Art.34 – EU-DSGVO – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

> Art.34 - EU-DSGVO - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Art.34 - DSGVO - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012

Stand: 12.03.2014

Stand: 21.10.2013

 Stand: 27.04.2016

(ehem. Art. 32)

 Vorherige Genehmigung und vorherige Zurateziehung

 Vorherige Konsultation

 Vorherige Konsultation

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

1. Der für die Verarbeitung Verantwortliche oder gegebenenfalls der Auftragsverarbeiter holt vor der Verarbeitung personenbezogener Daten eine Genehmigung der Aufsichtsbehörde ein, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die Risiken zu mindern, welche für die betroffenen Personen bestehen, wenn dieser Vertragsklauseln nach Artikel 42 Absatz 2 Buchstabe d vereinbart oder keine geeigneten Garantien für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation in einem rechtsverbindlichen Instrument nach Artikel 42 Absatz 5 vorsieht.

  1. (entfällt) 1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

2. Der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

a) aus einer Datenschutz-Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

b) die Aufsichtsbehörde eine vorherige Zurateziehung bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

2. Der für die Verarbeitung Verantwortliche oder der  in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten den Datenschutzbeauftragten, oder wenn kein  Datenschutzbeauftragter benannt wurde, die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

a) aus einer Datenschutz- Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

b) der Datenschutzbeauftragte oder die Aufsichtsbehörde eine vorherigeKonsultation bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

2. Der für die Verarbeitung Verantwortliche zieht vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 33 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.

3. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

3. Falls die zuständige Aufsichtsbehörde im Rahmen ihrer Befugnisse feststellt, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

3. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 2 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der für die Verarbeitung Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem für die Verarbeitung der Daten Verantwortlichen spätestens sechs Wochen nach dem Antrag auf Konsultation schriftlich entsprechende Empfehlungen und kann ihre in Artikel 53 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um weitere sechs Wochen verlängert werden. Kommt es zu einer Fristverlängerung, wird der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter innerhalb eines Monats nach Eingang des Antrags über die Gründe für die Verzögerung informiert.

3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
     

a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,

b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,

c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Zurateziehung nach Absatz 2 Buchstabe b sind, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt derartige Listen an den Europäischen Datenschutzausschuss.

5. Wenn auf der in Absatz 4 genannten Liste Verarbeitungsvorgänge aufgeführt werden, die sich auf Waren oder Dienstleistungen beziehen, welche betroffenen Personen in mehreren Mitgliedstaaten angeboten werden, oder die dazu dienen sollen, das Verhalten dieser betroffenen Personen zu beobachten, oder die wesentliche Auswirkungen auf den freien Verkehr personenbezogener Daten in der Union haben können, bringt die Aufsichtsbehörde vor der Annahme der Liste das in Artikel 57 beschriebene Kohärenzverfahren zur Anwendung.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

8. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Bestimmung der in Absatz 2 Buchstabe a genannten hohen konkreten Risiken festzulegen.

9. Die Kommission kann Standardvorlagen und Verfahrensvorschriften für die in den Absätzen 1 und 2 genannte vorherige Genehmigung beziehungsweise Zurateziehung sowie für die in Absatz 6 vorgesehene Unterrichtung der Aufsichtsbehörde festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem  Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

4. Der Europäische Datenschutzausschuss erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Konsultation nach Absatz 2 sind, und veröffentlicht diese.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der  Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

 

 4. (entfällt)

6. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 2 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der für die Verarbeitung Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem für die Verarbeitung der Daten Verantwortlichen spätestens sechs Wochen nach dem Antrag auf Konsultation schriftlich entsprechende Empfehlungen und kann ihre in Artikel 53 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um weitere sechs Wochen verlängert werden. Kommt es zu einer Fristverlängerung, wird der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter innerhalb eines Monats nach Eingang des Antrags über die Gründe für die Verzögerung informiert.

a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des für die Verarbeitung Verantwortlichen, der gemeinsam für die Verarbeitung Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;

(b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;

(c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;

(d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

(e) die Datenschutz-Folgenabschätzung gemäß Artikel 33 und

(f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzesvorschriften oder von auf solchen Gesetzesvorschriften basierenden Regelungsvorschriften zu Rate, die die Verarbeitung personenbezogener Daten vorsehen.

7a. Ungeachtet des Absatzes 2 können für die Verarbeitung Verantwortliche durch Rechtsvorschriften der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung personenbezogener Daten zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung solcher Daten zu Zwecken des sozialen Schutzes und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 86

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 16.429 times, 1 visits today)

Kommentar

Art.34 - DSGVO - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012

Stand: 12.03.2014

Stand: 21.10.2013

 Stand: 27.04.2016

(ehem. Art. 32)

 Vorherige Genehmigung und vorherige Zurateziehung

 Vorherige Konsultation

 Vorherige Konsultation

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

1. Der für die Verarbeitung Verantwortliche oder gegebenenfalls der Auftragsverarbeiter holt vor der Verarbeitung personenbezogener Daten eine Genehmigung der Aufsichtsbehörde ein, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die Risiken zu mindern, welche für die betroffenen Personen bestehen, wenn dieser Vertragsklauseln nach Artikel 42 Absatz 2 Buchstabe d vereinbart oder keine geeigneten Garantien für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation in einem rechtsverbindlichen Instrument nach Artikel 42 Absatz 5 vorsieht.

  1. (entfällt) 1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

2. Der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

a) aus einer Datenschutz-Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

b) die Aufsichtsbehörde eine vorherige Zurateziehung bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

2. Der für die Verarbeitung Verantwortliche oder der  in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten den Datenschutzbeauftragten, oder wenn kein  Datenschutzbeauftragter benannt wurde, die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

a) aus einer Datenschutz- Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

b) der Datenschutzbeauftragte oder die Aufsichtsbehörde eine vorherigeKonsultation bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

2. Der für die Verarbeitung Verantwortliche zieht vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 33 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.

3. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

3. Falls die zuständige Aufsichtsbehörde im Rahmen ihrer Befugnisse feststellt, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

3. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 2 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der für die Verarbeitung Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem für die Verarbeitung der Daten Verantwortlichen spätestens sechs Wochen nach dem Antrag auf Konsultation schriftlich entsprechende Empfehlungen und kann ihre in Artikel 53 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um weitere sechs Wochen verlängert werden. Kommt es zu einer Fristverlängerung, wird der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter innerhalb eines Monats nach Eingang des Antrags über die Gründe für die Verzögerung informiert.

3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
     

a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,

b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,

c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Zurateziehung nach Absatz 2 Buchstabe b sind, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt derartige Listen an den Europäischen Datenschutzausschuss.

5. Wenn auf der in Absatz 4 genannten Liste Verarbeitungsvorgänge aufgeführt werden, die sich auf Waren oder Dienstleistungen beziehen, welche betroffenen Personen in mehreren Mitgliedstaaten angeboten werden, oder die dazu dienen sollen, das Verhalten dieser betroffenen Personen zu beobachten, oder die wesentliche Auswirkungen auf den freien Verkehr personenbezogener Daten in der Union haben können, bringt die Aufsichtsbehörde vor der Annahme der Liste das in Artikel 57 beschriebene Kohärenzverfahren zur Anwendung.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

8. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Bestimmung der in Absatz 2 Buchstabe a genannten hohen konkreten Risiken festzulegen.

9. Die Kommission kann Standardvorlagen und Verfahrensvorschriften für die in den Absätzen 1 und 2 genannte vorherige Genehmigung beziehungsweise Zurateziehung sowie für die in Absatz 6 vorgesehene Unterrichtung der Aufsichtsbehörde festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem  Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

4. Der Europäische Datenschutzausschuss erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Konsultation nach Absatz 2 sind, und veröffentlicht diese.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der  Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

 

 4. (entfällt)

6. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 2 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der für die Verarbeitung Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem für die Verarbeitung der Daten Verantwortlichen spätestens sechs Wochen nach dem Antrag auf Konsultation schriftlich entsprechende Empfehlungen und kann ihre in Artikel 53 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um weitere sechs Wochen verlängert werden. Kommt es zu einer Fristverlängerung, wird der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter innerhalb eines Monats nach Eingang des Antrags über die Gründe für die Verzögerung informiert.

a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des für die Verarbeitung Verantwortlichen, der gemeinsam für die Verarbeitung Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;

(b) die Zwecke und die Mittel der beabsichtigten Verarbeitung;

(c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;

(d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

(e) die Datenschutz-Folgenabschätzung gemäß Artikel 33 und

(f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzesvorschriften oder von auf solchen Gesetzesvorschriften basierenden Regelungsvorschriften zu Rate, die die Verarbeitung personenbezogener Daten vorsehen.

7a. Ungeachtet des Absatzes 2 können für die Verarbeitung Verantwortliche durch Rechtsvorschriften der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung personenbezogener Daten zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung solcher Daten zu Zwecken des sozialen Schutzes und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 86

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Vergleich zum BDSG

 

Handlungsbedarf für deutsche Unternehmen

 

 

(Visited 16.429 times, 1 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert