Art.23 – EU-DSGVO – Beschränkungen

> Art.23 - EU-DSGVO - Beschränkungen

Art.23 - DSGVO - Beschränkungen

<<ZURÜCK   Übersicht   VOR >>

Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015  Stand: 27.04.2016

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und
datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Beschränkungen

(ehem. Art. 21)

1. Der für die Verarbeitung Verantwortliche führt unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden.

1. Der für die Verarbeitung
Verantwortliche und gegebenenfalls der
Auftragsverarbeiter führt unter Berücksichtigung neuester technischer Errungenschaften, des Stands der Technik, bewährter internationaler Verfahren und den von der Verarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Zwecke und Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung geeignete und verhältnismäßige technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden, insbesondere, was die in Artikel 5 aufgeführten Grundsätze betrifft. Beim Datenschutz durch Technik wird dem gesamten Lebenszyklusmanagement personenbezogener Daten von der
Erhebung über die Verarbeitung bis zur
Löschung besondere Aufmerksamkeit
geschenkt und der Schwerpunkt
systematisch auf umfassende
Verfahrensgarantien hinsichtlich der
Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit
und Löschung personenbezogener Daten gelegt. Hat der für die Verarbeitung Verantwortliche eine
Datenschutzfolgenabschätzung gemäß
Artikel 33 vorgenommen, werden die
entsprechenden Ergebnisse bei der
Entwicklung dieser Maßnahmen und
Verfahren berücksichtigt.

1. Die für die Verarbeitung Verantwortlichen treffen unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Schwere und Eintrittswahrscheinlichkeit dieser Risiken für die Rechte und Freiheiten natürlicher Personen der Verarbeitungstätigkeit und ihren Zielen angemessene technische und organisatorische Maßnahmen – wie z.B. Datenminimierung und Pseudonymisierung –, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und dass die Rechte der betroffenen Personen geschützt werden.

1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
 

1a. Zur Förderung einer breiten Umsetzung in verschiedenen Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für Angebote im Rahmen von Ausschreibungen gemäß der Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates1 sowie gemäß der Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates2 (Sektorenrichtlinie) sein.

1a. (entfällt)

 
     

a) die nationale Sicherheit;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c, d, e und g genannten Zwecke verbunden sind;

i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j) die Durchsetzung zivilrechtlicher Ansprüche.

2. Der für die Verarbeitung Verantwortliche setzt Verfahren ein, die  sicherstellen, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass  vor allem nicht mehr personenbezogene Daten zusammengetragen oder vorgehalten werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

2. Der für die Verarbeitung Verantwortliche stellt sicher, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen, gespeichert oder verbreitet werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und dass die betroffenen Personen in der Lage sind, die Verbreitung ihrer personenbezogenen Daten zu kontrollieren.

2. Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung erforderlich sind; dies gilt für den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Besteht der Zweck der Verarbeitung nicht darin, der Öffentlichkeit Informationen zur Verfügung zu stellen, müssen diese Verfahren durch Voreinstellung sicherstellen, dass personenbezogene Daten grundsätzlich nicht ohne menschliches Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

 

 

2a. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 39 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.

 
     

a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,

b) die Kategorien personenbezogener Daten,

c) den Umfang der vorgenommenen Beschränkungen,

d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;

e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,

f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,

g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und

h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere Kriterien und Anforderungen in Bezug auf die in den Absätzen 1 und 2 genannten Maßnahmen und Verfahren festzulegen, speziell was die Anforderungen an den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen für ganze Sektoren und bestimmte Erzeugnisse und Dienstleistungen betrifft.

 3. (keine Änderung) 3.  (entfällt)  

4. Die Kommission kann technische Standards für die in den Absätzen 1 und 2 genannten Anforderungen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 4. (keine Änderung) 4. (entfällt)  
 

1 Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates vom 31. März 2004 über die Koordinierung der Verfahren zur Vergabe  ffentlicher Bauaufträge, Lieferaufträge und Dienstleistungsaufträge (ABl. L 134 vom 30.4.2004, S. 114).

2 Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates vom 31. März 2004 zur Koordinierung der Auftragsvergabe durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste (ABl. L 134 vom 30.4.2004, S. 1).

 

 

 <<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 73

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 2.751 times, 11 visits today)

Kommentar

Art.23 - DSGVO - Beschränkungen

<<ZURÜCK   Übersicht   VOR >>

Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015  Stand: 27.04.2016

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und
datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Beschränkungen

(ehem. Art. 21)

1. Der für die Verarbeitung Verantwortliche führt unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden.

1. Der für die Verarbeitung
Verantwortliche und gegebenenfalls der
Auftragsverarbeiter führt unter Berücksichtigung neuester technischer Errungenschaften, des Stands der Technik, bewährter internationaler Verfahren und den von der Verarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Zwecke und Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung geeignete und verhältnismäßige technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden, insbesondere, was die in Artikel 5 aufgeführten Grundsätze betrifft. Beim Datenschutz durch Technik wird dem gesamten Lebenszyklusmanagement personenbezogener Daten von der
Erhebung über die Verarbeitung bis zur
Löschung besondere Aufmerksamkeit
geschenkt und der Schwerpunkt
systematisch auf umfassende
Verfahrensgarantien hinsichtlich der
Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit
und Löschung personenbezogener Daten gelegt. Hat der für die Verarbeitung Verantwortliche eine
Datenschutzfolgenabschätzung gemäß
Artikel 33 vorgenommen, werden die
entsprechenden Ergebnisse bei der
Entwicklung dieser Maßnahmen und
Verfahren berücksichtigt.

1. Die für die Verarbeitung Verantwortlichen treffen unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Schwere und Eintrittswahrscheinlichkeit dieser Risiken für die Rechte und Freiheiten natürlicher Personen der Verarbeitungstätigkeit und ihren Zielen angemessene technische und organisatorische Maßnahmen – wie z.B. Datenminimierung und Pseudonymisierung –, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und dass die Rechte der betroffenen Personen geschützt werden.

1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
 

1a. Zur Förderung einer breiten Umsetzung in verschiedenen Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für Angebote im Rahmen von Ausschreibungen gemäß der Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates1 sowie gemäß der Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates2 (Sektorenrichtlinie) sein.

1a. (entfällt)

 
     

a) die nationale Sicherheit;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;

e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;

g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;

h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c, d, e und g genannten Zwecke verbunden sind;

i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

j) die Durchsetzung zivilrechtlicher Ansprüche.

2. Der für die Verarbeitung Verantwortliche setzt Verfahren ein, die  sicherstellen, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass  vor allem nicht mehr personenbezogene Daten zusammengetragen oder vorgehalten werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

2. Der für die Verarbeitung Verantwortliche stellt sicher, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen, gespeichert oder verbreitet werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und dass die betroffenen Personen in der Lage sind, die Verbreitung ihrer personenbezogenen Daten zu kontrollieren.

2. Der für die Verarbeitung Verantwortliche trifft geeignete Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung erforderlich sind; dies gilt für den Umfang der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Besteht der Zweck der Verarbeitung nicht darin, der Öffentlichkeit Informationen zur Verfügung zu stellen, müssen diese Verfahren durch Voreinstellung sicherstellen, dass personenbezogene Daten grundsätzlich nicht ohne menschliches Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf

 

 

2a. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 39 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.

 
     

a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien,

b) die Kategorien personenbezogener Daten,

c) den Umfang der vorgenommenen Beschränkungen,

d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;

e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,

f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,

g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und

h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere Kriterien und Anforderungen in Bezug auf die in den Absätzen 1 und 2 genannten Maßnahmen und Verfahren festzulegen, speziell was die Anforderungen an den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen für ganze Sektoren und bestimmte Erzeugnisse und Dienstleistungen betrifft.

 3. (keine Änderung) 3.  (entfällt)  

4. Die Kommission kann technische Standards für die in den Absätzen 1 und 2 genannten Anforderungen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 4. (keine Änderung) 4. (entfällt)  
 

1 Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates vom 31. März 2004 über die Koordinierung der Verfahren zur Vergabe  ffentlicher Bauaufträge, Lieferaufträge und Dienstleistungsaufträge (ABl. L 134 vom 30.4.2004, S. 114).

2 Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates vom 31. März 2004 zur Koordinierung der Auftragsvergabe durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste (ABl. L 134 vom 30.4.2004, S. 1).

 

 

 <<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 73

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 2.751 times, 11 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.