung einer Ma√ünahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.

(3)   Die federf√ľhrende Aufsichtsbeh√∂rde √ľbermittelt den anderen betroffenen Aufsichtsbeh√∂rden unverz√ľglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbeh√∂rden unverz√ľglich einen Beschlussentwurf zur Stellungnahme vor und tr√§gt deren Standpunkten geb√ľhrend Rechnung.

(4)   Legt eine der anderen betroffenen Aufsichtsbeh√∂rden innerhalb von vier Wochen, nachdem sie gem√§√ü Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen ma√ügeblichen und begr√ľndeten Einspruch ein und schlie√üt sich die federf√ľhrende Aufsichtsbeh√∂rde dem ma√ügeblichen und begr√ľndeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht ma√ügeblich oder nicht begr√ľndet ist, so leitet die federf√ľhrende Aufsichtsbeh√∂rde das Koh√§renzverfahren gem√§√ü Artikel 63 f√ľr die Angelegenheit ein.

(5)   Beabsichtigt die federf√ľhrende Aufsichtsbeh√∂rde, sich dem ma√ügeblichen und begr√ľndeten Einspruch anzuschlie√üen, so legt sie den anderen betroffenen Aufsichtsbeh√∂rden einen √ľberarbeiteten Beschlussentwurf zur Stellungnahme vor. Der √ľberarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.

(6)   Legt keine der anderen betroffenen Aufsichtsbeh√∂rden Einspruch gegen den Beschlussentwurf ein, der von der federf√ľhrenden Aufsichtsbeh√∂rde innerhalb der in den Abs√§tzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federf√ľhrende Aufsichtsbeh√∂rde und die betroffenen Aufsichtsbeh√∂rden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.

(7)   Die federf√ľhrende Aufsichtsbeh√∂rde erl√§sst den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbeh√∂rden und den Ausschuss von dem betreffenden Beschluss einschlie√ülich einer Zusammenfassung der ma√ügeblichen Fakten und Gr√ľnde in Kenntnis. Die Aufsichtsbeh√∂rde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdef√ľhrer √ľber den Beschluss.

(8)   Wird eine Beschwerde abgelehnt oder abgewiesen, so erl√§sst die Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdef√ľhrer mit und setzt den Verantwortlichen in Kenntnis.

(9)   Sind sich die federf√ľhrende Aufsichtsbeh√∂rde und die betreffenden Aufsichtsbeh√∂rden dar√ľber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bez√ľglich anderer Teile dieser Beschwerde t√§tig zu werden, so wird in dieser Angelegenheit f√ľr jeden dieser Teile ein eigener Beschluss erlassen. Die federf√ľhrende Aufsichtsbeh√∂rde erl√§sst den Beschluss f√ľr den Teil, der das T√§tigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdef√ľhrer hiervon in Kenntnis, w√§hrend die f√ľr den Beschwerdef√ľhrer zust√§ndige Aufsichtsbeh√∂rde den Beschluss f√ľr den Teil erl√§sst, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdef√ľhrer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt.

(10)   Nach der Unterrichtung √ľber den Beschluss der federf√ľhrenden Aufsichtsbeh√∂rde gem√§√ü den Abs√§tzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Ma√ünahmen, um die Verarbeitungst√§tigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federf√ľhrenden Aufsichtsbeh√∂rde die Ma√ünahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbeh√∂rden.

(11)   Hat ‚ÄĒ in Ausnahmef√§llen ‚ÄĒ eine betroffene Aufsichtsbeh√∂rde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.

(12)   Die federf√ľhrende Aufsichtsbeh√∂rde und die anderen betroffenen Aufsichtsbeh√∂rden √ľbermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.

Artikel 61

Gegenseitige Amtshilfe

(1)   Die Aufsichtsbeh√∂rden √ľbermitteln einander ma√ügebliche Informationen und gew√§hren einander Amtshilfe, um diese Verordnung einheitlich durchzuf√ľhren und anzuwenden, und treffen Vorkehrungen f√ľr eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Ma√ünahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachpr√ľfungen und Untersuchungen.

(2)   Jede Aufsichtsbeh√∂rde ergreift alle geeigneten Ma√ünahmen, um einem Ersuchen einer anderen Aufsichtsbeh√∂rde unverz√ľglich und sp√§testens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die √úbermittlung ma√ügeblicher Informationen √ľber die Durchf√ľhrung einer Untersuchung geh√∂ren.

(3)   Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschlie√ülich Zweck und Begr√ľndung des Ersuchens. Die √ľbermittelten Informationen werden ausschlie√ülich f√ľr den Zweck verwendet, f√ľr den sie angefordert wurden.

(4)   Die ersuchte Aufsichtsbeh√∂rde lehnt das Ersuchen nur ab, wenn

a)

sie f√ľr den Gegenstand des Ersuchens oder f√ľr die Ma√ünahmen, die sie durchf√ľhren soll, nicht zust√§ndig ist oder

b)

ein Eingehen auf das Ersuchen gegen diese Verordnung versto√üen w√ľrde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbeh√∂rde, bei der das Ersuchen eingeht, unterliegt.

(5)   Die ersuchte Aufsichtsbeh√∂rde informiert die ersuchende Aufsichtsbeh√∂rde √ľber die Ergebnisse oder gegebenenfalls √ľber den Fortgang der Ma√ünahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbeh√∂rde erl√§utert gem√§√ü Absatz 4 die Gr√ľnde f√ľr die Ablehnung des Ersuchens.

(6)   Die ersuchten Aufsichtsbeh√∂rden √ľbermitteln die Informationen, um die von einer anderen Aufsichtsbeh√∂rde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats.

(7)   Ersuchte Aufsichtsbeh√∂rden verlangen f√ľr Ma√ünahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Geb√ľhren. Die Aufsichtsbeh√∂rden k√∂nnen untereinander Regeln vereinbaren, um einander in Ausnahmef√§llen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten.

(8)   Erteilt eine ersuchte Aufsichtsbeh√∂rde nicht binnen eines Monats nach Eingang des Ersuchens einer anderen Aufsichtsbeh√∂rde die Informationen gem√§√ü Absatz 5, so kann die ersuchende Aufsichtsbeh√∂rde eine einstweilige Ma√ünahme im Hoheitsgebiet ihres Mitgliedstaats gem√§√ü Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gem√§√ü Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gem√§√ü Artikel 66 Absatz 2 erforderlich macht.

(9)   Die Kommission kann im Wege von Durchf√ľhrungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbeh√∂rden sowie zwischen den Aufsichtsbeh√∂rden und dem Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte Format, festlegen. Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem in Artikel 93 Absatz 2 genannten Pr√ľfverfahren erlassen.

Artikel 62

Gemeinsame Maßnahmen der Aufsichtsbehörden

(1)   Die Aufsichtsbeh√∂rden f√ľhren gegebenenfalls gemeinsame Ma√ünahmen einschlie√ülich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsma√ünahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbeh√∂rden anderer Mitgliedstaaten teilnehmen.

(2)   Verf√ľgt der Verantwortliche oder der Auftragsverarbeiter √ľber Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorg√§nge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbeh√∂rde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Ma√ünahmen teilzunehmen. Die gem√§√ü Artikel 56 Absatz 1 oder Absatz 4 zust√§ndige Aufsichtsbeh√∂rde l√§dt die Aufsichtsbeh√∂rde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Ma√ünahmen ein und antwortet unverz√ľglich auf das Ersuchen einer Aufsichtsbeh√∂rde um Teilnahme.

(3)   Eine Aufsichtsbeh√∂rde kann gem√§√ü dem Recht des Mitgliedstaats und mit Genehmigung der unterst√ľtzenden Aufsichtsbeh√∂rde den an den gemeinsamen Ma√ünahmen beteiligten Mitgliedern oder Bediensteten der unterst√ľtzenden Aufsichtsbeh√∂rde Befugnisse einschlie√ülich Untersuchungsbefugnisse √ľbertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbeh√∂rde zul√§ssig ist, den Mitgliedern oder Bediensteten der unterst√ľtzenden Aufsichtsbeh√∂rde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterst√ľtzenden Aufsichtsbeh√∂rde auszu√ľben. Diese Untersuchungsbefugnisse k√∂nnen nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbeh√∂rde ausge√ľbt werden. Die Mitglieder oder Bediensteten der unterst√ľtzenden Aufsichtsbeh√∂rde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbeh√∂rde.

(4)   Sind gem√§√ü Absatz 1 Bedienstete einer unterst√ľtzenden Aufsichtsbeh√∂rde in einem anderen Mitgliedstaat im Einsatz, so √ľbernimmt der Mitgliedstaat der einladenden Aufsichtsbeh√∂rde nach Ma√ügabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung f√ľr ihr Handeln, einschlie√ülich der Haftung f√ľr alle von ihnen bei ihrem Einsatz verursachten Sch√§den.

(5)   Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen m√ľsste, wenn seine eigenen Bediensteten ihn verursacht h√§tten. Der Mitgliedstaat der unterst√ľtzenden Aufsichtsbeh√∂rde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugef√ľgt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat.

(6)   Unbeschadet der Aus√ľbung seiner Rechte gegen√ľber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegen√ľber geltend zu machen.

(7)   Ist eine gemeinsame Ma√ünahme geplant und kommt eine Aufsichtsbeh√∂rde binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach, so k√∂nnen die anderen Aufsichtsbeh√∂rden eine einstweilige Ma√ünahme im Hoheitsgebiet ihres Mitgliedstaats gem√§√ü Artikel 55 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gem√§√ü Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschusses gem√§√ü Artikel 66 Absatz 2 erforderlich macht.

Abschnitt 2

Kohärenz

Artikel 63

Kohärenzverfahren

Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.

Artikel 64

Stellungnahme Ausschusses

(1)   Der Ausschuss gibt eine Stellungnahme ab, wenn die zust√§ndige Aufsichtsbeh√∂rde beabsichtigt, eine der nachstehenden Ma√ünahmen zu erlassen. Zu diesem Zweck √ľbermittelt die zust√§ndige Aufsichtsbeh√∂rde dem Ausschuss den Entwurf des Beschlusses, wenn dieser

a)

der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,

b)

eine Angelegenheit gem√§√ü Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine √Ąnderung oder Erg√§nzung von Verhaltensregeln mit dieser Verordnung in Einklang steht,

c)

der Billigung der Kriterien f√ľr die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,

d)

der Festlegung von Standard-Datenschutzklauseln gem√§√ü Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,

e)

der Genehmigung von Vertragsklauseln gem√§√ü Artikels 46 Absatz 3 Buchstabe a dient, oder

f)

der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.

(2)   Jede Aufsichtsbeh√∂rde, der Vorsitz des Ausschuss oder die Kommission k√∂nnen beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss gepr√ľft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zust√§ndige Aufsichtsbeh√∂rde den Verpflichtungen zur Amtshilfe gem√§√ü Artikel 61 oder zu gemeinsamen Ma√ünahmen gem√§√ü Artikel 62 nicht nachkommt.

(3)   In den in den Abs√§tzen 1 und 2 genannten F√§llen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Ber√ľcksichtigung der Komplexit√§t der Angelegenheit um weitere sechs Wochen verl√§ngert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gem√§√ü Absatz 5 den Mitgliedern des Ausschusses √ľbermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einw√§nde erhoben hat, dem Beschlussentwurf zustimmt.

(4)   Die Aufsichtsbeh√∂rden und die Kommission √ľbermitteln unverz√ľglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschlie√ülich ‚ÄĒ je nach Fall ‚ÄĒ einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gr√ľnde, warum eine solche Ma√ünahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbeh√∂rden.

(5)   Der Vorsitz des Ausschusses unterrichtet unverz√ľglich auf elektronischem Wege

a)

unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission √ľber alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses √úbersetzungen der zweckdienlichen Informationen zur Verf√ľgung und

b)

je nach Fall die in den Abs√§tzen 1 und 2 genannte Aufsichtsbeh√∂rde und die Kommission √ľber die Stellungnahme und ver√∂ffentlicht sie.

(6)   Die zust√§ndige Aufsichtsbeh√∂rde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an.

(7)   Die in Absatz 1 genannte Aufsichtsbeh√∂rde tr√§gt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder √§ndern wird; gegebenenfalls √ľbermittelt sie den ge√§nderten Beschlussentwurf.

(8)   Teilt die betroffene Aufsichtsbeh√∂rde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der ma√ügeblichen Gr√ľnde mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1.

Artikel 65

Streitbeilegung durch den Ausschuss

(1)   Um die ordnungsgem√§√üe und einheitliche Anwendung dieser Verordnung in Einzelf√§llen sicherzustellen, erl√§sst der Ausschuss in den folgenden F√§llen einen verbindlichen Beschluss:

a)

wenn eine betroffene Aufsichtsbeh√∂rde in einem Fall nach Artikel 60 Absatz 4 einen ma√ügeblichen und begr√ľndeten Einspruch gegen einen Beschlussentwurf der federf√ľhrenden Beh√∂rde eingelegt hat oder die federf√ľhrende Beh√∂rde einen solchen Einspruch als nicht ma√ügeblich oder nicht begr√ľndet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des ma√ügeblichen und begr√ľndeten Einspruchs sind, insbesondere die Frage, ob ein Versto√ü gegen diese Verordnung vorliegt;

b)

wenn es widerspr√ľchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbeh√∂rden f√ľr die Hauptniederlassung zust√§ndig ist,

c)

wenn eine zust√§ndige Aufsichtsbeh√∂rde in den in Artikel 64 Absatz 1 genannten F√§llen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gem√§√ü Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbeh√∂rde oder die Kommission die Angelegenheit dem Ausschuss vorlegen.

(2)   Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexit√§t der Angelegenheit um einen weiteren Monat verl√§ngert werden. Der in Absatz 1 genannte Beschluss wird begr√ľndet und an die federf√ľhrende Aufsichtsbeh√∂rde und alle betroffenen Aufsichtsbeh√∂rden √ľbermittelt und ist f√ľr diese verbindlich.

(3)   War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.

(4)   Die betroffenen Aufsichtsbeh√∂rden nehmen vor Ablauf der in den Abs√§tzen 2 und 3 genannten Fristen keinen Beschluss √ľber die dem Ausschuss vorgelegte Angelegenheit an.

(5)   Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbeh√∂rden unverz√ľglich √ľber den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverz√ľglich auf der Website des Ausschusses ver√∂ffentlicht, nachdem die Aufsichtsbeh√∂rde den in Absatz 6 genannten endg√ľltigen Beschluss mitgeteilt hat.

(6)   Die federf√ľhrende Aufsichtsbeh√∂rde oder gegebenenfalls die Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde, trifft den endg√ľltigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverz√ľglich und sp√§testens einen Monat, nachdem der Europ√§ische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federf√ľhrende Aufsichtsbeh√∂rde oder gegebenenfalls die Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endg√ľltiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endg√ľltige Beschluss der betroffenen Aufsichtsbeh√∂rden wird gem√§√ü Artikel 60 Abs√§tze 7, 8 und 9 angenommen. Im endg√ľltigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gem√§√ü Absatz 5 auf der Website des Ausschusses ver√∂ffentlicht wird. Dem endg√ľltigen Beschluss wird der in Absatz 1 des vorliegenden _Artikels genannte Beschluss beigef√ľgt.

Artikel 66

Dringlichkeitsverfahren

(1)   Unter au√üergew√∂hnlichen Umst√§nden kann eine betroffene Aufsichtsbeh√∂rde abweichend vom Koh√§renzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Ma√ünahmen mit festgelegter Geltungsdauer von h√∂chstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu sch√ľtzen. Die Aufsichtsbeh√∂rde setzt die anderen betroffenen Aufsichtsbeh√∂rden, den Ausschuss und die Kommission unverz√ľglich von diesen Ma√ünahmen und den Gr√ľnden f√ľr deren Erlass in Kenntnis.

(2)   Hat eine Aufsichtsbeh√∂rde eine Ma√ünahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endg√ľltige Ma√ünahmen erlassen werden m√ľssen, kann sie unter Angabe von Gr√ľnden im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen.

(3)   Jede Aufsichtsbeh√∂rde kann unter Angabe von Gr√ľnden, auch f√ľr den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zust√§ndige Aufsichtsbeh√∂rde trotz dringenden Handlungsbedarfs keine geeignete Ma√ünahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu sch√ľtzen.

(4)   Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Abs√§tzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.

Artikel 67

Informationsaustausch

Die Kommission kann Durchf√ľhrungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbeh√∂rden sowie zwischen den Aufsichtsbeh√∂rden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen.

Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem Pr√ľfverfahren nach Artikel 93 Absatz 2 erlassen.

Abschnitt 3

Europäischer Datenschutzausschuss

Artikel 68

Europäischer Datenschutzausschuss

(1)   Der Europ√§ische Datenschutzausschuss (im Folgenden ‚ÄěAusschuss‚Äú) wird als Einrichtung der Union mit eigener Rechtspers√∂nlichkeit eingerichtet.

(2)   Der Ausschuss wird von seinem Vorsitz vertreten.

(3)   Der Ausschuss besteht aus dem Leiter einer Aufsichtsbeh√∂rde jedes Mitgliedstaats und dem Europ√§ischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.

(4)   Ist in einem Mitgliedstaat mehr als eine Aufsichtsbeh√∂rde f√ľr die √úberwachung der Anwendung der nach Ma√ügabe dieser Verordnung erlassenen Vorschriften zust√§ndig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.

(5)   Die Kommission ist berechtigt, ohne Stimmrecht an den T√§tigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission √ľber die T√§tigkeiten des Ausschusses.

(6)   In den in Artikel 65 genannten F√§llen ist der Europ√§ische Datenschutzbeauftragte nur bei Beschl√ľssen stimmberechtigt, die Grunds√§tze und Vorschriften betreffen, die f√ľr die Organe, Einrichtungen, √Ąmter und Agenturen der Union gelten und inhaltlich den Grunds√§tzen und Vorschriften dieser Verordnung entsprechen.

Artikel 69

Unabhängigkeit

(1)   Der Ausschuss handelt bei der Erf√ľllung seiner Aufgaben oder in Aus√ľbung seiner Befugnisse gem√§√ü den Artikeln 70 und 71 unabh√§ngig.

(2)   Unbeschadet der Ersuchen der Kommission gem√§√ü Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erf√ľllung seiner Aufgaben oder in Aus√ľbung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.

Artikel 70

Aufgaben des Ausschusses

(1)   Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende T√§tigkeiten wahr:

a)

√úberwachung und Sicherstellung der ordnungsgem√§√üen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten F√§llen unbeschadet der Aufgaben der nationalen Aufsichtsbeh√∂rden;

b)

Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschlie√ülich etwaiger Vorschl√§ge zur √Ąnderung dieser Verordnung;

c)

Beratung der Kommission √ľber das Format und die Verfahren f√ľr den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbeh√∂rden in Bezug auf verbindliche interne Datenschutzvorschriften;

d)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren zu Verfahren f√ľr die L√∂schung gem√§√ü Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus √∂ffentlich zug√§nglichen Kommunikationsdiensten;

e)

Pr√ľfung ‚ÄĒ von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission ‚ÄĒ von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;

f)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes zur n√§heren Bestimmung der Kriterien und Bedingungen f√ľr die auf Profiling beruhenden Entscheidungen gem√§√ü Artikel 22 Absatz 2;

g)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes f√ľr die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverz√ľglichkeit im Sinne des Artikels 33 Abs√§tze 1 und 2, und zu den spezifischen Umst√§nden, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat;

h)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes zu den Umst√§nden, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat;

i)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes zur n√§heren Bestimmung der in Artikel 47 aufgef√ľhrten Kriterien und Anforderungen f√ľr die √úbermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgef√ľhrten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen;

j)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes zur n√§heren Bestimmung der Kriterien und Bedingungen f√ľr die √úbermittlungen personenbezogener Daten gem√§√ü Artikel 49 Absatz 1;

k)

Ausarbeitung von Leitlinien f√ľr die Aufsichtsbeh√∂rden in Bezug auf die Anwendung von Ma√ünahmen nach Artikel 58 Abs√§tze 1, 2 und 3 und die Festsetzung von Geldbu√üen gem√§√ü Artikel 83;

l)

√úberpr√ľfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bew√§hrten Verfahren;

m)

Bereitstellung von Leitlinien, Empfehlungen und bew√§hrten Verfahren gem√§√ü Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren f√ľr die von nat√ľrlichen Personen vorgenommene Meldung von Verst√∂√üen gegen diese Verordnung gem√§√ü Artikel 54 Absatz 2;

n)

F√∂rderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -pr√ľfzeichen gem√§√ü den Artikeln 40 und 42;

o)

Akkreditierung von Zertifizierungsstellen und deren regelm√§√üige √úberpr√ľfung gem√§√ü Artikel 43 und F√ľhrung eines √∂ffentlichen Registers der akkreditierten Einrichtungen gem√§√ü Artikel 43 Absatz 6 und der in Drittl√§ndern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gem√§√ü Artikel 42 Absatz 7;

p)

Pr√§zisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gem√§√ü Artikel 42;

q)

Abgabe einer Stellungnahme f√ľr die Kommission zu den Zertifizierungsanforderungen gem√§√ü Artikel 43 Absatz 8;

r)

Abgabe einer Stellungnahme f√ľr die Kommission zu den Bildsymbolen gem√§√ü Artikel 12 Absatz 7;

s)

Abgabe einer Stellungnahme f√ľr die Kommission zur Beurteilung der Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschlie√ülich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gew√§hrleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation;

t)

Abgabe von Stellungnahmen im Koh√§renzverfahren gem√§√ü Artikel 64 Absatz 1 zu Beschlussentw√ľrfen von Aufsichtsbeh√∂rden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschl√ľsse gem√§√ü Artikel 65, einschlie√ülich der in Artikel 66 genannten F√§lle;

u)

Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;

v)

Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen;

w)

F√∂rderung des Austausches von Fachwissen und von Dokumentationen √ľber Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbeh√∂rden in aller Welt;

x)

Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gem√§√ü Artikel 40 Absatz 9 und

y)

F√ľhrung eines √∂ffentlich zug√§nglichen elektronischen Registers der Beschl√ľsse der Aufsichtsbeh√∂rden und Gerichte in Bezug auf Fragen, die im Rahmen des Koh√§renzverfahrens behandelt wurden.

(2)   Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Ber√ľcksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.

(3)   Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bew√§hrten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und ver√∂ffentlicht sie.

(4)   Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der √Ėffentlichkeit zug√§nglich.

Artikel 71

Berichterstattung

(1)   Der Ausschuss erstellt einen Jahresbericht √ľber den Schutz nat√ľrlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittl√§ndern und internationalen Organisationen. Der Bericht wird ver√∂ffentlicht und dem Europ√§ischen Parlament, dem Rat und der Kommission √ľbermittelt.

(2)   Der Jahresbericht enth√§lt eine √úberpr√ľfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bew√§hrten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschl√ľsse.

Artikel 72

Verfahrensweise

(1)   Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschl√ľsse mit einfacher Mehrheit seiner Mitglieder.

(2)   Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Gesch√§ftsordnung und legt seine Arbeitsweise fest.

Artikel 73

Vorsitz

(1)   Der Ausschuss w√§hlt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende.

(2)   Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter betr√§gt f√ľnf Jahre; ihre einmalige Wiederwahl ist zul√§ssig.

Artikel 74

Aufgaben des Vorsitzes

(1)   Der Vorsitz hat folgende Aufgaben:

a)

Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,

b)

√úbermittlung der Beschl√ľsse des Ausschusses nach Artikel 65 an die federf√ľhrende Aufsichtsbeh√∂rde und die betroffenen Aufsichtsbeh√∂rden,

c)

Sicherstellung einer rechtzeitigen Ausf√ľhrung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Koh√§renzverfahren nach Artikel 63.

(2)   Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Gesch√§ftsordnung fest.

Artikel 75

Sekretariat

(1)   Der Ausschuss wird von einem Sekretariat unterst√ľtzt, das von dem Europ√§ischen Datenschutzbeauftragten bereitgestellt wird.

(2)   Das Sekretariat f√ľhrt seine Aufgaben ausschlie√ülich auf Anweisung des Vorsitzes des Ausschusses aus.

(3)   Das Personal des Europ√§ischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gem√§√ü dieser Verordnung √ľbertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europ√§ischen Datenschutzbeauftragten √ľbertragenen Aufgaben beteiligt ist.

(4)   Soweit angebracht, erstellen und ver√∂ffentlichen der Ausschuss und der Europ√§ische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die f√ľr das Personal des Europ√§ischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss gem√§√ü dieser Verordnung √ľbertragenen Aufgaben beteiligt ist.

(5)   Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterst√ľtzung.

(6)   Das Sekretariat ist insbesondere verantwortlich f√ľr

a)

das Tagesgeschäft des Ausschusses,

b)

die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission,

c)

die Kommunikation mit anderen Organen und mit der √Ėffentlichkeit,

d)

den R√ľckgriff auf elektronische Mittel f√ľr die interne und die externe Kommunikation,

e)

die √úbersetzung sachdienlicher Informationen,

f)

die Vor- und Nachbereitung der Sitzungen des Ausschusses,

g)

die Vorbereitung, Abfassung und Ver√∂ffentlichung von Stellungnahmen, von Beschl√ľssen √ľber die Beilegung von Streitigkeiten zwischen Aufsichtsbeh√∂rden und von sonstigen vom Ausschuss angenommenen Dokumenten.

Artikel 76

Vertraulichkeit

(1)   Die Beratungen des Ausschusses sind gem√§√ü seiner Gesch√§ftsordnung vertraulich, wenn der Ausschuss dies f√ľr erforderlich h√§lt.

(2)   Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverst√§ndigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europ√§ischen Parlaments und des Rates (21) geregelt.

KAPITEL VIII

Rechtsbehelfe, Haftung und Sanktionen

Artikel 77

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1)   Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbeh√∂rde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutma√ülichen Versto√ües, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verst√∂√üt.

(2)   Die Aufsichtsbeh√∂rde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdef√ľhrer √ľber den Stand und die Ergebnisse der Beschwerde einschlie√ülich der M√∂glichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

Artikel 78

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1)   Jede nat√ľrliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder au√üergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbeh√∂rde.

(2)   Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder au√üergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zust√§ndige Aufsichtsbeh√∂rde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten √ľber den Stand oder das Ergebnis der gem√§√ü Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3)   F√ľr Verfahren gegen eine Aufsichtsbeh√∂rde sind die Gerichte des Mitgliedstaats zust√§ndig, in dem die Aufsichtsbeh√∂rde ihren Sitz hat.

(4)   Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbeh√∂rde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Koh√§renzverfahrens vorangegangen ist, so leitet die Aufsichtsbeh√∂rde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

Artikel 79

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

(1)   Jede betroffene Person hat unbeschadet eines verf√ľgbaren verwaltungsrechtlichen oder au√üergerichtlichen Rechtsbehelfs einschlie√ülich des Rechts auf Beschwerde bei einer Aufsichtsbeh√∂rde gem√§√ü Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2)   F√ľr Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zust√§ndig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise k√∂nnen solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Beh√∂rde eines Mitgliedstaats, die in Aus√ľbung ihrer hoheitlichen Befugnisse t√§tig geworden ist.

Artikel 80

Vertretung von betroffenen Personen

(1)   Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgem√§√ü nach dem Recht eines Mitgliedstaats gegr√ľndet ist, deren satzungsm√§√üige Ziele im √∂ffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten t√§tig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gem√§√ü Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.

(2)   Die Mitgliedstaaten k√∂nnen vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabh√§ngig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gem√§√ü Artikel 77 zust√§ndigen Aufsichtsbeh√∂rde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgef√ľhrten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gem√§√ü dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

Artikel 81

Aussetzung des Verfahrens

(1)   Erh√§lt ein zust√§ndiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anh√§ngig ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches Verfahren existiert.

(2)   Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat anh√§ngig, so kann jedes sp√§ter angerufene zust√§ndige Gericht das bei ihm anh√§ngige Verfahren aussetzen.

(3)   Sind diese Verfahren in erster Instanz anh√§ngig, so kann sich jedes sp√§ter angerufene Gericht auf Antrag einer Partei auch f√ľr unzust√§ndig erkl√§ren, wenn das zuerst angerufene Gericht f√ľr die betreffenden Klagen zust√§ndig ist und die Verbindung der Klagen nach seinem Recht zul√§ssig ist.

Artikel 82

Haftung und Recht auf Schadenersatz

(1)   Jede Person, der wegen eines Versto√ües gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)   Jeder an einer Verarbeitung beteiligte Verantwortliche haftet f√ľr den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet f√ľr den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtm√§√üig erteilten Anweisungen des f√ľr die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3)   Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gem√§√ü Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht f√ľr den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

(4)   Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gem√§√ü den Abs√§tzen 2 und 3 f√ľr einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter f√ľr den gesamten Schaden, damit ein wirksamer Schadensersatz f√ľr die betroffene Person sichergestellt ist.

(5)   Hat ein Verantwortlicher oder Auftragsverarbeiter gem√§√ü Absatz 4 vollst√§ndigen Schadenersatz f√ľr den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den √ľbrigen an derselben Verarbeitung beteiligten f√ľr die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zur√ľckzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung f√ľr den Schaden entspricht.

(6)   Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zust√§ndig sind.

Artikel 83

Allgemeine Bedingungen f√ľr die Verh√§ngung von Geldbu√üen

(1)   Jede Aufsichtsbeh√∂rde stellt sicher, dass die Verh√§ngung von Geldbu√üen gem√§√ü diesem Artikel f√ľr Verst√∂√üe gegen diese Verordnung gem√§√ü den Abs√§tzen 5 und 6 in jedem Einzelfall wirksam, verh√§ltnism√§√üig und abschreckend ist.

(2)   Geldbu√üen werden je nach den Umst√§nden des Einzelfalls zus√§tzlich zu oder anstelle von Ma√ünahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verh√§ngt. Bei der Entscheidung √ľber die Verh√§ngung einer Geldbu√üe und √ľber deren Betrag wird in jedem Einzelfall Folgendes geb√ľhrend ber√ľcksichtigt:

a)

Art, Schwere und Dauer des Versto√ües unter Ber√ľcksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausma√ües des von ihnen erlittenen Schadens;

b)

Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c)

jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d)

Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Ber√ľcksichtigung der von ihnen gem√§√ü den Artikeln 25 und 32 getroffenen technischen und organisatorischen Ma√ünahmen;

e)

etwaige einschl√§gige fr√ľhere Verst√∂√üe des Verantwortlichen oder des Auftragsverarbeiters;

f)

Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g)

Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h)

Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i)

Einhaltung der nach Artikel 58 Absatz 2 fr√ľher gegen den f√ľr den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Ma√ünahmen, wenn solche Ma√ünahmen angeordnet wurden;

j)

Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k)

jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3)   Verst√∂√üt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorg√§ngen vors√§tzlich oder fahrl√§ssig gegen mehrere Bestimmungen dieser Verordnung, so √ľbersteigt der Gesamtbetrag der Geldbu√üe nicht den Betrag f√ľr den schwerwiegendsten Versto√ü.

(4)   Bei Verst√∂√üen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbu√üen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist:

a)

die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b)

die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c)

die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

(5)   Bei Verst√∂√üen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbu√üen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist:

a)

die Grunds√§tze f√ľr die Verarbeitung, einschlie√ülich der Bedingungen f√ľr die Einwilligung, gem√§√ü den Artikeln 5, 6, 7 und 9;

b)

die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c)

die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

d)

alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e)

Nichtbefolgung einer Anweisung oder einer vor√ľbergehenden oder endg√ľltigen Beschr√§nkung oder Aussetzung der Daten√ľbermittlung durch die Aufsichtsbeh√∂rde gem√§√ü Artikel 58 Absatz 2 oder Nichtgew√§hrung des Zugangs unter Versto√ü gegen Artikel 58 Absatz 1.

(6)   Bei Nichtbefolgung einer Anweisung der Aufsichtsbeh√∂rde gem√§√ü Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbu√üen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Gesch√§ftsjahrs verh√§ngt, je nachdem, welcher der Betr√§ge h√∂her ist.

(7)   Unbeschadet der Abhilfebefugnisse der Aufsichtsbeh√∂rden gem√§√ü Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften daf√ľr festlegen, ob und in welchem Umfang gegen Beh√∂rden und √∂ffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbu√üen verh√§ngt werden k√∂nnen.

(8)   Die Aus√ľbung der eigenen Befugnisse durch eine Aufsichtsbeh√∂rde gem√§√ü diesem Artikel muss angemessenen Verfahrensgarantien gem√§√ü dem Unionsrecht und dem Recht der Mitgliedstaaten, einschlie√ülich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgem√§√üer Verfahren, unterliegen.

(9)   Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbu√üen vor, kann dieser Artikel so angewandt werden, dass die Geldbu√üe von der zust√§ndigen Aufsichtsbeh√∂rde in die Wege geleitet und von den zust√§ndigen nationalen Gerichten verh√§ngt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbeh√∂rden verh√§ngten Geldbu√üen haben. In jeden Fall m√ľssen die verh√§ngten Geldbu√üen wirksam, verh√§ltnism√§√üig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverz√ľglich alle sp√§teren √Ąnderungsgesetze oder √Ąnderungen dieser Vorschriften.

Artikel 84

Sanktionen

(1)   Die Mitgliedstaaten legen die Vorschriften √ľber andere Sanktionen f√ľr Verst√∂√üe gegen diese Verordnung ‚ÄĒ insbesondere f√ľr Verst√∂√üe, die keiner Geldbu√üe gem√§√ü Artikel 83 unterliegen ‚ÄĒ fest und treffen alle zu deren Anwendung erforderlichen Ma√ünahmen. Diese Sanktionen m√ľssen wirksam, verh√§ltnism√§√üig und abschreckend sein.

(2)   Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erl√§sst, sowie unverz√ľglich alle sp√§teren √Ąnderungen dieser Vorschriften mit.

KAPITEL IX

Vorschriften f√ľr besondere Verarbeitungssituationen

Artikel 85

Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

(1)   Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gem√§√ü dieser Verordnung mit dem Recht auf freie Meinungs√§u√üerung und Informationsfreiheit, einschlie√ülich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, k√ľnstlerischen oder literarischen Zwecken, in Einklang.

(2)   F√ľr die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, k√ľnstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grunds√§tze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (√úbermittlung personenbezogener Daten an Drittl√§nder oder an internationale Organisationen), Kapitel VI (Unabh√§ngige Aufsichtsbeh√∂rden), Kapitel VII (Zusammenarbeit und Koh√§renz) und Kapitel IX (Vorschriften f√ľr besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungs√§u√üerung und der Informationsfreiheit in Einklang zu bringen.

(3)   Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverz√ľglich alle sp√§teren √Ąnderungsgesetze oder √Ąnderungen dieser Vorschriften mit.

Artikel 86

Verarbeitung und Zugang der √Ėffentlichkeit zu amtlichen Dokumenten

Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Beh√∂rde oder einer √∂ffentlichen Einrichtung oder einer privaten Einrichtung zur Erf√ľllung einer im √∂ffentlichen Interesse liegenden Aufgabe befinden, k√∂nnen von der Beh√∂rde oder der Einrichtung gem√§√ü dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Beh√∂rde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der √Ėffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gem√§√ü dieser Verordnung in Einklang zu bringen.

Artikel 87

Verarbeitung der nationalen Kennziffer

Die Mitgliedstaaten k√∂nnen n√§her bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein d√ľrfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien f√ľr die Rechte und Freiheiten der betroffenen Person gem√§√ü dieser Verordnung verwendet werden.

Artikel 88

Datenverarbeitung im Beschäftigungskontext

(1)   Die Mitgliedstaaten k√∂nnen durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gew√§hrleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Besch√§ftigtendaten im Besch√§ftigungskontext, insbesondere f√ľr Zwecke der Einstellung, der Erf√ľllung des Arbeitsvertrags einschlie√ülich der Erf√ľllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversit√§t am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie f√ľr Zwecke der Inanspruchnahme der mit der Besch√§ftigung zusammenh√§ngenden individuellen oder kollektiven Rechte und Leistungen und f√ľr Zwecke der Beendigung des Besch√§ftigungsverh√§ltnisses vorsehen.

(2)   Diese Vorschriften umfassen angemessene und besondere Ma√ünahmen zur Wahrung der menschlichen W√ľrde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die √úbermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst√§tigkeit aus√ľben, und die √úberwachungssysteme am Arbeitsplatz.

(3)   Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erl√§sst, sowie unverz√ľglich alle sp√§teren √Ąnderungen dieser Vorschriften mit.

Artikel 89

Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

(1)   Die Verarbeitung zu im √∂ffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien f√ľr die Rechte und Freiheiten der betroffenen Person gem√§√ü dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Ma√ünahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gew√§hrleistet wird. Zu diesen Ma√ünahmen kann die Pseudonymisierung geh√∂ren, sofern es m√∂glich ist, diese Zwecke auf diese Weise zu erf√ľllen. In allen F√§llen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr m√∂glich ist, erf√ľllt werden k√∂nnen, werden diese Zwecke auf diese Weise erf√ľllt.

(2)   Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, k√∂nnen vorbehaltlich der Bedingungen und Garantien gem√§√ü Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gem√§√ü der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unm√∂glich machen oder ernsthaft beeintr√§chtigen und solche Ausnahmen f√ľr die Erf√ľllung dieser Zwecke notwendig sind.

(3)   Werden personenbezogene Daten f√ľr im √∂ffentlichen Interesse liegende Archivzwecke verarbeitet, k√∂nnen vorbehaltlich der Bedingungen und Garantien gem√§√ü Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gem√§√ü der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unm√∂glich machen oder ernsthaft beeintr√§chtigen und solche Ausnahmen f√ľr die Erf√ľllung dieser Zwecke notwendig sind.

(4)   Dient die in den Abs√§tzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur f√ľr die Verarbeitung zu den in diesen Abs√§tzen genannten Zwecken.

Artikel 90

Geheimhaltungspflichten

(1)   Die Mitgliedstaaten k√∂nnen die Befugnisse der Aufsichtsbeh√∂rden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegen√ľber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zust√§ndigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verh√§ltnism√§√üig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer T√§tigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.

(2)   Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er aufgrund von Absatz 1 erl√§sst, und setzt sie unverz√ľglich von allen weiteren √Ąnderungen dieser Vorschriften in Kenntnis.

Artikel 91

Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

(1)   Wendet eine Kirche oder eine religi√∂se Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz nat√ľrlicher Personen bei der Verarbeitung an, so d√ľrfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.

(2)   Kirchen und religi√∂se Vereinigungen oder Gemeinschaften, die gem√§√ü Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabh√§ngige Aufsichtsbeh√∂rde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erf√ľllt.

KAPITEL X

Delegierte Rechtsakte und Durchf√ľhrungsrechtsakte

Artikel 92

Aus√ľbung der Befugnis√ľbertragung

(1)   Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen √ľbertragen.

(2)   Die Befugnis zum Erlass delegierter Rechtsakte gem√§√ü Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24. Mai 2016 √ľbertragen.

(3)   Die Befugnis√ľbertragung gem√§√ü Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europ√§ischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss √ľber den Widerruf beendet die √úbertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Ver√∂ffentlichung im Amtsblatt der Europ√§ischen Union oder zu einem im Beschluss √ľber den Widerruf angegebenen sp√§teren Zeitpunkt wirksam. Die G√ľltigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss √ľber den Widerruf nicht ber√ľhrt.

(4)   Sobald die Kommission einen delegierten Rechtsakt erl√§sst, √ľbermittelt sie ihn gleichzeitig dem Europ√§ischen Parlament und dem Rat.

(5)   Ein delegierter Rechtsakt, der gem√§√ü Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europ√§ische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach √úbermittlung dieses Rechtsakts an das Europ√§ische Parlament und den Rat Einw√§nde erhoben haben oder wenn vor Ablauf dieser Frist das Europ√§ische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einw√§nde erheben werden. Auf Veranlassung des Europ√§ischen Parlaments oder des Rates wird diese Frist um drei Monate verl√§ngert.

Artikel 93

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterst√ľtzt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

(3)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.

KAPITEL XI

Schlussbestimmungen

Artikel 94

Aufhebung der Richtlinie 95/46/EG

(1)   Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.

(2)   Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe f√ľr den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europ√§ischen Datenschutzausschuss.

Artikel 95

Verhältnis zur Richtlinie 2002/58/EG

Diese Verordnung erlegt nat√ľrlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung √∂ffentlich zug√§nglicher elektronischer Kommunikationsdienste in √∂ffentlichen Kommunikationsnetzen in der Union keine zus√§tzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.

Artikel 96

Verh√§ltnis zu bereits geschlossenen √úbereink√ľnften

Internationale √úbereink√ľnfte, die die √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24. Mai 2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht stehen, bleiben in Kraft, bis sie ge√§ndert, ersetzt oder gek√ľndigt werden.

Artikel 97

Berichte der Kommission

(1)   Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europ√§ischen Parlament und dem Rat einen Bericht √ľber die Bewertung und √úberpr√ľfung dieser Verordnung vor. Die Berichte werden √∂ffentlich gemacht.

(2)   Im Rahmen der Bewertungen und √úberpr√ľfungen nach Absatz 1 pr√ľft die Kommission insbesondere die Anwendung und die Wirkungsweise

a)

des Kapitels V √ľber die √úbermittlung personenbezogener Daten an Drittl√§nder oder an internationale Organisationen insbesondere im Hinblick auf die gem√§√ü Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschl√ľsse sowie die gem√§√ü Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,

b)

des Kapitels VII √ľber Zusammenarbeit und Koh√§renz.

(3)   F√ľr den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbeh√∂rden anfordern.

(4)   Bei den in den Abs√§tzen 1 und 2 genannten Bewertungen und √úberpr√ľfungen ber√ľcksichtigt die Kommission die Standpunkte und Feststellungen des Europ√§ischen Parlaments, des Rates und anderer einschl√§giger Stellen oder Quellen.

(5)   Die Kommission legt erforderlichenfalls geeignete Vorschl√§ge zur √Ąnderung dieser Verordnung vor und ber√ľcksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft.

Artikel 98

√úberpr√ľfung anderer Rechtsakte der Union zum Datenschutz

Die Kommission legt gegebenenfalls Gesetzgebungsvorschl√§ge zur √Ąnderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und koh√§renter Schutz nat√ľrlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz nat√ľrlicher Personen bei der Verarbeitung solcher Daten durch die Organe, Einrichtungen, √Ąmter und Agenturen der Union und zum freien Verkehr solcher Daten.

Artikel 99

Inkrafttreten und Anwendung

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Ver√∂ffentlichung im Amtsblatt der Europ√§ischen Union in Kraft.

(2)   Sie gilt ab dem 25. Mai 2018.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Br√ľssel am 27. April 2016.

Im Namen des Europäischen Parlaments

Der Präsident

M. SCHULZ

Im Namen des Rates

Die Präsidentin

J.A. HENNIS-PLASSCHAERT


(1)  ABl. C 229 vom 31.7.2012, S. 90.

(2)  ABl. C 391 vom 18.12.2012, S. 127.

(3)  Standpunkt des Europ√§ischen Parlaments vom 12. M√§rz 2014 (noch nicht im Amtsblatt ver√∂ffentlicht) und Standpunkt des Rates in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt ver√∂ffentlicht). Standpunkt des Europ√§ischen Parlaments vom 14. April 2016.

(4)  Richtlinie 95/46/EG des Europ√§ischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

(5)  Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C (2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).

(6)  Verordnung (EG) Nr. 45/2001 des Europ√§ischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(7)  Richtlinie (EU) 2016/680 des Europ√§ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust√§ndigen Beh√∂rden zum Zwecke der Verh√ľtung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2000/383/JI des Rates (siehe Seite 89 dieses Amtsblatts).

(8)  Richtlinie 2000/31/EG des Europ√§ischen Parlaments und des Rates vom 8. Juni 2000 √ľber bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Gesch√§ftsverkehrs, im Binnenmarkt (‚ÄěRichtlinie √ľber den elektronischen Gesch√§ftsverkehr‚Äú) (ABl. L 178 vom 17.7.2000, S. 1).

(9)  Richtlinie 2011/24/EU des Europ√§ischen Parlaments und des Rates vom 9. M√§rz 2011 √ľber die Aus√ľbung der Patientenrechte in der grenz√ľberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(10)  Richtlinie 93/13/EWG des Rates vom 5. April 1993 √ľber missbr√§uchliche Klauseln in Verbrauchervertr√§gen (ABl. L 95 vom 21.4.1993, S. 29).

(11)  Verordnung (EG) Nr. 1338/2008 des Europ√§ischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken √ľber √∂ffentliche Gesundheit und √ľber Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).

(12)  Verordnung (EU) Nr. 182/2011 des Europ√§ischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grunds√§tze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchf√ľhrungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(13)  Verordnung (EU) Nr. 1215/2012 des Europ√§ischen Parlaments und des Rates vom 12. Dezember 2012 √ľber die gerichtliche Zust√§ndigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom 20.12.2012, S. 1).

(14)  Richtlinie 2003/98/EG des Europ√§ischen Parlaments und des Rates vom 17. November 2003 √ľber die Weiterverwendung von Informationen des √∂ffentlichen Sektors (ABl. L 345 vom 31.12.2003, S. 90).

(15)  Verordnung (EU) Nr. 536/2014 des Europ√§ischen Parlaments und des Rates vom 16. April 2014 √ľber klinische Pr√ľfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung f√ľr den EWR (ABl. L 158 vom 27.5.2014, S. 1).

(16)  Verordnung (EG) Nr. 223/2009 des Europ√§ischen Parlaments und des Rates vom 11. M√§rz 2009 √ľber europ√§ische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europ√§ischen Parlaments und des Rates √ľber die √úbermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europ√§ischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates √ľber die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses f√ľr das Statistische Programm der Europ√§ischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).

(17)  ABl. C 192 vom 30.6.2012, S. 7.

(18)  Richtlinie 2002/58/EG des Europ√§ischen Parlaments und des Rates vom 12. Juli 2002 √ľber die Verarbeitung personenbezogener Daten und den Schutz der Privatsph√§re in der elektronischen Kommunikation (Datenschutzrichtlinie f√ľr elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(19)  Richtlinie (EU) 2015/1535 des Europ√§ischen Parlaments und des Rates vom 9. September 2015 √ľber ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften f√ľr die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).

(20)  Verordnung (EG) Nr. 765/2008 des Europ√§ischen Parlaments und des Rates vom 9. Juli 2008 √ľber die Vorschriften f√ľr die Akkreditierung und Markt√ľberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

(21)  Verordnung (EG) Nr. 1049/2001 des Europ√§ischen Parlaments und des Rates vom 30. Mai 2001 √ľber den Zugang der √Ėffentlichkeit zu Dokumenten des Europ√§ischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).