Detailtexte und Änderungen der Erwägungsgründe der Datenschutz Grundverordnung

Erwägungsgründe der EU-Datenschutz-Grundverordnung

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.


(2) Die Verarbeitung personenbezogener Daten steht im Dienste des Menschen; die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ungeachtet der Staatsangehörigkeit oder des gewöhnlichen Aufenthaltsorts der natürlichen Personen deren Grundrechte und Grundfreiheiten und insbesondere deren Recht auf Schutz personenbezogener Daten gewahrt bleiben. Die Datenverarbeitung sollte zur Vollendung  eines Raums der Freiheit, der Sicherheit und des Rechts und einer  Wirtschaftsunion,  zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarktes sowie zum Wohlergehen der  Menschen beitragen.


(3) Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten.


(4) Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarktes hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs geführt. Der unionsweite Datenaustausch zwischen wirtschaftlichen und sozialen Akteuren, staatlichen Stellen und Privatpersonen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten zur Zusammenarbeit und zum Austausch personenbezogener Daten, um ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen zu können.


(5) Der rasche technologische Fortschritt und die Globalisierung stellen den Datenschutz vor neue Herausforderungen. Das Ausmaß, in dem Daten ausgetauscht und erhoben werden, ist dramatisch gestiegen. Die Technik macht es möglich, dass Privatwirtschaft und Staat zur Ausübung ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zugreifen können. Zunehmend werden auch private Informationen ins weltweite Netz gestellt und damit öffentlich zugänglich gemacht. Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert, weshalb der Datenverkehr innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtert werden muss, wobei gleichzeitig ein hohes Maß an Datenschutz zu gewährleisten ist.


(6) Diese Entwicklungen erfordern einen soliden, kohärenteren und durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, um eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Jede Person sollte die Kontrolle über ihre eigenen Daten besitzen, und private Nutzer, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen.


(7) Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie eine unterschiedliche Handhabung des Datenschutzes in der Union, Rechtsunsicherheit sowie die weit verbreitete öffentliche Meinung, dass speziell im Internet der Datenschutz nicht immer gewährleistet ist, nicht verhindern können. Unterschiede beim Schutz der Rechte und Grundfreiheiten von Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, kann den freien Verkehr solcher Daten in der gesamten Union behindern. Diese Unterschiede im Schutzniveau können ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG.


(8) Um ein hohes Maß an Datenschutz für den Einzelnen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten zu beseitigen, sollte der Schutz der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit kohärent und einheitlich angewandt werden.


(9) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert eine Stärkung und Präzisierung der Rechte der betroffenen Personen sowie eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, aber ebenso gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.


(10) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union ermächtigt das Europäische Parlament und den Rat, Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten festzulegen.


(11) Damit jeder in der Union das gleiche Maß an Datenschutz genießt und Unterschiede, die den freien Datenverkehr im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die überall in der Union für Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtsicherheit und Transparenz schafft, den Einzelnen mit denselben durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter vorsieht und eine einheitliche Kontrolle der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten sowie gleiche Sanktionen und eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Um der besonderen Situation von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine Reihe von abweichenden Regelungen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs des Kleinstunternehmens sowie kleiner und mittlerer Unternehmen sollte die Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 maßgebend sein.


(12) Der durch diese Verordnung gewährte Schutz betrifft die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Wohnorts. Im Falle juristischer Personen und insbesondere von als juristische Person gegründeten Unternehmen, deren Daten, zum Beispiel deren Name, Rechtsform oder Kontaktdaten, verarbeitet werden, sollte eine Berufung auf diese Verordnung nicht möglich sein. Dies sollte auch dann gelten, wenn der Name der juristischen Person die Namen einer oder mehrerer natürlichen Personen enthält.


(13) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls das Risiko einer Umgehung der Vorschriften groß wäre. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, die in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Verordnung ausgenommen werden.


(14) Die Verordnung behandelt weder Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Datenverkehrs im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, noch die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union, für die die Verordnung (EG) Nr. 45/200144 maßgeblich ist, noch die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(14) Die Verordnung behandelt weder Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freienDatenverkehrs im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen. Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates sollte mit dieser Verordnung in Einklang gebracht und im Einklang mit dieser Verordnung angewendet werden.


(15) Die Verordnung sollte nicht für die von einer natürlichen Person vorgenommene Verarbeitung von personenbezogenen Daten rein persönlicher oder familiärer Natur zu nichtgewerblichen Zwecken und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gelten, wie zum Beispiel das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen. Ebenfalls nicht ausgenommen werden sollten für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(15) Die Verordnung sollte nicht für die von einer natürlichen Person vorgenommene Verarbeitung von personenbezogenen Daten rein persönlicher, familiärer oder häuslicher Natur ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit  gelten, wie zum  Beispiel das Führen eines Schriftverkehrs oder von  Anschriftenverzeichnissen oder Privatverkäufe. Die Verordnung sollte jedoch auf die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen, Anwendung finden.


(16) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden dienen, sowie der freie Verkehr solcher Daten sind in einem eigenen EU-Rechtsinstrument geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder strafrechtlichen Verfolgung von Straftaten oder der Vollstreckung von Strafurteilen verwendet werden, dem spezifischeren EU-Instrument (Richtlinie XX/YYYY) unterliegen.


(17) Die vorliegende Verordnung sollte die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste nicht berühren.


(18) Diese Verordnung ermöglicht es, dass bei der Anwendung ihrer Vorschriften der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(18) Diese Verordnung ermöglicht es, dass bei der Anwendung ihrer Vorschriften der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Persönliche Daten in Dokumenten, die sich im Besitz einer Behörde oder öffentlichen Einrichtung befinden, können von dieser Behörde oder Einrichtung gemäß unionsrechtlichen oder mitgliedstaatlichen Vorschriften über den Zugang der Öffentlichkeit zu amtlichen Dokumenten offen gelegt werden, die das Recht auf Schutz der personenbezogenen Daten mit dem Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten in Einklang bringen und einen fairen Ausgleich der verschiedenen bestehenden Interessen schaffen.


(19) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei unerheblich.


(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen gegen Entgelt oder unentgeltlich anzubieten oder diese Personen zu beobachten. Um festzustellen, ob dieser für die Verarbeitung Verantwortliche diesen betroffenen Personen in der Union Waren oder Dienstleistungen anbietet, sollte geprüft werden, ob er offensichtlich beabsichtigt, in einem oder mehreren Mitgliedstaaten der Union ansässigen betroffenen Personen Dienstleistungen anzubieten.


(21) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(21) Ob eine Verarbeitungstätigkeit der Überwachung von Personen gilt, sollte daran festgemacht werden, ob sie – unabhängig von dem Ursprung der Daten und unabhängig davon, ob andere Daten, einschließlich Daten aus öffentlichen Registern und Bekanntmachungen in der Union, die von außerhalb der Union zugänglich sind, einschließlich mit der Absicht der Verwendung, oder der möglichen nachfolgenden Verwendung über sie erhoben werden – mit Hilfe von Datenverarbeitungstechniken verfolgt werden, durch die einer Person ein Profil zugeordnet wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.


(22) Ist nach internationalem Recht das innerstaatliche Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats, sollte die Verordnung auch auf einen nicht in der EU niedergelassenen für die Verarbeitung Verantwortlichen Anwendung finden.


(23) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller Voraussicht nach zur Identifizierung der Person genutzt werden. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(23) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller Voraussicht nach zum unmittelbaren oder mittelbaren Identifizieren oder Herausgreifen der Person genutzt werden. Bei der Prüfung der Frage, ob Mittel nach allgemeinem Ermessen aller Voraussicht nach zur Identifizierung der Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei sowohl die zum Zeitpunkt der Verarbeitung verfügbare Technologie als auch die technologische Entwicklung zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Daten gelten, d. h. für Daten, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Verordnung betrifft daher nicht die Verarbeitung solcher anonymen Daten, auch wenn sie für statistische und Forschungszwecke verwendet werden.


(24) Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(24) Diese Verordnung sollte auf eine Verarbeitung angewandt werden, die Kennungen umfasst, die Geräte, Software-Anwendungen und -Tools oder Protokolle liefern, wie etwa IP-Adressen, Cookie-Kennungen und Funkfrequenzkennzeichnungen, es sei denn, diese Kennungen beziehen sich nicht auf eine bestimmte oder bestimmbare natürliche Person.


(25) Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen Handlung ermöglicht, die sicherstellt, dass der betreffenden Person bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten gibt, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Eine stillschweigende Einwilligung ohne Zutun der betroffenen Person stellt daher keine Einwilligung dar. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen Bereitstellung eingewilligt wird, erfolgen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(25) Die Einwilligung sollte ausdrücklich mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung, die auf einer Entscheidung der betroffenen Person basiert, ermöglicht, die sicherstellt, dass der betreffenden Person bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten gibt. Eine eindeutige bestätigende Handlung könnte etwa das Anklicken eines Kästchens beim Besuch einer Internetseite oder jede sonstige Erklärung oder Verhaltensweise sein, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Schweigen, die bloße Nutzung eines Dienstes oder Untätigkeit sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen Bereitstellung eingewilligt wird, erfolgen.


(26) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die sich auf den Gesundheitszustand eines von der Verarbeitung Betroffenen beziehen, außerdem Informationen über die Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die betreffende Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer einer Gesundheitsleistung für die betroffene Person sowie Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Beahndlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.


(27) Zur Bestimmung der Hauptniederlassung eines für die Verarbeitung Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke, Bedingungen und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird; das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten begründet an sich noch keine Hauptniederlassung und ist daher kein ausschlaggebender Faktor für das Bestehen einer solchen Niederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem sich seine Hauptverwaltung in der Union befindet.


(28) Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund von Eigentümerschaft, finanzieller Beteiligung oder sonstiger Bestimmungen, die die Tätigkeit des Unternehmens regeln, oder der Befugnis, Datenschutzvorschriften einzuführen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann.


(29) Die personenbezogenen Daten von Kindern müssen besonderen Schutz genießen, da Kinder sich der Risiken, Folgen, Vorsichtsmaßnahmen und ihrer Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Bei der Definition, wann eine Person als Kind gilt, sollte die Definition in der UN-Konvention über die Rechte des Kindes zugrunde gelegt werden. Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenen Personen nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter Form erfolgen. Insbesondere sollten die besonderen Zwecke, zu denen die Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Datenerfassung feststehen. Die erfassten Daten sollten dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Minimum beschränkt sein; dies heißt vor allem, dass nicht unverhältnismäßig viele Daten erfasst werden und die Speicherfrist auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht werden kann. Es sollten alle vertretbaren Schritte unternommen werden, damit unzutreffende oder unvollständige personenbezogene Daten gelöscht oder berichtigt werden. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, sollte der für die Verarbeitung Verantwortliche Fristen für deren Löschung oder regelmäßige Überprüfung vorsehen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(29) Die personenbezogenen Daten von Kindern müssen besonderen Schutz genießen, da Kinder sich der Risiken, Folgen, Vorsichtsmaßnahmen und ihrer Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Erfolgt die Datenverarbeitung mit Einwilligung der betroffenen Person in Bezug auf das unmittelbare Angebot von Waren oder Dienstleistungen an ein Kind bis zum vollendeten dreizehnten Lebensjahr, sollte die Einwilligung hierzu durch die Eltern oder den rechtlichen Vertreter des Kindes oder mit deren Zustimmung erteilt werden. Sind die Adressaten Kinder, sollte altersgerechte Sprache verwendet werden. Andere Gründe der rechtmäßigen Verarbeitung, etwa Gründe des öffentlichen Interesses, sollten anwendbar bleiben, etwa Verarbeitung im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden.


(30) Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenenPersonen nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter Form erfolgen. Insbesondere sollten die besonderen Zwecke, zu denen die Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Datenerfassung feststehen. Die erfassten Daten sollten dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Minimum beschränkt sein; dies heißt vor allem, dass nicht unverhältnismäßig viele Daten erfasst werden und die Speicherfrist auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht werden kann. Es sollten alle vertretbaren Schritte unternommen werden, damit unzutreffende oder unvollständige personenbezogene Daten gelöscht oder berichtigt werden. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, sollte der für die Verarbeitung Verantwortliche Fristen für deren Löschung oder regelmäßige Überprüfung vorsehen.


(31) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(31) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. Bei Kindern oder nicht geschäftsfähigen Personen sollte das Unionsrecht oder das Recht der Mitgliedstaaten die Voraussetzungen für die Einwilligung oder die Zustimmung zur Einwilligung dieser Person regeln.


(32) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte die Beweislast, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat, bei dem für die Verarbeitung Verantwortlichen liegen. Vor allem bei Abgabe einer schriftlichen Erklärung in anderem Zusammenhang sollten Vorkehrungen getroffen werden, die sicherstellen, dass die betroffene Person weiß, dass und wozu sie ihre Einwilligung erteilt.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(32) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte die Beweislast, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat, bei dem für die Verarbeitung Verantwortlichen liegen. Vor allem bei Abgabe einer schriftlichen Erklärung in anderem Zusammenhang sollten Vorkehrungen getroffen werden, die sicherstellen, dass die betroffene Person weiß, dass und wozu sie ihre Einwilligung erteilt. Um den Grundsatz der Datenminimierung einzuhalten, sollte die Beweislast nicht so verstanden werden, dass sie die positive Identifizierung der betroffenen Personen erfordert, es sei denn, diese ist notwendig. In Anlehnung an die Regelungen des Zivilrechts (z. B. Richtlinie 93/13/EWG1) sollten Datenschutzregelungen so klar und transparent wie möglich sein. Sie sollten keine verborgenen oder nachteiligen Klauseln enthalten. In die Verarbeitung von personenbezogenen Daten Dritter kann nicht eingewilligt werden.
1 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).


(33) Um sicherzugehen, dass die Einwilligung ohne Zwang erfolgt, sollte klargestellt werden, dass die Einwilligung keine rechtswirksame Grundlage für die Verarbeitung liefert, wenn die betreffende Person keine echte Wahlfreiheit hat und somit nicht in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(33) Um sicherzugehen, dass die Einwilligung ohne Zwang erfolgt, sollte klargestellt werden, dass die Einwilligung keine rechtswirksame Grundlage für die Verarbeitung liefert, wenn die betreffende Person keine echte Wahlfreiheit hat und somit nicht in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Dies ist insbesondere dann der Fall, wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde handelt, die aufgrund ihrer einschlägigen hoheitlichen Befugnisse eine Verpflichtung auferlegen kann und die Einwilligung deshalb nicht als ohne Zwang abgegeben gelten kann. Die Verwendung von Voreinstellungen, die die betroffene Person verändern muss, um der Verarbeitung zu widersprechen, wie etwa standardmäßig angekreuzte Kästchen, drückt keine freie Einwilligung aus. Die Einwilligung für die Verarbeitung zusätzlicher personenbezogener Daten, die für die Bereitstellung von Dienstleistungen nicht notwendig sind, sollten für die Verwendung dieser Dienstleistungen nicht verlangt werden. Wird die Einwilligung widerrufen, so kann dies zur Beendigung oder Nichterbringung einer Dienstleistung führen, die von den personenbezogenen Daten abhängig ist. Kann nicht eindeutig festgestellt werden, ob der beabsichtigte Zweck noch besteht, sollte der für die Verarbeitung Verantwortliche in regelmäßigen Abständen die betroffene Person über die Verarbeitung unterrichten und eine erneute Bestätigung ihrer Einwilligung verlangen.


(34) Die Einwilligung liefert keine rechtliche Handhabe für die Verarbeitung personenbezogener Daten, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Dies ist vor allem dann der Fall, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden. Handelt es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde, bestünde ein Ungleichgewicht nur bei Verarbeitungsvorgängen, bei denen die Behörde aufgrund ihrer jeweiligen obrigkeitlichen Befugnisse eine Verpflichtung auferlegen kann und deshalb die Einwilligung nicht als ohne Zwang abgegeben gelten kann, wobei die Interessen der betroffenen Person zu berücksichtigen sind. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:
(entfällt)


(35) Die Verarbeitung von Daten sollte rechtmäßig sein, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist.


(36) Erfolgt die Verarbeitung durch den für die Verarbeitung Verantwortlichen aufgrund einer ihm obliegenden gesetzlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt erforderlich, muss hierfür eine Rechtsgrundlage im Unionsrecht oder im nationalen Recht bestehen, die im Falle einer Beschneidung von Rechten und Freiheiten den Anforderungen der Charta der Grundrechte der Europäischen Union genügt. Desgleichen muss im Unionsrecht oder im nationalen Recht geregelt werden, ob es sich bei dem für die Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln soll.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:
(36) Erfolgt die Verarbeitung durch den für die Verarbeitung Verantwortlichen aufgrund einer ihm obliegenden gesetzlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt erforderlich, muss hierfür eine Rechtsgrundlage im Unionsrecht oder im nationalen Recht bestehen, die im Falle einer Beschneidung von Rechten und Freiheiten den Anforderungen der Charta der Grundrechte der Europäischen Union genügt. Dies schließt auch Tarifverträge ein, die nach einzelstaatlichem Recht für allgemein verbindlich erklärt werden können. Desgleichen muss im Unionsrecht oder im nationalen Recht geregelt werden, ob es sich bei dem für die Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln soll.Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln soll.


(37) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person zu schützen.


(38) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines für die Verarbeitung Verantwortlichen begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Die betroffene Person sollte das Recht haben, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen. Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr Widerspruchsrecht zu belehren. Da es dem Gesetzgeber obliegt, per Gesetz die Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(38) Die berechtigten Interessen eines für die Verarbeitung Verantwortlichen oder, im Fall der Weitergabe, die berechtigten Interessen eines Dritten, dem die Daten weitergegeben wurden, können eine Rechtsgrundlage für die Verarbeitung darstellen, sofern die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden und die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte von der Verarbeitung, die auf pseudonymisierte Daten beschränkt ist, vermutet werden, dass die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Die betroffene Person sollte das Recht haben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen. Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr Widerspruchsrecht zu belehren. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss könnten die Interessen und Grundrechte der betroffenen Person das Interesse des für die Verarbeitung Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Gesetz die Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen.


(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und –diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes, die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of access“-Angriffe) sowie Schädigungen von Computer- und elektronischen Kommunikationssystemen zu verhindern.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und –diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, Störungen oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes, die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of access“-Angriffe) sowie Schädigungen von Computer- und elektronischen Kommunikationssystemen zu verhindern. Dieser Grundsatz gilt auch für die Verarbeitung personenbezogener Daten zur Beschränkung missbräuchlichen Zugangs zu und die Verwendung von öffentlich zugänglichen Netzwerken oder Informationssystemen, wie das Führen schwarzer Listen von elektronischen Kennungen.


 

Änderung nach LIBE 21.10.2013: neu eingefügt

(39a) Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte die Vermutung gelten, dass die Verhütung oder Begrenzung von Schäden beim für die Datenverarbeitung Verantwortlichen für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Dieser Grundsatz gilt auch für die Durchsetzung von Rechtsansprüchen gegen eine betroffene Person, wie die Einziehung von Forderungen oder zivilrechtliche Schadensersatzansprüche und Rechtsbehelfe.


Änderung nach LIBE 21.10.2013: neu eingefügt

(39b) Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte die Vermutung gelten, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktvermarktung für eigene oder ähnliche Waren und Dienstleistungen oder zum Zwecke der Direktvermarktung auf dem Postweg für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden, wenn gut sichtbare Informationen über das Widerspruchsrecht und die Quelle der personenbezogenen Daten angegeben werden. Die Verarbeitung von Angaben über Geschäftskontakte sollten im Allgemeinen so betrachtet werden, dass sie für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Dies sollte auch für die Verarbeitung personenbezogener Daten gelten, die die betroffene Person offenkundig veröffentlicht hat.


(40) Die Verarbeitung personenbezogener Daten für andere Zwecke sollte nur zulässig sein, wenn diese mit den Zwecken, für die sie ursprünglich erhoben wurden, vereinbar sind, beispielsweise dann, wenn die Verarbeitung für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist. Ist der andere Zweck nicht mit dem ursprünglichen Zweck, für den die Daten erhoben wurden, vereinbar, muss der für die Verarbeitung Verantwortliche hierfür die Einwilligung der betroffenen Person einholen oder die Verarbeitung auf einen anderen Rechtmäßigkeitsgrund stützen, der sich beispielsweise aus dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, ergibt. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze angewandt werden und die betroffene Person über diese anderen Zwecke unterrichtet wird. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013: (entfällt)


(41) Personenbezogene Daten, die ihrem Wesen nach besonders sensibel und anfällig für eine Verletzung von Grundrechten oder der Privatsphäre sind, bedürfen eines besonderen Schutzes. Derartige Daten dürfen nicht ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot sollten im Bedarfsfall jedoch ausdrücklich vorgesehen werden, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013: (entfällt)


(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden soll, oder wenn die Verarbeitung historischen oder statistischen Zwecke oder wissenschaftliche Forschungszwecken dient. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden soll, oder wenn die Verarbeitung historischen oder statistischen Zwecken oder wissenschaftlichen Forschungszwecken oder Archivdiensten dient.


(43) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen für verfassungsrechtlich oder im internationalen Recht verankerte Ziele von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses.


(44) Wenn es in einem Mitgliedstaat zum Funktionieren des demokratischen Systems gehört, dass die politischen Parteien im Zusammenhang mit Wahlen Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern angemessene Garantien vorgesehen werden.


(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten zu lokalisieren. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten zu lokalisieren. Ist es der betroffenen Person möglich, diese Informationen bereitzustellen, sollte der für die Verarbeitung Verantwortliche nicht die Möglichkeit haben, sich auf einen Mangel an Informationen zu berufen, um ein Ersuchen um Zugang abzulehnen.


(46) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information leicht zugänglich sowie in einfacher und verständlicher Sprache abgefasst ist. Dies gilt ganz besonders für bestimmte Situationen wie etwa Werbung im Internet, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck seine Daten erfasst werden. Wenn sich die Verarbeitung speziell an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer kindgerechten Sprache erfolgen.


(47) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr nach diese Verordnung zustehenden Rechte wahrzunehmen, etwa dass sie ein kostenfreies Auskunftsrecht oder ein Recht auf Berichtigung oder Löschung von Daten besitzt oder von ihrem Widerspruchsrecht Gebrauch machen kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, innerhalb einer bestimmten Frist auf das Ansuchen der betroffenen Person zu antworten und eine etwaige Ablehnung des Ansuchens zu begründen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(47) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr nach dieser Verordnung zustehenden Rechte und etwa das Recht auf kostenfreie Auskunft oder das Recht auf Berichtigung oder Löschung der Daten wahrzunehmen oder von ihrem Widerspruchsrecht Gebrauch zu machen. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, innerhalb einer angemessenen Frist auf das Ansuchen der betroffenen Person zu antworten und eine etwaige Ablehnung des Ansuchens zu begründen


(48) Die Grundsätze von Treu und Glauben und Transparenz bei der Verarbeitung setzen voraus, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(48) Die Grundsätze von Treu und Glauben und Transparenz bei der Verarbeitung setzen voraus, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die voraussichtliche Speicherdauer für den jeweiligen Zweck, ob Daten an Dritte oder in Drittstaaten übermittelt werden sollen, die betreffenden Widerspruchsmöglichkeiten und das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert werden sollte. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Diese Information sollte den betroffenen Personen nach der Bereitstellung vereinfachter Informationen in Form standardisierter Icons präsentiert werden, was auch bedeuten kann, dass sie leicht zugänglich ist. Das sollte auch bedeuten, dass personenbezogene Daten in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, ihre Rechte wirksam wahrzunehmen.


(49) Die Unterrichtung einer betroffenen Person, dass sie betreffende personenbezogene Daten verarbeitet werden, sollte zum Zeitpunkt der Erhebung erfolgen oder für den Fall, dass die Daten nicht bei ihr erhoben werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die Daten rechtmäßig an einen anderen Empfänger weitergegeben werden dürfen, sollte die betroffene Person bei der erstmaligen Weitergabe der Daten an diesen Empfänger darüber aufgeklärt werden.


(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung der Fall sein; als Anhaltspunkt können dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige Ausgleichsmaßnahmen dienen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist.


(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling basiert. Dabei dürfen die Grundrechte und Grundfreiheiten anderer Personen, etwa das Geschäftsgeheimnis oder die Rechte an geistigem Eigentum und insbesondere das Urheberrecht an Software, nicht angetastet werden. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte einen Anspruch darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie voraussichtlich gespeichert werden, wer die Empfänger der Daten sind, nach welcher allgemeinen Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann. Dabei sollten die Grundrechte und Grundfreiheiten anderer Personen, etwa das Geschäftsgeheimnis oder das geistige Eigentum. etwa im Zusammenhang mit Urheberrechten an Software, nicht angetastet werden. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.


(52) Der für die Verarbeitung Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Falle von Online-Kennungen. Ein für die Verarbeitung Verantwortlicher sollte personenbezogene Daten nicht nur deshalb speichern, um auf mögliche Ansuchen reagieren zu können.


(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein ‚Recht auf Vergessenwerden’, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Dieses Recht ist besonders wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die Daten – besonders die im Internet gespeicherten – später löschen möchte. Die weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten anstatt ihrer Löschung gerechtfertigt ist.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein Recht auf Löschung, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Die weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten anstatt ihrer Löschung gerechtfertigt ist. Auch sollte das Recht auf Löschung nicht gelten, wenn die Speicherung personenbezogener Daten notwendig ist, um einen Vertrag mit der betroffenen Person zu erfüllen, oder wenn die Speicherung dieser Daten gesetzlich vorgeschrieben ist.


(54) Um dem ‚Recht auf Vergessenwerden’ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung so weit gehen, dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, die Pflicht hat, Dritten, die diese Daten verarbeiten, mitzuteilen, dass eine betroffene Person die Löschung von Links zu diesen Daten oder von Kopien oder Reproduktionen dieser Daten verlangt. Der für die Verarbeitung Verantwortliche sollte im Hinblick auf Daten, für deren Veröffentlichung er die Verantwortung trägt, alle vertretbaren Schritte, auch technischer Art, unternehmen, damit diese Information die betroffenen Dritten auch tatsächlich erreicht. Werden personenbezogene Daten von Dritten veröffentlicht, sollte der für die Verarbeitung Verantwortliche für die Veröffentlichung in die Pflicht genommen werden, wenn er die Veröffentlichung gestattet hat. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(54) Um dem „Recht auf Löschung“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung so weit gehen, dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten ohne rechtlichen Grund öffentlich gemacht hat, die Pflicht hat, alle notwendigen Schritte zu unternehmen, um die Daten, auch bei Dritten, zu löschen, wobei das Recht der betroffenen Person unberührt bleibt, Schadensersatz zu verlangen.


 Änderung nach LIBE 21.10.2013: neu eingefügt

(54a) Vom Betroffenen bestrittene Daten, deren Richtigkeit oder Unrichtigkeit sich nicht feststellen lässt, sollten bis zur Klärung der Angelegenheit gesperrt werden.


(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Die für Datenverarbeitung Verantwortlichen sollten dazu angehalten werden sollte nahegelegt werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat. Anbieter von Diensten der Informationsgesellschaft sollten die Übertragung dieser Daten für die Bereitstellung ihrer Dienste nicht verbindlich vorschreiben.


(56) In Fällen, in denen die personenbezogenen Daten zum Schutz der lebenswichtigen Interessen der betroffenen Person oder im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder aufgrund der berechtigten Interessen des für die Verarbeitung Verantwortlichen rechtmäßig verarbeitet werden dürfen, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einzulegen. Die Beweislast sollte bei dem für die Verarbeitung Verantwortlichen liegen, der darlegen muss, dass seine berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(56) In Fällen, in denen die personenbezogenen Daten zum Schutz der lebenswichtigen Interessen der betroffenen Person oder im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder aufgrund der berechtigten Interessen des für die Verarbeitung Verantwortlichen rechtmäßig verarbeitet werden dürfen, sollte jede betroffene Person trotzdem das Recht haben, unentgeltlich und auf einfache und effektive Weise Widerspruch gegen die Verarbeitung der sie betreffenden Daten einzulegen. Die Beweislast sollte bei dem für die Verarbeitung Verantwortlichen liegen, der darlegen muss, dass seine berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.


(57) Werden personenbezogene Daten verarbeitet, um Direktwerbung für nichtkommerzielle Zwecke zu betreiben, sollte die betroffene Person unentgeltlich, einfach und effektiv Widerspruch gegen eine solche Verarbeitung einlegen können. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

Hat die betroffene Person das Recht, der Verarbeitung zu widersprechen, sollte der für die Verarbeitung Verantwortliche dies der betroffenen Person ausdrücklich und in verständlicher Art und Form unter Verwendung einer klaren und einfachen Sprache zur Verfügung stellen und diese klar von anderen Informationen trennen.


(58) Eine natürliche Person braucht sich keiner Maßnahme unterwerfen lassen, die auf Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche Maßnahme sollte allerdings erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden werden wie der Unterrichtung der betroffenen Person oder dem Anspruch auf direkten persönlichen Kontakt sowie dem generellen Ausschluss von Kindern von einer solchen Maßnahme. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(58) Unbeschadet der Rechtmäßigkeit der Datenverarbeitung sollte jede natürliche Person das Recht haben, dem Profiling zu widersprechen. Profiling, das Maßnahmen zur Folge hat, durch die sich rechtliche Konsequenzen für die betroffene Person ergeben, oder die ähnlich erhebliche Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat, sollte nur erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden werden, einschließlich der spezifischen Unterrichtung der betroffenen Person und dem Anspruch auf persönliche Prüfung sowie dem Ausschluss von Kindern von einer solchen Maßnahme. Diese Maßnahmen sollten nicht dazu führen, dass Menschen aufgrund ihrer Rasse, ethnischer Herkunft, politischen Überzeugung, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, sexueller Orientierung oder Geschlechtsidentität diskriminiert werden.


Änderung nach LIBE 21.10.2013: neu eingefügt

(58a) Stützt sich das Profiling ausschließlich auf die Verarbeitung pseudonymisierter Daten, sollte die Vermutung gelten, dass es keine erheblichen Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat. Erlaubt das Profiling, sei es auf Grundlage einer einzigen Quelle pseudonymisierter Daten oder einer Sammlung pseudonymisierter Daten aus verschiedenen Quellen, dem für die Verarbeitung Verantwortlichen pseudonymisierte Daten einer spezifischen betroffenen Person zuzuordnen, sollten die verarbeiteten Daten nicht länger als pseudonymisiert betrachtet werden.


(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch, von Maßnahmen, die auf der Erstellung von Profilen beruhen, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen gehört, und um sonstige öffentliche Interessen der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Berichtigung, Löschung oder des Rechts auf Zugang oder Herausgabe von Daten und des Widerspruchrechts, von Profiling, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen gehört, und um sonstige spezifische und klar definierte öffentliche Interessen der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.


(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung personenbezogener Daten sollte umfassend geregelt werden. Insbesondere sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dies auch nachweisen müssen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung personenbezogener Daten sollte umfassend geregelt werden, insbesondere im Hinblick auf Dokumentation, Datensicherheit, Folgenabschätzungen, Datenschutzbeauftragte und Kontrolle durch Datenschutzbehörden. Insbesondere sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dazu auch in der Lage sein. Dies sollte von unabhängigen internen oder externen Prüfern überprüft werden.


(61) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungsvorgänge als auch zum Zeitpunkt der Verarbeitung getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Anforderungen sicherzustellen und nachzuweisen, sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(61) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungsvorgänge als auch zum Zeitpunkt der Verarbeitung getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Anforderungen sicherzustellen und nachzuweisen, sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Der Grundsatz des Datenschutzes durch Technik verlangt, dass der Datenschutz während des gesamten Lebenszyklus der Technologie eingebaut sein muss, von der frühesten Entwicklungsphase über ihre endgültige Einführung und Verwendung bis zur endgültigen Außerbetriebnahme. Das sollte auch die Verantwortlichkeit für die Waren und Dienstleistungen, die von dem für die Verarbeitung Verantwortlichen oder von dem Auftragsverarbeiter verwendet werden, einschließen. Der Grundsatz der datenschutzfreundlichen Voreinstellungen verlangt auf Diensten und Waren installierte Einstellungen zum Schutz der Privatsphäre, die standardmäßig mit den allgemeinen Grundsätzen des Datenschutzes vereinbar sein sollten, wie etwa mit dem Grundsatz der Datenminimierung und dem Grundsatz der Zweckbeschränkung.


(62) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, -bedingungen und -mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

 (62) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Verteilung der Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird. Die Regelung zwischen den gemeinsam für die Verarbeitung Verantwortlichen sollte die tatsächlichen Aufgaben und Beziehungen der gemeinsam für die Verarbeitung Verantwortlichen widerspiegeln. Die Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung sollte auch die Möglichkeit umfassen, dass der für die Verarbeitung Verantwortliche den gemeinsam für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Daten zum Zwecke der Datenverarbeitung in deren Namen übermittelt.


(63) Jeder für die Verarbeitung Verantwortliche ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf in der Union ansässige betroffene Personen beziehen und dazu dienen, diesen Personen Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, dieser für die Verarbeitung Verantwortliche ist in einem Drittland niedergelassen, das einen angemessenen Schutz bietet, oder es handelt sich um ein kleines oder mittleres Unternehmen, um eine Behörde oder um eine öffentliche Einrichtung oder der betreffende für die Verarbeitung Verantwortliche bietet den betroffenen Personen nicht nur gelegentlich Waren oder Dienstleistungen an. Der Vertreter sollte im Namen des für die Verarbeitung Verantwortlichen tätig werden und den Aufsichtsbehörden als Ansprechpartner dienen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

 (63) Verarbeitet ein für die Verarbeitung Verantwortlicher ohne Niederlassung in der Union personenbezogene Daten von betroffenen Personen in der Union, sollte der für die Verarbeitung Verantwortliche einen Vertreter benennen, es sei denn, der für die Verarbeitung Verantwortliche ist in einem Drittland niedergelassen, das einen angemessenen Schutz bietet, oder es handelt sich um die Verarbeitung in Bezug auf weniger als 5 000 betroffene Personen innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten, die nicht in Bezug auf besondere Kategorien personenbezogener Daten durchgeführt wird, oder um eine Behörde oder um eine öffentliche Einrichtung oder der betreffende für die Verarbeitung Verantwortliche bietet den betroffenen Personen nicht nur gelegentlich Waren oder Dienstleistungen an. Der Vertreter sollte im Namen des für die Verarbeitung Verantwortlichen tätig werden und den Aufsichtsbehörden als Ansprechpartner dienen.


(64) Zur Klärung der Frage, ob ein für die Verarbeitung Verantwortlicher in der Union ansässigen betroffenen Personen nur gelegentlich Waren und Dienstleistungen anbietet, sollte jeweils geprüft werden, ob aus dem allgemeinen Tätigkeitsprofil des für die Verarbeitung Verantwortlichen ersichtlich ist, dass das Anbieten der betreffenden Waren und Dienstleistungen lediglich eine zusätzlich zu seinen Haupttätigkeiten hinzukommende Tätigkeit darstellt. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(64) Zur Klärung der Frage, ob ein für die Verarbeitung Verantwortlicher betroffenen Personen in der Union nur gelegentlich Waren und Dienstleistungen anbietet, sollte jeweils geprüft werden, ob aus dem allgemeinen Tätigkeitsprofil des für die Verarbeitung Verantwortlichen ersichtlich ist, dass das Anbieten der betreffenden Waren und Dienstleistungen lediglich eine zusätzlich zu seinen Haupttätigkeiten hinzukommende Tätigkeit darstellt.


(65) Zum Nachweis der Einhaltung der in dieser Verordnung festgelegten Bestimmungen sollte der für die Verarbeitung Verantwortliche jeden Verarbeitungsvorgang dokumentieren. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Verlangen die entsprechende Dokumentation vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrolliert werden können. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

 (65) Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die zur Erfüllung der in dieser Verordnung festgelegten Anforderungen notwendige Dokumentation vorhalten. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Verlangen die entsprechende Dokumentation vorzulegen, damit diese für die Bewertung der Einhaltung dieser Verordnung herangezogen werden können. Es sollte aber ebenso wichtig sein, bewährten Verfahren und der Einhaltung der Vorschriften Beachtung zu schenken und nicht nur der Zusammenstellung der Dokumentation.


(66) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Die Kommission sollte bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die technologische Neutralität, die Interoperabilität sowie Innovationen fördern und gegebenenfalls mit Drittländern zusammenarbeiten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(66) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sollten die technologische Neutralität, die Interoperabilität sowie Innovationen sowie gegebenenfalls die Zusammenarbeit mit Drittländern gefördert werden.


(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die Aufsichtsbehörde ohne unangemessene Verzögerung – falls möglich binnen 24 Stunden – davon in Kenntnis setzen. Falls die Benachrichtigung nicht binnen 24 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen. Natürliche Personen, für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person angesehen werden, wenn sie zum Beispiel einen  Identitätsdiebstahl oder -betrug, eine physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B. Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu ergreifen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche die Aufsichtsbehörde ohne unangemessene Verzögerung – von der angenommen werden sollte, dass sie nicht länger als 72 Stunden dauern sollte– davon in Kenntnis setzen. Gegebenenfalls sollten in der Benachrichtigung die Gründe für die Verzögerung angegeben werden. Natürliche Personen, für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person angesehen werden, wenn sie zum Beispiel einen Identitätsdiebstahl oder -betrug, eine physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B. Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu ergreifen.


(68) Um bestimmen zu können, ob eine gegebene Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde und der betroffenen Person ohne unangemessene Verzögerung gemeldet wurde, sollte jeweils überprüft werden, ob der für die Verarbeitung Verantwortliche ausreichende technische Vorkehrungen und organisatorische Maßnahmen getroffen hat, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können, noch bevor persönliche oder wirtschaftliche Interessen Schaden nehmen können, wobei die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren negative Folgen für die betroffene Person zu berücksichtigen sind.


(69) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in unnötiger Weise behindert würde.


(70) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat doch keineswegs in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslose allgemeine Meldepflicht sollte daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit jenen Verarbeitungsvorgängen befassen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können. In derartigen Fällen sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung eine Datenschutz- Folgenabschätzung durchführen, die sich insbesondere mit den Maßnahmen, Garantien und Verfahren befasst, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen.


(71) Dies sollte insbesondere für neu geschaffene umfangreiche Dateien gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, und die eine große Zahl von Personen betreffen könnten.


 Änderung nach LIBE 21.10.2013: neu eingefügt

(71a) Folgenabschätzungen sind der wesentliche Kern jedes nachhaltigen Datenschutzrahmens und stellen sicher, dass sich Unternehmen von Anfang an aller möglichen Konsequenzen ihrer Datenverarbeitungsvorgänge bewusst sind. Werden Folgenabschätzungen mit Sorgfalt durchgeführt, kann die Wahrscheinlichkeit einer Verletzung des Datenschutzes oder eines Eingriffs in die Privatsphäre ganz wesentlich beschränkt werden. Bei den Datenschutz-Folgenabschätzungen sollte somit das gesamte Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung berücksichtigt werden und im Einzelnen die beabsichtigten Verarbeitungsvorgänge, die Risiken für die Rechte und Freiheiten von betroffenen Personen, die beabsichtigten Maßnahmen zur Eindämmung der Risiken, die Schutzmechanismen undSicherheitsmaßnahmen sowie die Mechanismen beschrieben werden, durch die die Einhaltung der Verordnung sichergestellt wird.


Änderung nach LIBE 21.10.2013: neu eingefügt

(71b) Die für die Verarbeitung Verantwortlichen sollten sich auf den Schutz personenbezogener Daten während des gesamten Datenlebenszyklus von der Erhebung über die Verarbeitung bis zur Löschung konzentrieren, indem sie von Anfang an in einen nachhaltigen Datenmanagementrahmen investieren und darauf folgend umfassende Einhaltungsmechanismen einrichten.


(72) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten sinnvoll sein, eine Datenschutz-Folgenabschätzung nicht auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise wenn Behörden oder öffentliche Einrichtungen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere für die Verarbeitung Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.


(73) Datenschutz-Folgeabschätzungen sollten von einer Behörde oder öffentlichen Einrichtung durchgeführt werden, sofern eine solche Folgenabschätzung nicht schon anlässlich des Erlasses des Gesetzes erfolgt ist, auf dessen Grundlage die Behörde oder Einrichtung ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013: (entfällt)


(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können, sollte die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine solche Konsultation sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können, sollte der Datenschutzbeauftragte oder die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine Konsultation der Aufsichtsbehörde sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.


  Änderung nach LIBE 21.10.2013: neu eingefügt

(74a) Folgenabschätzungen können nur hilfreich sein, wenn die für die Verarbeitung Verantwortlichen sicherstellen, dass sie die Versprechen einhalten, die ursprünglich in ihnen gegeben wurden. Deshalb sollten die für die Verarbeitung Verantwortlichen regelmäßig Überprüfungen der Einhaltung der Datenschutzvorschriften vornehmen, durch die nachgewiesen wird, dass die eingerichteten Datenverarbeitungsmechanismen die Zusagen einhalten, die in den Datenschutz-Folgenabschätzungen gegeben wurden. Außerdem sollte nachgewiesen werden, dass der für die Datenverarbeitung Verantwortliche in der Lage ist, der autonomen Wahl betroffener Personen zu entsprechen. Darüber hinaus sollte er in dem Fall, dass die Überprüfung Unstimmigkeiten bei der Einhaltung ergibt, diesen Umstand hervorheben und Empfehlungen abgeben, wie eine vollständige Einhaltung erreicht werden kann.


(75) In Fällen, in denen die Verarbeitung im öffentlichen Sektor oder durch ein privates Großunternehmen erfolgt oder in denen die Kerntätigkeit eines Unternehmens ungeachtet seiner Größe Verarbeitungsvorgänge einschließt, die einer regelmäßigen und systematischen Überwachung bedürfen, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person unterstützt werden. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich um Angestellte des für die Verarbeitung Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(75) In Fällen, in denen die Verarbeitung im öffentlichen Sektor erfolgt oder sich im privaten Sektor auf mehr als 5 000 betroffene Personen innerhalb von zwölf Monaten bezieht, oder in denen die Kerntätigkeit eines Unternehmens ungeachtet seiner Größe Verarbeitungsvorgänge sensibler Daten einschließt, oder Verarbeitungsvorgänge, die einer regelmäßigen und systematischen Überwachung bedürfen, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person unterstützt werden. Bei der Feststellung, ob Daten einer großen Zahl von betroffenen Personen verarbeitet werden, sollten archivierte Daten, die in einer Art und Weise beschränkt sind, dass sie nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen des für die Verarbeitung Verantwortlichen unterworfen sind und nicht mehr geändert werden können, nicht berücksichtigt werden. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich um Angestellte des für die Verarbeitung Verantwortlichen handelt oder nicht, und unabhängig davon, ob sie diese Aufgabe in Vollzeit wahrnehmen, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können und einen besonderen Kündigungsschutz genießen. Letztendlich sollte das Management einer Organisation verantwortlich bleiben. Der Datenschutzbeauftragte sollte insbesondere vor der Planung, der Ausschreibung, Entwicklung und Einrichtung von Systemen der automatischen Verarbeitung personenbezogener Daten konsultiert werden, um die Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Voreinstellungen zu gewährleisten.


 Änderung nach LIBE 21.10.2013: neu eingefügt

(75a) Der Datenschutzbeauftragte sollte zumindest die folgenden Qualifikationen besitzen: umfassende Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren; Beherrschung der fachlichen Anforderungen an den Datenschutz durch Technik, die  datenschutzfreundlichen Voreinstellungen und die Datensicherheit; sektorspezifisches Wissen entsprechend der Größe des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters und der Sensibilität der zu verarbeitenden Daten; die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen; sowie die Fähigkeit, mit Arbeitnehmervertretungen zu arbeiten. Der für die Verarbeitung Verantwortliche sollte dem Datenschutzbeauftragten ermöglichen, an Weiterbildungsmaßnahmen teilzunehmen, um das für die Durchführung seiner Aufgaben erforderliche Spezialwissen zu bewahren. Die Benennung als Datenschutzbeauftragter erfordert nicht unbedingt eine Vollzeittätigkeit des Mitarbeiters.


(76) Verbände oder andere Vertreter bestimmter Kategorien von für die Verarbeitung Verantwortlichen sollten ermutigt werden, im Einklang mit dieser Verordnung stehende Verhaltenskodizes zu erstellen, um eine wirksame Anwendung dieser Verordnung zu erleichtern, bei der den Eigenheiten der in bestimmten Sektoren erfolgenden Verarbeitungen Rechnung getragen wird. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(76) Verbände oder andere Vertreter bestimmter Kategorien von für die Verarbeitung Verantwortlichen sollten ermutigt werden, nach Anhörung der Arbeitnehmervertreter im Einklang mit dieser Verordnung stehende Verhaltenskodizes zu erstellen, um eine wirksame Anwendung dieser Verordnung zu erleichtern, bei der den Eigenheiten der in bestimmten Sektoren erfolgenden Verarbeitungen Rechnung getragen wird. Derartige Verhaltenskodizes sollten ein Handeln der Unternehmen in Übereinstimmung mit dieser Verordnung vereinfachen.


(77) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsmechanismen sowie Datenschutzsiegel und –prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und Dienstleistungen ermöglichen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(77) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsmechanismen sowie Datenschutzsiegel und standardisierte Datenschutzprüfzeichen eingeführt werden, die den betroffenen Personen einen raschen, zuverlässigen und überprüfbaren Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und Dienstleistungen ermöglichen. Ein „Europäisches Datenschutzsiegel“ sollte auf europäischer Ebene eingeführt werden, um unter betroffenen Personen Vertrauen und für die für die Verarbeitung Verantwortlichen Rechtssicherheit zu schaffen sowie gleichzeitig die Verbreitung europäischer Datenschutzstandards außerhalb der EU zu fördern, indem es nicht-europäischen Unternehmen vereinfacht wird, Zugang zu europäischen Märkten zu erhalten, indem sie sich zertifizieren lassen.


(78) Der grenzüberschreitende Verkehr von personenbezogenen Daten ist für die Entwicklung des internationalen Handels und der grenzübergreifenden Zusammenarbeit notwendig. Durch die Zunahme dieser Datenströme sind neue Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener Daten entstanden. Der durch diese Verordnung unionsweit garantierte Schutz natürlicher Personen sollte jedoch bei der Übermittlung von personenbezogenen Daten aus der Union in Drittländer oder an internationale Organisationen nicht unterminiert werden. In jedem Fall sollten derartige Datenübermittlungen an Drittländer nur unter strikter Einhaltung dieser Verordnung zulässig sein.


(79) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von dieser Verordnung nicht berührt. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(79) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von dieser Verordnung nicht berührt, wodurch ein angemessener Schutz der Grundrechte für die Bürgerinnen und Bürger sichergestellt wird.


(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an diese Länder übermittelt werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen. Die Kommission kann sich, nach Benachrichtigung und Abgabe einer vollständigen Begründung an das Drittland, auch für die Aufhebung eines solchen Beschlusses entscheiden.


(81) In Übereinstimmung mit den Grundwerten der Union, zu denen insbesondere der Schutz der Menschenrechte zählt, sollte die Kommission bei der Inaugenscheinnahme eines Drittlandes berücksichtigen, inwieweit dort die Rechtsstaatlichkeit gewahrt ist, ein Rechtschutz existiert und die internationalen Menschenrechtsbestimmungen eingehalten werden.


(82) Die Kommission kann ebenso per Beschluss feststellen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bieten. Die Übermittlung personenbezogener Daten an derartige Drittländer sollte daher verboten werden. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(82) Die Kommission kann ebenso per Beschluss feststellen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bieten.  Rechtsvorschriften, die den extraterritorialen Zugang zu personenbezogenen Daten, die in der EU verarbeitet werden, ohne die Zulässigkeit nach dem Recht der Union oder der
Mitgliedstaaten vorsehen, sollten als Anhaltspunkt für fehelende Angemessenheit betrachtet werden. Die Übermittlung personenbezogener Daten an derartige Drittländer sollte daher verboten werden. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden.


(83) Bei Fehlen eines Angemessenheitsbeschlusses sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese Garantien können darin bestehen, dass auf verbindliche unternehmensinterne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln, von einer Aufsichtsbehörde genehmigte Vertragsklauseln oder auf sonstige geeignete, angemessene, aufgrund der Umstände einer Datenübermittlung oder einer Kategorie von Datenübermittlungen gerechtfertigte und von einer Aufsichtsbehörde gebilligte Maßnahmen zurückgegriffen wird. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(83) Bei Fehlen eines Angemessenheitsbeschlusses sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese Garantien können darin bestehen, dass auf verbindliche unternehmensinterne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. Durch diese geeigneten Garantien sollte die Achtung der Rechte betroffener Personen wie bei der Verarbeitung innerhalb der EU gewahrt werden, insbesondere hinsichtlich der Begrenzung des Zwecks sowie des Rechts auf Zugang, Berichtigung, Löschung und Forderung von Schadenersatz. Diese Garantien sollten insbesondere die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und die Rechte der betroffenen Personen gewährleisten, wirksame Rechtsbehelfe bereithalten, sicherstellen, dass die Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Voreinstellungen befolgt werden sowie gewährleisten, dass es einen Datenschutzbeauftragten gibt.


(84) Die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter offen stehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln zurückzugreifen, sollte den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter keinesfalls daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen zu verwenden oder ihnen weitere Klauseln hinzuzufügen, solange letztere weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Freiheiten der betroffenen Personen beschneiden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(84) Die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter offen stehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln zurückzugreifen, sollte den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter keinesfalls daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen zu verwenden oder ihnen weitere Klauseln oder ergänzende Garantien hinzuzufügen, solange letztere weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard- Datenschutzklauseln stehen oder die Grundrechte und Freiheiten der betroffenen Personen beschneiden. Die von der Kommission angenommenen Standarddatenschutzklauseln könnten unterschiedliche Situationen erfassen, insbesondere die Übermittlungen von für die Verarbeitung Verantwortlichen mit Sitz in der Europäischen Union an für die Verarbeitung Verantwortlichen mit Sitz außerhalb der Europäischen Union und von für die Verarbeitung Verantwortlichen mit Sitz in der Europäischen Union an Auftragsverarbeiter und Unterverarbeiter mit Sitz außerhalb der Europäischen Union. Den für die Verarbeitung Verantwortlichen und Auftragsverarbeitern sollte nahegelegt werden, mit zusätzlichen vertraglichen Verpflichtungen, welche die Standard-Schutzklauseln ergänzen, nochwirksamere Garantien zu bieten.


(85) Jede Unternehmensgruppe sollte für ihre grenzüberschreitenden Datenübermittlungen aus der Union an Organisationen der gleichen Unternehmensgruppe genehmigte verbindliche unternehmensinterne Datenschutzvorschriften anwenden dürfen, sofern in diesen unternehmensinternen Vorschriften Grundprinzipien und durchsetzbare Rechte enthalten sind, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(85) Jede Unternehmensgruppe sollte für ihre grenzüberschreitenden Datenübermittlungen aus der Union an Organisationen der gleichen Unternehmensgruppe genehmigte verbindliche unternehmensinterne Datenschutzvorschriften anwenden dürfen, sofern in diesen unternehmensinternen Vorschriften alle Grundprinzipien und durchsetzbaren Rechte enthalten sind, die
geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von  Übermittlungen personenbezogener Daten bieten.


(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.


(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten zuständigen Behörden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zolloder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich für die  Verhinderung von Geldwäsche und die Bekämpfung der Terrorismusfinanzierung,  zuständigen Behörden. Die Übermittlung von personenbezogenen Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen Person zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Die Übermittlung
personenbezogener Daten aus solch einem wichtigen öffentlichen Interesse sollte lediglich  für gelegentliche Übermittlungen verwendet werden. In jedem Fall sollte eine sorgfältige Beurteilung aller Umstände der Übermittlung erfolgen.


(88) Übermittlungen, die weder als häufig noch als massiv gelten können, sollten auch im Falle berechtigter Interessen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters möglich sein, wenn letztere sämtliche Umstände der Datenübermittlung geprüft haben. Bei der Verarbeitung zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(88) Bei der Verarbeitung zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden.


(89) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Schutzes vorliegt, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, durch die sichergestellt wird, dass die betroffenen Personen die für die Verarbeitung ihrer personenbezogenen Daten in der Union geltenden Rechte und Garantien genießen, sobald die Daten übermittelt sind. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(89) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Schutzes vorliegt, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, durch die rechtlich verbindlich sichergestellt wird, dass die betroffenen Personen die für die Verarbeitung ihrer personenbezogenen Daten in der Union geltenden Rechte und Garantien genießen, sobald die Daten übermittelt sind, soweit die Verarbeitung weder massiv noch wiederholt oder strukturiert ist. Diese Garantie sollte finanzielle Entschädigungsleistungen in Fällen des Verlusts oder eines unerlaubten Zugangs oder einer unerlaubten Verarbeitung von Daten sowie eine vom einzelstaatlichen Recht unabhängige Verpflichtung enthalten, vollständige Angaben über den Zugang zu den Daten durch Behörden im Drittstaat enthalten.


(90) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, durch die die Datenverarbeitungstätigkeiten von natürlichen und juristischen Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar reguliert werden. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets derartiger Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist. Die Bedingungen für das Bestehen eines wichtigen öffentlichen Interesses sollten von der Kommission in einem delegierten Rechtsakt näher festgelegt werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(90) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, durch die die Datenverarbeitungstätigkeiten von natürlichen und juristischen Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar reguliert werden. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets derartiger Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist. Die Bedingungen für das Bestehen eines wichtigen öffentlichen Interesses sollten von der Kommission in einem delegierten Rechtsakt näher festgelegt werden. In Fällen, in denen die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter mit unvereinbaren Anforderungen an die Einhaltung der Regelungen der EU einerseits und denjenigen eines Drittlands andererseits konfrontiert sind, sollte die Kommission dafür sorgen, dass Unionsrecht immer vorgeht. Die Kommission sollte dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter Orientierung und Hilfestellung bieten, und sie sollte versuchen, den Regelungskonflikt mit dem betreffenden Drittland zu lösen.


(91) Bei der Übermittlung personenbezogener Daten über Grenzen hinweg ist der Einzelne womöglich weniger in der Lage, seine Datenschutzrechte wahrzunehmen und sich insbesondere gegen die unrechtmäßige Nutzung oder Weitergabe dieser Informationen zu schützen. Zugleich können die Aufsichtsbehörden unter Umständen nicht in der Lage sein, Beschwerden nachzugehen oder Untersuchungen in Bezug auf Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats durchzuführen. Ihre Bemühungen um grenzübergreifende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, nicht übereinstimmende rechtliche Regelungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher bedarf es der Förderung einer engeren Zusammenarbeit zwischen den Datenschutz- Aufsichtsbehörden, damit sie Informationen austauschen und mit den Aufsichtsbehörden in anderen Ländern Untersuchungen durchführen können.


(92) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgabe völlig unabhängig erfüllen, ist ein wesentliches Element des Schutzes des Einzelnen im Hinblick auf die Verarbeitung personenbezogener Daten. Die Mitgliedstaaten können mehr als eine Aufsichtsbehörde errichten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(92) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgabe völlig unabhängig erfüllen, ist ein wesentliches Element des Schutzes des Einzelnen im Hinblick auf die Verarbeitung personenbezogener Daten. Die Mitgliedstaaten können mehr als eine
Aufsichtsbehörde errichten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Die Behörden müssen über angemessene finanzielle und personelle Ressourcen verfügen, um ihre Rolle vollständig wahrzunehmen, wobei
die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen ist.


(93) Errichtet ein Mitgliedstaat mehrere Aufsichtsbehörden, so sollte er durch ein Rechtsinstrument sicherstellen, dass diese Aufsichtsbehörden am Kohärenz-Verfahren beteiligt werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbehörde bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Behörden an dem Verfahren fungiert und eine rasche und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden, dem Europäischen Datenschutzausschuss und der Kommission gewährleistet.


(94) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig und angemessen sind. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(94) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal (unter besonderer
Berücksichtigung der Sicherstellung angemessener technischer und rechtlicher
Kenntnisse und Fähigkeiten des Personals), Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen
Aufsichtsbehörden in der gesamten Union, notwendig und angemessen sind.


 

(95) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihre Stellung enthalten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(95) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden, wobei dafür Sorge getragen wird, dass die Möglichkeit der politischen Einflussnahme minimiert wird; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder, die Vermeidung von Interessenskonflikten und die Stellung der Mitglieder enthalten.


(96) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander und mit der Kommission. (Stand 25.1.2012)


(97) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat statt, sollte eine einzige Aufsichtsbehörde für die Überwachung der Tätigkeit des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der gesamten Union zuständig sein und die entsprechenden Beschlüsse fassen, damit die einheitliche Anwendung der Vorschriften verbessert, Rechtssicherheit gewährleistet und der Verwaltungsaufwand der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verringert wird.(Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(97) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat statt, sollte eine einzige Aufsichtsbehörde als zentrale Anlaufstelle und federführende Behörde für die Überwachung der Tätigkeit des für die Verarbeitung Verantwortlichen oder  Auftragsverarbeiters in der gesamten Union zuständig sein und die entsprechenden Beschlüsse fassen, damit die einheitliche Anwendung der Vorschriften verbessert, Rechtssicherheit gewährleistet und der Verwaltungsaufwand der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verringert wird.


(98) Die zuständige Aufsichtsbehörde, die die Aufgaben einer solchen zentralen Kontaktstelle übernimmt, sollte die Aufsichtsbehörde des Mitgliedstaats sein, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung hat. (Stand 25.1.2012)


(99) Obgleich diese Verordnung auch für die Tätigkeit der nationalen Gerichte gilt, sollten – damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben unangetastet bleibt – die Aufsichtsbehörden nicht für personenbezogene Daten zuständig sein, die von Gerichten in ihrer gerichtlichen Eigenschaft verarbeitet werden. Diese Ausnahme sollte allerdings streng begrenzt werden auf rein justizielle Tätigkeiten in Gerichtsverfahren und sich nicht auf andere Tätigkeiten beziehen, mit denen je nach dem nationalen Recht Richter betraut sein können. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(98) Die federführende Behörde, die die Aufgaben einer solchen zentralen Kontaktstelle übernimmt, sollte die Aufsichtsbehörde des Mitgliedstaats sein, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung oder eine Vertretung hat. In bestimmten Fällen kann die federführende Behörde auf Antrag einer zuständigen Behörde im Rahmen des Kohärenzverfahrens vom Europäischen
Datenausschuss bestimmt werden.


 Änderung nach LIBE 21.10.2013: neu eingefügt

 (98a) Betroffene Personen, deren personenbezogene Daten von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in einem anderen Mitgliedstaat verarbeitet werden, sollten sich bei einer Aufsichtsbehörde ihrer Wahl beschweren können. Die federführende Datenschutzbehörde sollte ihre Arbeit mit der Arbeit der anderen betroffenen Behörden koordinieren.


(100) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und Befugnisse haben, darunter, insbesondere im Fall von Beschwerden Einzelner, Untersuchungsbefugnisse sowie rechtsverbindliche Interventions-, Beschluss- und Sanktionsbefugnisse sowie die Befugnis, Gerichtsverfahren anzustrengen. Die Aufsichtsbehörden sollten ihre Untersuchungsbefugnisse, was den Zugang zu Räumlichkeiten anbelangt, im Einklang mit dem Unionsrecht und dem einzelstaatlichen Recht ausüben. Dies betrifft vor allem das Erfordernis einer vorherigen richterlichen Genehmigung. (Stand 25.1.2012)


(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen entgegennehmen und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen oder von Verbänden, die im öffentlichen Interesse handeln, entgegennehmen und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person oder den Verband innerhalb eines
angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden.


(102) Die Aufklärungsmaßnahmen der Aufsichtsbehörden für die breite Öffentlichkeit sollten an die für die Verarbeitung Verantwortlichen, die Auftragsverarbeiter einschließlich Kleinst-, Klein- und Mittelunternehmen und die betroffenen Personen gerichtete spezifische Maßnahmen einschließen. (Stand 25.1.2012)


(103) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen, damit eine einheitliche Anwendung und Durchsetzung dieser Verordnung im Binnenmarkt gewährleistet ist. (Stand 25.1.2012)


(104) Jede Aufsichtsbehörde sollte berechtigt sein, an gemeinsamen Maßnahmen von Aufsichtsbehörden teilzunehmen. Die ersuchte Aufsichtsbehörde sollte auf das Ersuchen binnen einer festgelegten Frist antworten müssen. (Stand 25.1.2012)


(105) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenz-Verfahren) eingeführt werden, das die Aufsichtsbehörden verpflichtet, untereinander und mit der Kommission zusammenzuarbeiten. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme in Bezug auf Verarbeitungsvorgänge zu treffen, die mit dem Angebot von Waren oder Dienstleistungen für Personen in mehreren Mitgliedstaaten oder der Beobachtung des Verhaltens dieser Personen im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten erheblich beeinträchtigen könnten. Ferner sollte es zur Anwendung kommen, wenn eine Aufsichtsbehörde oder die Kommission beantragen, dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(105) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenzverfahren) eingeführt werden, das die Aufsichtsbehörden verpflichtet, untereinander und mit der Kommission zusammenzuarbeiten. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde
beabsichtigt, eine Maßnahme in Bezug auf Verarbeitungsvorgänge zu treffen, die mit
dem Angebot von Waren oder Dienstleistungen für Personen in mehreren Mitgliedstaaten oder der Beobachtung dieser Personen im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten erheblich beeinträchtigen könnten. Ferner sollte es
zur Anwendung kommen, wenn eine Aufsichtsbehörde oder die Kommission beantragen, dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Darüber hinaus sollten die betroffenen Personen das Recht haben, dass die Kohärenz durchgesetzt wird, wenn sie der Ansicht sind, dass eine Maßnahme einer Datenschutzbehörde eines Mitgliedstaats dieses Kriterium nicht erfüllt hat. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen.


(106) Bei Anwendung des Kohärenzverfahrens sollte der Europäische Datenschutzausschuss, falls von der einfachen Mehrheit seiner Mitglieder so entschieden wird oder falls eine andere Aufsichtsbehörde oder die Kommission darum ersuchen, binnen einer festgelegten Frist eine Stellungnahme abgeben. (Stand 25.1.2012)


Änderung nach LIBE 21.10.2013: neu eingefügt

(106a) Um die einheitliche Anwendung dieser Verordnung sicherzustellen, kann der Europäische Datenschutzausschuss in Einzelfällen einen Beschluss fassen, der für die zuständigen Aufsichtsbehörden verbindlich ist.


(107) Um die Übereinstimmung mit dieser Verordnung zu gewährleisten, kann die Kommission eine Stellungnahme in der Angelegenheit abgeben oder einen Beschluss fassen, der die Aufsichtsbehörde verpflichtet, die geplante Maßnahme auszusetzen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013: (entfällt)


(108) Es kann dringender Handlungsbedarf zum Schutz der Interessen von betroffenen Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung des Rechts einer betroffenen Person droht. Daher sollten die Aufsichtsbehörden bei der Anwendung des Kohärenzverfahrens einstweilige Maßnahmen mit einer festgelegten Geltungsdauer treffen können. (Stand 25.1.2012)


(109) Die Anwendung dieses Verfahrens sollte eine Bedingung für die rechtliche Gültigkeit und die Durchsetzung des entsprechenden Beschlusses durch eine Aufsichtsbehörde sein. In anderen Fällen von grenzübergreifender Relevanz können die betroffenen Aufsichtsbehörden auf bilateraler oder multilateraler Ebene Amtshilfe leisten und gemeinsame Untersuchungen durchführen, ohne auf das Kohärenz-Verfahren zurückzugreifen. (Stand 25.1.2012)


(110) Auf Unionsebene sollte ein Europäischer Datenschutzausschuss eingerichtet werden. Dieser ersetzt die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten gebildet werden. Die Kommission sollte sich an seinen Tätigkeiten beteiligen. Der Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Kommission beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern. Der Europäische Datenschutzausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(110) Auf Unionsebene sollte ein Europäischer Datenschutzausschuss eingerichtet werden. Dieser ersetzt die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten gebildet werden. Der Europäische Datenschutzausschuss
sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Organe der Europäischen Union beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern, einschließlich der Koordinierung gemeinsamer Maßnahmen. Der
Europäische Datenschutzausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln. Der Europäische Datenschutzausschuss sollte den Dialog mit den betroffenen Interessenträgern, wie Verbände betroffener Personen, Verbraucherorganisationen, für die Verarbeitung Verantwortliche sowie weitere relevante Interessenträger und Experten, stärken.


(111) Jede betroffene Person, die sich in ihren Rechten verletzt sieht, die ihr aufgrund dieser Verordnung zustehen, sollte das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen gerichtlichen Rechtsbehelf haben, wenn die Aufsichtsbehörde auf die Beschwerde nicht reagiert oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(111) Betroffene Personen, die sich in ihren Rechten verletzt sehen, die ihnen aufgrund  dieser Verordnung zustehen, sollten das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf im Sinne von Artikel 47 der Charta der Grundrechte haben, wenn die Aufsichtsbehörde auf die Beschwerde nicht reagiert oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.


(112) Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(112) Einrichtungen, Organisationen oder  Verbände, die im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person mit deren Einwilligung Beschwerde bei einer Aufsichtsbehörde  oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von der betroffenen Person dazu beauftragt werden, oder unabhängig von der Beschwerde einer
betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach  Vorschriften dieser Verordnung verletzt wurde.


(113) Jede natürliche oder juristische Person sollte das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde haben. Für Verfahren gegen eine Aufsichtsbehörde sollten die Gerichte des Mitgliedstaats zuständig sein, in dem die Aufsichtsbehörde ihren Sitz hat. (Stand 25.1.2012)


(114) Um den gerichtlichen Schutz der betroffenen Person in Situationen zu stärken, in denen die zuständige Aufsichtsbehörde ihren Sitz in einem anderen Mitgliedstaat als dem Mitgliedstaat hat, in dem die betroffene Person ansässig ist, sollte die betroffene Person eine Einrichtung, Organisation oder einen Verband, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben, darum ersuchen können, in ihrem Namen vor dem zuständigen Gericht in dem anderen Mitgliedstaat Klage gegen die Aufsichtsbehörde zu erheben. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(114) Um den gerichtlichen Schutz der betroffenen Person in Situationen zu stärken, in denen die zuständige Aufsichtsbehörde ihren Sitz in einem anderen Mitgliedstaat als dem
Mitgliedstaat hat, in dem die betroffene Person ansässig ist, sollte die betroffene Person eine Einrichtung, Organisation oder  einen Verband, die/der im öffentlichen Interesse handelt, beauftragen können, vor dem zuständigen Gericht in dem anderen Mitgliedstaat Klage gegen die Aufsichtsbehörde zu erheben.


(115) In Fällen, in denen die zuständige Aufsichtsbehörde mit Sitz in einem anderen Mitgliedstaat nicht tätig wird oder unzureichende Maßnahmen in Bezug auf eine Beschwerde getroffen hat, sollte die betroffene Person die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen können, vor dem zuständigen Gericht im anderen Mitgliedstaat Klage gegen die dortige Aufsichtsbehörde zu erheben. Die ersuchte Aufsichtsbehörde sollte entscheiden können, ob es angemessen ist, dem Ersuchen stattzugeben; diese Entscheidung sollte von einem Gericht nachgeprüft werden können. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(115) In Fällen, in denen die zuständige  Aufsichtsbehörde mit Sitz in einem anderen Mitgliedstaat nicht tätig wird oder  unzureichende Maßnahmen in Bezug auf eine Beschwerde getroffen hat, sollte die betroffene Person die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen können, vor dem zuständigen Gericht im anderen Mitgliedstaat Klage gegen die dortige Aufsichtsbehörde zu erheben. Dies gilt nicht für Personen, die außerhalb der EU ansässig sind. Die ersuchte Aufsichtsbehörde sollte entscheiden können, ob es angemessen ist, dem Ersuchen stattzugeben; diese Entscheidung sollte von einem Gericht nachgeprüft werden können.


(116) Bei Verfahren gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat; dies gilt nicht, wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(116) Bei Verfahren gegen für die  Verarbeitung Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat oder, im Fall des gewöhnlichen Aufenthalts in der EU, in dem die
betroffene Person ihren gewöhnlichen Aufenthalt hat; dies gilt nicht, wenn es sich
bei dem für die Verarbeitung Verantwortlichen um eine Behörde der Union oder eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.


(117) Gibt es Hinweise auf in verschiedenen Mitgliedstaaten anhängige Parallelverfahren, sollten die Gerichte verpflichtet sein, sich miteinander in Verbindung zu setzen. Die Gerichte sollten die Möglichkeit haben, ein Verfahren auszusetzen, wenn in einem anderen Mitgliedstaat ein Parallelverfahren anhängig ist. Die Mitgliedstaaten sollten sicherstellen, dass effiziente Klagemöglichkeiten vorhanden sind, mit denen rasch Maßnahmen zur Abstellung oder Verhinderung eines Verstoßes gegen diese Verordnung erwirkt werden können. (Stand 25.1.2012)


(118) Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden können, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(118) Finanzielle oder sonstige Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung  Verantwortlichen oder dem
Auftragsverarbeiter ersetzt werden, die nur dann von ihrer Haftung befreit werden   können, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.


(119) Gegen jede – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zu ihrer Anwendung treffen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(119) Gegen jede – privatem oder  öffentlichem Recht unterliegende – Person, die gegen diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zu ihrer Anwendung treffen. Die Vorschriften über Sanktionen sollten  angemessenen Verfahrensgarantien nach Maßgabe der allgemeinen Grundsätze des Unionsrechts und der Charta der Grundrechte unterliegen, einschließlich des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf und ein ordnungsgemäßes Verfahren und des  Verbots der doppelten Strafverfolgung (ne bis in idem).


Änderung nach LIBE 21.10.2013: neu eingefügt

(119a) Bei der Anwendung der Sanktionen sollten die Mitgliedstaaten angemessenen Verfahrensgarantien, einschließlich des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf und ein ordnungsgemäßes Verfahren und ein Verbot der doppelten Strafverfolgung (ne bis in idem) uneingeschränkte Beachtung schenken.


(120) Um die verwaltungsrechtlichen Sanktionen, die bei Verstößen gegen diese Verordnung verhängt werden können, zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, verwaltungsrechtliche Vergehen zu ahnden. Diese Vergehen sollten in dieser Verordnung zusammen mit der Obergrenze der entsprechenden Geldbußen aufgeführt werden, die in jedem Einzelfall im Verhältnis zu den besonderen Umständen des Falls und unter Berücksichtigung insbesondere der Art, Schwere und Dauer des Verstoßes festzusetzen sind. Abweichungen bei der Anwendung verwaltungsrechtlicher Sanktionen können im Kohärenzverfahren behandelt werden. (Stand 25.1.2012)


(121) Für die Verarbeitung personenbezogener Daten zu ausschließlich journalistischen Zwecken oder zu künstlerischen oder literarischen Zwecken sind Ausnahmen von bestimmten Vorschriften dieser Verordnung vorzusehen, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung und insbesondere dem Recht, Informationen zu empfangen und weiterzugeben, wie es unter anderem in Artikel 11 der Charta der Grundrechte der Europäischen Union garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten deshalb Rechtsvorschriften zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von Daten in Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden sowie in Bezug auf die Zusammenarbeit und die einheitliche Rechtsanwendung regeln. Die Mitgliedstaaten sollten dies jedoch nicht zum Anlass nehmen, Ausnahmeregelungen für die anderen Bestimmungen dieser Verordnung vorzusehen. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden. Die Mitgliedstaaten sollten deshalb für die nach dieser Verordnung zu regelnden Abweichungen und Ausnahmen Tätigkeiten als „journalistisch“ einstufen, wenn das Ziel dieser Tätigkeit in der Weitergabe von Informationen, Meinungen und Vorstellungen an die Öffentlichkeit besteht, unabhängig davon, auf welchem Wege dies geschieht. Diese Tätigkeiten sind mit oder ohne Erwerbszweck möglich und sollten nicht auf Medienunternehmen beschränkt werden. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(121) Sofern erforderlich, sollten für die Verarbeitung personenbezogener Daten Ausnahmen oder Abweichungen von bestimmten Vorschriften dieser Verordnung vorgesehen werden, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung und insbesondere dem Recht, Informationen zu empfangen und weiterzugeben, wie es unter anderem in Artikel 11 der Charta der Grundrechte der Europäischen Union garantiert ist, in Einklang zu bringen. Die Mitgliedstaaten sollten deshalb Rechtsvorschriften zur Regelung der Abweichungen und
Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten
notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in
Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den für die
Verarbeitung Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von
Daten in Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden sowie in Bezug auf die Zusammenarbeit, einheitliche Rechtsanwendung und spezifische Datenverarbeitungssituationen regeln. Die Mitgliedstaaten sollten dies jedoch nicht zum Anlass nehmen, Ausnahmeregelungen
für die anderen Bestimmungen dieser Verordnung vorzusehen. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu
tragen, sind Begriffe, die sich auf diese Freiheit beziehen, weit auszulegen, um alle Tätigkeiten, die auf die Weitergabe von Informationen, Meinungen und Vorstellungen an die Öffentlichkeit abzielen, unabhängig davon, welche Medien dafür herangezogen werden, zu  erfassen und auch technologischen Fortschritt zu berücksichtigen. Diese
Tätigkeiten sind mit oder ohne Erwerbszweck möglich und sollten nicht auf Medienunternehmen beschränkt werden.


(122) Für die Verarbeitung von personenbezogenen Gesundheitsdaten als besonderer Datenkategorie, die eines höheren Schutzes bedarf, lassen sich häufig berechtigte Gründe zugunsten des Einzelnen wie der Gesellschaft insgesamt anführen, insbesondere wenn es darum geht, die Kontinuität der Gesundheitsversorgung über die Landesgrenzen hinaus zu gewährleisten. Diese Verordnung sollte daher vorbehaltlich besonderer und geeigneter Garantien zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen die Bedingungen für die Verarbeitung personenbezogener Gesundheitsdaten harmonisieren. Dies schließt das Recht natürlicher Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. (Stand 25.1.2012)


  Änderung nach LIBE 21.10.2013: neu eingefügt

(122a) Eine Person, die beruflich personenbezogene Gesundheitsdaten verarbeitet, sollte, wenn möglich, anonymisierte oder pseudonymisierte Daten erhalten, sodass die Identität nur dem Hausarzt oder Spezialisten bekannt ist, der eine solche Verarbeitung von Daten angefordert hat.   


(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitnehmer, Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen
Parlaments und des Rates ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die  Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen
der Mortalität einschließen.

1 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70)


 Änderung nach LIBE 21.10.2013: neu eingefügt

(123a) Die Verarbeitung personenbezogener Gesundheitsdaten als eine Sonderkategorie von Daten kann für historische oder statistische Zwecke oder zum Zweck der wissenschaftlichen Forschung erforderlich sein. Daher sieht diese Verordnung eine  Ausnahme von dem Erfordernis der Einwilligung in Fällen der Forschung von hohem
öffentlichem Interesse vor.


(124) Die allgemeinen Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten auch im Beschäftigungskontext gelten. Die Mitgliedstaaten sollten daher in den Grenzen dieser Verordnung die Verarbeitung personenbezogener Daten im Beschäftigungskontext gesetzlich regeln können. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(124) Die allgemeinen Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten auch im Kontext von Beschäftigung und sozialer Sicherheit gelten. Die Mitgliedstaaten sollten gemäß den in dieser Verordnung festgelegten Vorschriften und Mindeststandards die Verarbeitung personenbezogener Daten im Beschäftigungskontext und die Verarbeitung personenbezogener Daten im Bereich der sozialen Sicherheit regeln können. Ist in einem Mitgliedsstaat eine gesetzliche Grundlage zur Regelung von Angelegenheiten des Beschäftigungsverhältnisses durch Vereinbarung zwischen den Arbeitnehmervertretern und der Leitung des Unternehmens oder des herrschenden Unternehmens einer Unternehmensgruppe (Kollektivvereinbarung) oder nach Maßgabe der Richtlinie 2009/38/EG des Europäischen Parlaments und des Rates1 vorgesehen, kann die Verarbeitung personenbezogener Daten im Beschäftigungskontext auch durch eine solche Vereinbarung geregelt werden können.

1 Richtlinie 2009/38/EG des Europäischen Parlaments und des Rates vom 6. Mai 2009 über die Einsetzung eines Europäischen Betriebsrats oder die Schaffung eines Verfahrens zur Unterrichtung und Anhörung der Arbeitnehmer in gemeinschaftsweit operierenden Unternehmen und Unternehmensgruppen (ABl. L 122 vom 16.5.2009, S. 28).


(125) Die Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung sollte, um rechtmäßig zu sein, auch anderen einschlägigen Rechtsvorschriften unter anderem zu klinischen Versuchen genügen. (Stand 25.1.2012)


 Änderung nach LIBE 21.10.2013: neu eingefügt

(125a) Personenbezogene Daten können anschließend auch durch Archivdienste verarbeitet werden, deren Hauptaufgabe oder rechtliche Pflicht darin besteht, Archivgut im Interesse der Öffentlichkeit zu erfassen, zu erhalten, bekanntzumachen, auszuwerten und zu verbreiten. Das Recht der Mitgliedstaaten sollte das Recht auf Schutz personenbezogener Daten mit den Rechtsvorschriften über Archive und den öffentlichen Zugang zu Verwaltungsinformationen in Einklang bringen. Die Mitgliedstaaten sollten sich dafür einsetzen, dass – insbesondere durch die Europäische Archivgruppe – Regeln erarbeitet werden, die die Vertraulichkeit von Daten gegenüber Dritten sowie die Authentizität, Vollständigkeit und ordnungsgemäße Erhaltung der Daten sicherstellen.


(126)Wissenschaftliche Forschung im Sinne dieser Verordnung sollte Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung einschließen und darüber hinaus dem in Artikel 179 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(126) Wissenschaftliche Forschung im Sinne dieser Verordnung sollte Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung einschließen und darüber hinaus dem in Artikel 179 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen. Die Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder wissenschaftlichen Forschungszwecken sollte nicht dazu führen, dass personenbezogene Daten zu anderen Zwecken verarbeitet werden, es sei denn, die betroffene Person stimmt ihr zu oder die Verarbeitung erfolgt auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats.


 (127) Hinsichtlich der Befugnisse der Aufsichtsbehörden, von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter Zugang zu personenbezogenen Daten oder zu seinen Räumlichkeiten zu erlangen, können die Mitgliedstaaten in den Grenzen dieser Verordnung den Schutz des Berufsgeheimnisses oder anderer gleichwertiger Geheimhaltungspflichten gesetzlich regeln, soweit dies notwendig ist, um das Recht auf Schutz der personenbezogenen Daten mit einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen. (Stand 25.1.2012)


(128) Im Einklang mit Artikel 17 des Vertrags über die Arbeitsweise der Europäischen Union achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht. Wendet eine Kirche in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an, sollten diese Regeln weiter gelten, wenn sie mit dieser Verordnung in Einklang gebracht werden. Kirchen und religiöse Vereinigungen oder Gemeinschaften sollten verpflichtet werden, eine völlig unabhängige Datenschutzaufsicht einzurichten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(128) Im Einklang mit Artikel 17 des Vertrags über die Arbeitsweise der Europäischen Union achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht. Wendet eine Kirche in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung angemessene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an, sollten diese Regeln weiter gelten, wenn sie mit dieser Verordnung in Einklang gebracht und als vereinbar anerkannt werden.


(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext und zu historischen und statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Festlegung der Bedingungen der Übermittlung auf Icons gestützter Informationen, das Recht auf Löschung, die Erklärung, dass Verhaltenskodizes mit der Verordnung vereinbar sind, die Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren, die Festlegung der Angemessenheit des Schutzniveaus in einem Drittland oder einer internationalen Organisation, die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, verwaltungsrechtliche Sanktionen, die Datenverarbeitung für Gesundheitszwecke und die Verarbeitung im Beschäftigungskontext. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt, insbesondere mit dem Europäischen Datenschutzausschuss. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gewährleisten, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat zeitgleich, rechtzeitig und in geeigneter Weise übermittelt werden.


(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern, Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz- Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für spezielle Arten der Erlangung einer nachprüfbaren Einwilligung für die Verarbeitung personenbezogener Daten von Kindern, Standardvorlagen für die Benachrichtigung der betroffenen Personen zur Wahrnehmung ihrer Rechte, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardvorlagen für das Auskunftsrecht, einschließlich der Mitteilung der personenbezogenen Daten an die betroffene Person, Standardvorlagen betreffend die von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter aufzubewahrende Dokumentation, die Standardvorlage für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und Dokumentation der Verletzung des Schutzes von  personenbezogenen Daten, Vorlagen für die vorherige Konsultation und Benachrichtigung der Aufsichtsbehörde. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates(*1) ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Kleinund Mittelunternehmen erwägen.

(*1) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen.


(131) Die Standardvorlagen für die Einwilligung im Falle von Kindern, die Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, die Standardvorlagen für die Unterrichtung der betroffenen Person, die Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, die Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, die besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, die Standards und Verfahren für Datenschutz-Folgenabschätzungen, die Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, die technischen Standards und Verfahren für die Zertifizierung, die Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, die Fälle der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, die Vorschriften für die Amtshilfe, für gemeinsame Maßnahmen und Beschlüsse im Rahmen des Kohärenzverfahrens sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(131) Standardvorlagen für spezielle Arten der Erlangung einer nachprüfbaren Einwilligung für die Verarbeitung personenbezogener Daten von Kindern, Standardvorlagen für die Benachrichtigung der betroffenen Personen zur Wahrnehmung ihrer Rechte, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardvorlagen für das Auskunftsrecht, einschließlich der Mitteilung der personenbezogenen Daten an die betroffene Person, Standardvorlagen betreffend die von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter aufzubewahrende Dokumentation, die Standardvorlage für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und Dokumentation der Verletzung des Schutzes von personenbezogenen Daten, Vorlagen für die vorherige Konsultation und Benachrichtigung der Aufsichtsbehörde sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.


(132) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, und sich auf Angelegenheiten beziehen, die von Aufsichtsbehörden im Rahmen des Kohärenzverfahrens mitgeteilt wurden, sofort geltende Durchführungsrechtsakte erlassen. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013: entfällt


(133) Da die Ziele dieser Verordnung, nämlich ein gleiches Maß an Datenschutz für den Einzelnen und freier Datenverkehr in der Union, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Verordnung nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus. (Stand 25.1.2012)


(134) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der Grundlage der Richtlinie 95/46/EG sollten jedoch in Kraft bleiben. (Stand 25.1.2012)

Änderung nach LIBE 21.10.2013:

(134) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der Grundlage der Richtlinie 95/46/EG sollten jedoch in Kraft bleiben. Die Beschlüsse der Kommission und die Genehmigungen der Aufsichtsbehörden in Bezug auf die  Übermittlung von personenbezogenen Daten an Drittstaaten gemäß Artikel 41 Absatz 8 sollten für einen Übergangszeitraum von fünf Jahren nach Inkrafttreten dieser Verordnung in Kraft bleiben, es sei denn, sie werden vor Ende dieses Zeitraums von der Kommission geändert, ersetzt oder aufgehoben.


(135) Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG festgelegten spezifischen Pflichten, die dasselbe Ziel verfolgen, unterliegen einschließlich der Pflichten des für die Verarbeitung Verantwortlichen und der Rechte des Einzelnen. Um das Verhältnis zwischen dieser Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. (Stand 25.1.2012)


(136) Für Island und Norwegen stellt diese Verordnung, soweit sie auf die Verarbeitung personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands dar. (Stand 25.1.2012)


(137) Für die Schweiz stellt diese Verordnung, soweit sie auf die Verarbeitung personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen- Besitzstands dar. (Stand 25.1.2012)


(138) Für Lichtenstein stellt diese Verordnung, soweit sie auf die Verarbeitung personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen- Besitzstands dar. (Stand 25.1.2012)


(139) Diese Verordnung steht, in Anbetracht des Umstands, dass, wie der Gerichtshof der Europäischen Union betont hat, das Recht auf Schutz der personenbezogenen Daten keine uneingeschränkte Geltung beanspruchen kann, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen werden und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss, im Einklang mit allen Grundrechten und Grundsätzen, die mit der Charta der Grundrechte der Europäischen Union anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, dem Recht auf Schutz personenbezogener Daten, der Gedanken-, Gewissens- und Religionsfreiheit, der Freiheit der Meinungsäußerung und der Informationsfreiheit, der unternehmerischen Freiheit, dem Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren sowie mit der Achtung der Vielfalt der Kulturen, Religionen und Sprachen –

(Visited 978 times, 1 visits today)