Verfahren : 2012/0011(COD)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : A7-0402/2013

Eingereichte Texte :

A7-0402/2013

Aussprachen :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Abstimmungen :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Angenommene Texte :

P7_TA(2014)0212

BERICHT     ***I
PDF 3742kWORD 3768k
22. November 2013
PE 501.927v05-00 A7-0402/2013

über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

Berichterstatter: Jan Philipp Albrecht

ÄND.
ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS
 BEGRÜNDUNG
 STELLUNGNAHME DES AUSSCHUSSES FÜR BESCHÄFTIGUNG UND SOZIALE ANGELEGENHEITEN
 STELLUNGNAHME DES AUSSCHUSSES FÜR INDUSTRIE, FORSCHUNG UND ENERGIE
 STELLUNGNAHME DES AUSSCHUSSES FÜR BINNENMARKT UND VERBRAUCHERSCHUTZ
 VERFAHREN

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS

zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

–   in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2012)0011),

–   gestützt auf die Artikel 294 Absatz 2, Artikel 16 Absatz 2 und 114 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7-0025/2012),

–   gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–   in Kenntnis der von der belgischen Abgeordnetenkammer, dem deutschen Bundesrat, dem französischen Senat, der italienischen Abgeordnetenkammer und dem schwedischen Parlament im Rahmen des Protokolls Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vorgelegten begründeten Stellungnahmen, in denen geltend gemacht wird, dass der Entwurf eines Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,

–   in Kenntnis der Stellungnahmen des Europäischen Wirtschafts- und Sozialausschusses(1),

–   nach Anhörung des Ausschusses der Regionen,

–   in Kenntnis der Stellungnahme des Europäischen Datenschutzbeauftragten vom 7. März 2012,

–   unter Hinweis auf die Stellungnahme der Agentur der Europäischen Union für Grundrechte vom 1. Oktober 2012,

–   gestützt auf Artikel 55 seiner Geschäftsordnung,

–   in Kenntnis des Berichts des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres sowie der Stellungnahmen des Ausschusses für Beschäftigung und soziale Angelegenheiten, des Ausschusses für Industrie, Forschung und Energie, des Ausschusses für Binnenmarkt und Verbraucherschutz und des Rechtsausschusses (A7-0402/2013),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

Änderungsantrag  1

Vorschlag für eine Verordnung

Erwägung 14

Vorschlag der Kommission

Geänderter Text

(14) Die Verordnung behandelt weder Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Datenverkehrs im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, noch die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union, für die die Verordnung (EG) Nr. 45/200144 maßgeblich ist, noch die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten.

(14) Die Verordnung behandelt weder Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Datenverkehrs im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen. Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates sollte mit dieser Verordnung in Einklang gebracht und im Einklang mit dieser Verordnung angewendet werden.

____________

______________

44 ABl. L 8 vom 12.1.2001, S. 1.

1 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

Änderungsantrag  2

Vorschlag für eine Verordnung

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Die Verordnung sollte nicht für die von einer natürlichen Person vorgenommene Verarbeitung von personenbezogenen Daten rein persönlicher oder familiärer Natur zu nichtgewerblichen Zwecken und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gelten, wie zum Beispiel das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen. Ebenfalls nicht ausgenommen werden sollten für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

(15) Die Verordnung sollte nicht für die von einer natürlichen Person vorgenommene Verarbeitung von personenbezogenen Daten rein persönlicher, familiärer oder häuslicher Natur ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit gelten, wie zum Beispiel das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder Privatverkäufe. Die Verordnung sollte jedoch auf die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen, Anwendung finden.

Änderungsantrag  3

Vorschlag für eine Verordnung

Erwägung 18

Vorschlag der Kommission

Geänderter Text

(18) Diese Verordnung ermöglicht es, dass bei der Anwendung ihrer Vorschriften der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird.

(18) Diese Verordnung ermöglicht es, dass bei der Anwendung ihrer Vorschriften der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Persönliche Daten in Dokumenten, die sich im Besitz einer Behörde oder öffentlichen Einrichtung befinden, können von dieser Behörde oder Einrichtung gemäß unionsrechtlichen oder mitgliedstaatlichen Vorschriften über den Zugang der Öffentlichkeit zu amtlichen Dokumenten offen gelegt werden, die das Recht auf Schutz der personenbezogenen Daten mit dem Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten in Einklang bringen und einen fairen Ausgleich der verschiedenen bestehenden Interessen schaffen.

Änderungsantrag  4

Vorschlag für eine Verordnung

Erwägung 20

Vorschlag der Kommission

Geänderter Text

(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten.

(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen gegen Entgelt oder unentgeltlich anzubieten oder diese Personen zu beobachten. Um festzustellen, ob dieser für die Verarbeitung Verantwortliche diesen betroffenen Personen in der Union Waren oder Dienstleistungen anbietet, sollte geprüft werden, ob er offensichtlich beabsichtigt, in einem oder mehreren Mitgliedstaaten der Union ansässigen betroffenen Personen Dienstleistungen anzubieten.

Änderungsantrag  5

Vorschlag für eine Verordnung

Erwägung 21

Vorschlag der Kommission

Geänderter Text

(21) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

(21) Ob eine Verarbeitungstätigkeit der Überwachung von Personen gilt, sollte daran festgemacht werden, ob sie – unabhängig von dem Ursprung der Daten und unabhängig davon, ob andere Daten, einschließlich Daten aus öffentlichen Registern und Bekanntmachungen in der Union, die von außerhalb der Union zugänglich sind, einschließlich mit der Absicht der Verwendung, oder der möglichen nachfolgenden Verwendung über sie erhoben werden – mit Hilfe von Datenverarbeitungstechniken verfolgt werden, durch die einer Person ein Profil zugeordnet wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

Änderungsantrag  6

Vorschlag für eine Verordnung

Erwägung 23

Vorschlag der Kommission

Geänderter Text

(23) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller Voraussicht nach zur Identifizierung der Person genutzt werden. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(23) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller Voraussicht nach zum unmittelbaren oder mittelbaren Identifizieren oder Herausgreifen der Person genutzt werden. Bei der Prüfung der Frage, ob Mittel nach allgemeinem Ermessen aller Voraussicht nach zur Identifizierung der Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei sowohl die zum Zeitpunkt der Verarbeitung verfügbare Technologie als auch die technologische Entwicklung zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Daten gelten, d. h. für Daten, die sich nicht auf eine bestimmte oder bestimmbare natürliche Person beziehen. Die Verordnung betrifft daher nicht die Verarbeitung solcher anonymen Daten, auch wenn sie für statistische und Forschungszwecke verwendet werden.

Änderungsantrag  7

Vorschlag für eine Verordnung

Erwägung 24

Vorschlag der Kommission

Geänderter Text

(24) Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind.

(24) Diese Verordnung sollte auf eine Verarbeitung angewandt werden, die Kennungen umfasst, die Geräte, Software-Anwendungen und -Tools oder Protokolle liefern, wie etwa IP-Adressen, Cookie-Kennungen und Funkfrequenzkennzeichnungen, es sei denn, diese Kennungen beziehen sich nicht auf eine bestimmte oder bestimmbare natürliche Person.

Änderungsantrag  8

Vorschlag für eine Verordnung

Erwägung 25

Vorschlag der Kommission

Geänderter Text

(25) Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen Handlung ermöglicht, die sicherstellt, dass der betreffenden Person bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten gibt, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Eine stillschweigende Einwilligung ohne Zutun der betroffenen Person stellt daher keine Einwilligung dar. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen Bereitstellung eingewilligt wird, erfolgen.

(25) Die Einwilligung sollte ausdrücklich mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung, die auf einer Entscheidung der betroffenen Person basiert, ermöglicht, die sicherstellt, dass der betreffenden Person bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten gibt. Eine eindeutige bestätigende Handlung könnte etwa das Anklicken eines Kästchens beim Besuch einer Internetseite oder jede sonstige Erklärung oder Verhaltensweise sein, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Schweigen, die bloße Nutzung eines Dienstes oder Untätigkeit sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen Bereitstellung eingewilligt wird, erfolgen.

Änderungsantrag  9

Vorschlag für eine Verordnung

Erwägung 29

Vorschlag der Kommission

Geänderter Text

(29) Die personenbezogenen Daten von Kindern müssen besonderen Schutz genießen, da Kinder sich der Risiken, Folgen, Vorsichtsmaßnahmen und ihrer Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Bei der Definition, wann eine Person als Kind gilt, sollte die Definition in der UN-Konvention über die Rechte des Kindes zugrunde gelegt werden.

(29) Die personenbezogenen Daten von Kindern müssen besonderen Schutz genießen, da Kinder sich der Risiken, Folgen, Vorsichtsmaßnahmen und ihrer Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Erfolgt die Datenverarbeitung mit Einwilligung der betroffenen Person in Bezug auf das unmittelbare Angebot von Waren oder Dienstleistungen an ein Kind bis zum vollendeten dreizehnten Lebensjahr, sollte die Einwilligung hierzu durch die Eltern oder den rechtlichen Vertreter des Kindes oder mit deren Zustimmung erteilt werden. Sind die Adressaten Kinder, sollte altersgerechte Sprache verwendet werden. Andere Gründe der rechtmäßigen Verarbeitung, etwa Gründe des öffentlichen Interesses, sollten anwendbar bleiben, etwa Verarbeitung im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden.

Änderungsantrag  10

Vorschlag für eine Verordnung

Erwägung 31

Vorschlag der Kommission

Geänderter Text

(31) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt.

(31) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt. Bei Kindern oder nicht geschäftsfähigen Personen sollte das Unionsrecht oder das Recht der Mitgliedstaaten die Voraussetzungen für die Einwilligung oder die Zustimmung zur Einwilligung dieser Person regeln.

 

Änderungsantrag  11

Vorschlag für eine Verordnung

Erwägung 32

Vorschlag der Kommission

Geänderter Text

(32) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte die Beweislast, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat, bei dem für die Verarbeitung Verantwortlichen liegen. Vor allem bei Abgabe einer schriftlichen Erklärung in anderem Zusammenhang sollten Vorkehrungen getroffen werden, die sicherstellen, dass die betroffene Person weiß, dass und wozu sie ihre Einwilligung erteilt.

(32) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte die Beweislast, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat, bei dem für die Verarbeitung Verantwortlichen liegen. Vor allem bei Abgabe einer schriftlichen Erklärung in anderem Zusammenhang sollten Vorkehrungen getroffen werden, die sicherstellen, dass die betroffene Person weiß, dass und wozu sie ihre Einwilligung erteilt. Um den Grundsatz der Datenminimierung einzuhalten, sollte die Beweislast nicht so verstanden werden, dass sie die positive Identifizierung der betroffenen Personen erfordert, es sei denn, diese ist notwendig. In Anlehnung an die Regelungen des Zivilrechts (z. B. Richtlinie 93/13/EWG1) sollten Datenschutzregelungen so klar und transparent wie möglich sein. Sie sollten keine verborgenen oder nachteiligen Klauseln enthalten. In die Verarbeitung von personenbezogenen Daten Dritter kann nicht eingewilligt werden.

 

1 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).

Änderungsantrag  12

Vorschlag für eine Verordnung

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33) Um sicherzugehen, dass die Einwilligung ohne Zwang erfolgt, sollte klargestellt werden, dass die Einwilligung keine rechtswirksame Grundlage für die Verarbeitung liefert, wenn die betreffende Person keine echte Wahlfreiheit hat und somit nicht in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden.

(33) Um sicherzugehen, dass die Einwilligung ohne Zwang erfolgt, sollte klargestellt werden, dass die Einwilligung keine rechtswirksame Grundlage für die Verarbeitung liefert, wenn die betreffende Person keine echte Wahlfreiheit hat und somit nicht in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch Nachteile zu erleiden. Dies ist insbesondere dann der Fall, wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde handelt, die aufgrund ihrer einschlägigen hoheitlichen Befugnisse eine Verpflichtung auferlegen kann und die Einwilligung deshalb nicht als ohne Zwang abgegeben gelten kann. Die Verwendung von Voreinstellungen, die die betroffene Person verändern muss, um der Verarbeitung zu widersprechen, wie etwa standardmäßig angekreuzte Kästchen, drückt keine freie Einwilligung aus. Die Einwilligung für die Verarbeitung zusätzlicher personenbezogener Daten, die für die Bereitstellung von Dienstleistungen nicht notwendig sind, sollten für die Verwendung dieser Dienstleistungen nicht verlangt werden. Wird die Einwilligung widerrufen, so kann dies zur Beendigung oder Nichterbringung einer Dienstleistung führen, die von den personenbezogenen Daten abhängig ist. Kann nicht eindeutig festgestellt werden, ob der beabsichtigte Zweck noch besteht, sollte der für die Verarbeitung Verantwortliche in regelmäßigen Abständen die betroffene Person über die Verarbeitung unterrichten und eine erneute Bestätigung ihrer Einwilligung verlangen.

Änderungsantrag  13

Vorschlag für eine Verordnung

Erwägung 34

Vorschlag der Kommission

Geänderter Text

(34) Die Einwilligung liefert keine rechtliche Handhabe für die Verarbeitung personenbezogener Daten, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Dies ist vor allem dann der Fall, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden. Handelt es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde, bestünde ein Ungleichgewicht nur bei Verarbeitungsvorgängen, bei denen die Behörde aufgrund ihrer jeweiligen obrigkeitlichen Befugnisse eine Verpflichtung auferlegen kann und deshalb die Einwilligung nicht als ohne Zwang abgegeben gelten kann, wobei die Interessen der betroffenen Person zu berücksichtigen sind.

entfällt

Änderungsantrag  14

Vorschlag für eine Verordnung

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36) Erfolgt die Verarbeitung durch den für die Verarbeitung Verantwortlichen aufgrund einer ihm obliegenden gesetzlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt erforderlich, muss hierfür eine Rechtsgrundlage im Unionsrecht oder im nationalen Recht bestehen, die im Falle einer Beschneidung von Rechten und Freiheiten den Anforderungen der Charta der Grundrechte der Europäischen Union genügt. Desgleichen muss im Unionsrecht oder im nationalen Recht geregelt werden, ob es sich bei dem für die Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln soll.

(36) Erfolgt die Verarbeitung durch den für die Verarbeitung Verantwortlichen aufgrund einer ihm obliegenden gesetzlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher Gewalt erforderlich, muss hierfür eine Rechtsgrundlage im Unionsrecht oder im nationalen Recht bestehen, die im Falle einer Beschneidung von Rechten und Freiheiten den Anforderungen der Charta der Grundrechte der Europäischen Union genügt. Dies schließt auch Tarifverträge ein, die nach einzelstaatlichem Recht für allgemein verbindlich erklärt werden können. Desgleichen muss im Unionsrecht oder im nationalen Recht geregelt werden, ob es sich bei dem für die Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln soll.

Änderungsantrag  15

Vorschlag für eine Verordnung

Erwägung 38

Vorschlag der Kommission

Geänderter Text

(38) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines für die Verarbeitung Verantwortlichen begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Die betroffene Person sollte das Recht haben, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen. Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr Widerspruchsrecht zu belehren. Da es dem Gesetzgeber obliegt, per Gesetz die Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen.

(38) Die berechtigten Interessen eines für die Verarbeitung Verantwortlichen oder, im Fall der Weitergabe, die berechtigten Interessen eines Dritten, dem die Daten weitergegeben wurden, können eine Rechtsgrundlage für die Verarbeitung darstellen, sofern die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden und die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte von der Verarbeitung, die auf pseudonymisierte Daten beschränkt ist, vermutet werden, dass die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Die betroffene Person sollte das Recht haben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen. Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr Widerspruchsrecht zu belehren. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss könnten die Interessen und Grundrechte der betroffenen Person das Interesse des für die Verarbeitung Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Gesetz die Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen.

Änderungsantrag  16

Vorschlag für eine Verordnung

Erwägung 39

Vorschlag der Kommission

Geänderter Text

(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT beziehungsweise Computer Security Incident Response Teams - CSIRT), Betreiber von elektronischen Kommunikationsnetzen und –diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes, die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of access“-Angriffe) sowie Schädigungen von Computer- und elektronischen Kommunikationssystemen zu verhindern.

(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und –diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, Störungen oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes, die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of access“-Angriffe) sowie Schädigungen von Computer- und elektronischen Kommunikationssystemen zu verhindern. Dieser Grundsatz gilt auch für die Verarbeitung personenbezogener Daten zur Beschränkung missbräuchlichen Zugangs zu und die Verwendung von öffentlich zugänglichen Netzwerken oder Informationssystemen, wie das Führen schwarzer Listen von elektronischen Kennungen.

Änderungsantrag  17

Vorschlag für eine Verordnung

Erwägung 39 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(39a) Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte die Vermutung gelten, dass die Verhütung oder Begrenzung von Schäden beim für die Datenverarbeitung Verantwortlichen für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Dieser Grundsatz gilt auch für die Durchsetzung von Rechtsansprüchen gegen eine betroffene Person, wie die Einziehung von Forderungen oder zivilrechtliche Schadensersatzansprüche und Rechtsbehelfe.

Änderungsantrag  18

Vorschlag für eine Verordnung

Erwägung 39 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(39b) Sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sollte die Vermutung gelten, dass die Verarbeitung personenbezogener Daten zum Zwecke der Direktvermarktung für eigene oder ähnliche Waren und Dienstleistungen oder zum Zwecke der Direktvermarktung auf dem Postweg für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden, wenn gut sichtbare Informationen über das Widerspruchsrecht und die Quelle der personenbezogenen Daten angegeben werden. Die Verarbeitung von Angaben über Geschäftskontakte sollten im Allgemeinen so betrachtet werden, dass sie für die berechtigten Interessen des für die Datenverarbeitung Verantwortlichen oder, im Fall der Weitergabe, für die berechtigten Interessen des Dritten, an den die Daten weitergegeben wurden, durchgeführt wird und die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllt werden. Dies sollte auch für die Verarbeitung personenbezogener Daten gelten, die die betroffene Person offenkundig veröffentlicht hat.

Änderungsantrag  19

Vorschlag für eine Verordnung

Erwägung 40

Vorschlag der Kommission

Geänderter Text

(40) Die Verarbeitung personenbezogener Daten für andere Zwecke sollte nur zulässig sein, wenn diese mit den Zwecken, für die sie ursprünglich erhoben wurden, vereinbar sind, beispielsweise dann, wenn die Verarbeitung für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist. Ist der andere Zweck nicht mit dem ursprünglichen Zweck, für den die Daten erhoben wurden, vereinbar, muss der für die Verarbeitung Verantwortliche hierfür die Einwilligung der betroffenen Person einholen oder die Verarbeitung auf einen anderen Rechtmäßigkeitsgrund stützen, der sich beispielsweise aus dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, ergibt. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze angewandt werden und die betroffene Person über diese anderen Zwecke unterrichtet wird.

entfällt

Änderungsantrag  20

Vorschlag für eine Verordnung

Erwägung 41

Vorschlag der Kommission

Geänderter Text

(41) Personenbezogene Daten, die ihrem Wesen nach besonders sensibel und anfällig für eine Verletzung von Grundrechten oder der Privatsphäre sind, bedürfen eines besonderen Schutzes. Derartige Daten dürfen nicht ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot sollten im Bedarfsfall jedoch ausdrücklich vorgesehen werden, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.

entfällt

Änderungsantrag  21

Vorschlag für eine Verordnung

Erwägung 42

Vorschlag der Kommission

Geänderter Text

(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden soll, oder wenn die Verarbeitung historischen oder statistischen Zwecke oder wissenschaftliche Forschungszwecken dient.

(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden soll, oder wenn die Verarbeitung historischen oder statistischen Zwecken oder wissenschaftlichen Forschungszwecken oder Archivdiensten dient.

Änderungsantrag  22

Vorschlag für eine Verordnung

Erwägung 45

Vorschlag der Kommission

Geänderter Text

(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten zu lokalisieren.

(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten zu lokalisieren. Ist es der betroffenen Person möglich, diese Informationen bereitzustellen, sollte der für die Verarbeitung Verantwortliche nicht die Möglichkeit haben, sich auf einen Mangel an Informationen zu berufen, um ein Ersuchen um Zugang abzulehnen.

Änderungsantrag  23

Vorschlag für eine Verordnung

Erwägung 47

Vorschlag der Kommission

Geänderter Text

(47) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr nach diese Verordnung zustehenden Rechte wahrzunehmen, etwa dass sie ein kostenfreies Auskunftsrecht oder ein Recht auf Berichtigung oder Löschung von Daten besitzt oder von ihrem Widerspruchsrecht Gebrauch machen kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, innerhalb einer bestimmten Frist auf das Ansuchen der betroffenen Person zu antworten und eine etwaige Ablehnung des Ansuchens zu begründen.

(47) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr nach dieser Verordnung zustehenden Rechte und etwa das Recht auf kostenfreie Auskunft oder das Recht auf Berichtigung oder Löschung der Daten wahrzunehmen oder von ihrem Widerspruchsrecht Gebrauch zu machen. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, innerhalb einer angemessenen Frist auf das Ansuchen der betroffenen Person zu antworten und eine etwaige Ablehnung des Ansuchens zu begründen

Änderungsantrag  24

Vorschlag für eine Verordnung

Erwägung 48

Vorschlag der Kommission

Geänderter Text

(48) Die Grundsätze von Treu und Glauben und Transparenz bei der Verarbeitung setzen voraus, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde.

(48) Die Grundsätze von Treu und Glauben und Transparenz bei der Verarbeitung setzen voraus, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die voraussichtliche Speicherdauer für den jeweiligen Zweck, ob Daten an Dritte oder in Drittstaaten übermittelt werden sollen, die betreffenden Widerspruchsmöglichkeiten und das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert werden sollte. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Diese Information sollte den betroffenen Personen nach der Bereitstellung vereinfachter Informationen in Form standardisierter Icons präsentiert werden, was auch bedeuten kann, dass sie leicht zugänglich ist. Das sollte auch bedeuten, dass personenbezogene Daten in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, ihre Rechte wirksam wahrzunehmen.

Änderungsantrag  25

Vorschlag für eine Verordnung

Erwägung 50

Vorschlag der Kommission

Geänderter Text

(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung der Fall sein; als Anhaltspunkt können dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige Ausgleichsmaßnahmen dienen.

(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist.

Änderungsantrag  26

Vorschlag für eine Verordnung

Erwägung 51

Vorschlag der Kommission

Geänderter Text

(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling basiert. Dabei dürfen die Grundrechte und Grundfreiheiten anderer Personen, etwa das Geschäftsgeheimnis oder die Rechte an geistigem Eigentum und insbesondere das Urheberrecht an Software, nicht angetastet werden. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte einen Anspruch darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie voraussichtlich gespeichert werden, wer die Empfänger der Daten sind, nach welcher allgemeinen Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann. Dabei sollten die Grundrechte und Grundfreiheiten anderer Personen, etwa das Geschäftsgeheimnis oder das geistige Eigentum. etwa im Zusammenhang mit Urheberrechten an Software, nicht angetastet werden. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

Änderungsantrag  27

Vorschlag für eine Verordnung

Erwägung 53

Vorschlag der Kommission

Geänderter Text

(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein ‚Recht auf Vergessenwerden’, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Dieses Recht ist besonders wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die Daten – besonders die im Internet gespeicherten – später löschen möchte. Die weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten anstatt ihrer Löschung gerechtfertigt ist.

(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein Recht auf Löschung, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Die weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten anstatt ihrer Löschung gerechtfertigt ist. Auch sollte das Recht auf Löschung nicht gelten, wenn die Speicherung personenbezogener Daten notwendig ist, um einen Vertrag mit der betroffenen Person zu erfüllen, oder wenn die Speicherung dieser Daten gesetzlich vorgeschrieben ist.

Änderungsantrag  28

Vorschlag für eine Verordnung

Erwägung 54

Vorschlag der Kommission

Geänderter Text

(54) Um dem ‚Recht auf Vergessenwerden’ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung so weit gehen, dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, die Pflicht hat, Dritten, die diese Daten verarbeiten, mitzuteilen, dass eine betroffene Person die Löschung von Links zu diesen Daten oder von Kopien oder Reproduktionen dieser Daten verlangt. Der für die Verarbeitung Verantwortliche sollte im Hinblick auf Daten, für deren Veröffentlichung er die Verantwortung trägt, alle vertretbaren Schritte, auch technischer Art, unternehmen, damit diese Information die betroffenen Dritten auch tatsächlich erreicht. Werden personenbezogene Daten von Dritten veröffentlicht, sollte der für die Verarbeitung Verantwortliche für die Veröffentlichung in die Pflicht genommen werden, wenn er die Veröffentlichung gestattet hat.

(54) Um dem „Recht auf Löschung“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung so weit gehen, dass ein für die Verarbeitung Verantwortlicher, der die personenbezogenen Daten ohne rechtlichen Grund öffentlich gemacht hat, die Pflicht hat, alle notwendigen Schritte zu unternehmen, um die Daten, auch bei Dritten, zu löschen, wobei das Recht der betroffenen Person unberührt bleibt, Schadensersatz zu verlangen.

Änderungsantrag  29

Vorschlag für eine Verordnung

Erwägung 54 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(54a) Vom Betroffenen bestrittene Daten, deren Richtigkeit oder Unrichtigkeit sich nicht feststellen lässt, sollten bis zur Klärung der Angelegenheit gesperrt werden.

Änderungsantrag  30

Vorschlag für eine Verordnung

Erwägung 55

Vorschlag der Kommission

Geänderter Text

(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat.

(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Die für Datenverarbeitung Verantwortlichen sollten dazu angehalten werden sollte nahegelegt werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat. Anbieter von Diensten der Informationsgesellschaft sollten die Übertragung dieser Daten für die Bereitstellung ihrer Dienste nicht verbindlich vorschreiben.

 

Änderungsantrag  31

Vorschlag für eine Verordnung

Erwägung 56

Vorschlag der Kommission

Geänderter Text

(56) In Fällen, in denen die personenbezogenen Daten zum Schutz der lebenswichtigen Interessen der betroffenen Person oder im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder aufgrund der berechtigten Interessen des für die Verarbeitung Verantwortlichen rechtmäßig verarbeitet werden dürfen, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sie betreffenden Daten einzulegen. Die Beweislast sollte bei dem für die Verarbeitung Verantwortlichen liegen, der darlegen muss, dass seine berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

(56) In Fällen, in denen die personenbezogenen Daten zum Schutz der lebenswichtigen Interessen der betroffenen Person oder im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder aufgrund der berechtigten Interessen des für die Verarbeitung Verantwortlichen rechtmäßig verarbeitet werden dürfen, sollte jede betroffene Person trotzdem das Recht haben, unentgeltlich und auf einfache und effektive Weise Widerspruch gegen die Verarbeitung der sie betreffenden Daten einzulegen. Die Beweislast sollte bei dem für die Verarbeitung Verantwortlichen liegen, der darlegen muss, dass seine berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

Änderungsantrag  32

Vorschlag für eine Verordnung

Erwägung 57

Vorschlag der Kommission

Geänderter Text

(57) Werden personenbezogene Daten verarbeitet, um Direktwerbung für nichtkommerzielle Zwecke zu betreiben, sollte die betroffene Person unentgeltlich, einfach und effektiv Widerspruch gegen eine solche Verarbeitung einlegen können.

(57) Hat die betroffene Person das Recht, der Verarbeitung zu widersprechen, sollte der für die Verarbeitung Verantwortliche dies der betroffenen Person ausdrücklich und in verständlicher Art und Form unter Verwendung einer klaren und einfachen Sprache zur Verfügung stellen und diese klar von anderen Informationen trennen.

Änderungsantrag  33

Vorschlag für eine Verordnung

Erwägung 58

Vorschlag der Kommission

Geänderter Text

(58) Eine natürliche Person braucht sich keiner Maßnahme unterwerfen lassen, die auf Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche Maßnahme sollte allerdings erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden werden wie der Unterrichtung der betroffenen Person oder dem Anspruch auf direkten persönlichen Kontakt sowie dem generellen Ausschluss von Kindern von einer solchen Maßnahme.

(58) Unbeschadet der Rechtmäßigkeit der Datenverarbeitung sollte jede natürliche Person das Recht haben, dem Profiling zu widersprechen. Profiling, das Maßnahmen zur Folge hat, durch die sich rechtliche Konsequenzen für die betroffene Person ergeben, oder die ähnlich erhebliche Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat, sollte nur erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden werden, einschließlich der spezifischen Unterrichtung der betroffenen Person und dem Anspruch auf persönliche Prüfung sowie dem Ausschluss von Kindern von einer solchen Maßnahme. Diese Maßnahmen sollten nicht dazu führen, dass Menschen aufgrund ihrer Rasse, ethnischer Herkunft, politischen Überzeugung, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, sexueller Orientierung oder Geschlechtsidentität diskriminiert werden.

Änderungsantrag  34

Vorschlag für eine Verordnung

Erwägung 58 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(58a) Stützt sich das Profiling ausschließlich auf die Verarbeitung pseudonymisierter Daten, sollte die Vermutung gelten, dass es keine erheblichen Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat. Erlaubt das Profiling, sei es auf Grundlage einer einzigen Quelle pseudonymisierter Daten oder einer Sammlung pseudonymisierter Daten aus verschiedenen Quellen, dem für die Verarbeitung Verantwortlichen pseudonymisierte Daten einer spezifischen betroffenen Person zuzuordnen, sollten die verarbeiteten Daten nicht länger als pseudonymisiert betrachtet werden.

Änderungsantrag  35

Vorschlag für eine Verordnung

Erwägung 59

Vorschlag der Kommission

Geänderter Text

(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch, von Maßnahmen, die auf der Erstellung von Profilen beruhen, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen gehört, und um sonstige öffentliche Interessen der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.

(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Berichtigung, Löschung oder des Rechts auf Zugang oder Herausgabe von Daten und des Widerspruchrechts, von Profiling, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen gehört, und um sonstige spezifische und klar definierte öffentliche Interessen der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen.

Änderungsantrag  36

Vorschlag für eine Verordnung

Erwägung 60

Vorschlag der Kommission

Geänderter Text

(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung personenbezogener Daten sollte umfassend geregelt werden. Insbesondere sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dies auch nachweisen müssen.

(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung personenbezogener Daten sollte umfassend geregelt werden, insbesondere im Hinblick auf Dokumentation, Datensicherheit, Folgenabschätzungen, Datenschutzbeauftragte und Kontrolle durch Datenschutzbehörden. Insbesondere sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dazu auch in der Lage sein. Dies sollte von unabhängigen internen oder externen Prüfern überprüft werden.

Änderungsantrag  37

Vorschlag für eine Verordnung

Erwägung 61

Vorschlag der Kommission

Geänderter Text

(61) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungsvorgänge als auch zum Zeitpunkt der Verarbeitung getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Anforderungen sicherzustellen und nachzuweisen, sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.

(61) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungsvorgänge als auch zum Zeitpunkt der Verarbeitung getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Anforderungen sicherzustellen und nachzuweisen, sollte der für die Verarbeitung Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Der Grundsatz des Datenschutzes durch Technik verlangt, dass der Datenschutz während des gesamten Lebenszyklus der Technologie eingebaut sein muss, von der frühesten Entwicklungsphase über ihre endgültige Einführung und Verwendung bis zur endgültigen Außerbetriebnahme. Das sollte auch die Verantwortlichkeit für die Waren und Dienstleistungen, die von dem für die Verarbeitung Verantwortlichen oder von dem Auftragsverarbeiter verwendet werden, einschließen. Der Grundsatz der datenschutzfreundlichen Voreinstellungen verlangt auf Diensten und Waren installierte Einstellungen zum Schutz der Privatsphäre, die standardmäßig mit den allgemeinen Grundsätzen des Datenschutzes vereinbar sein sollten, wie etwa mit dem Grundsatz der Datenminimierung und dem Grundsatz der Zweckbeschränkung.

Änderungsantrag  38

Vorschlag für eine Verordnung

Erwägung 62

Vorschlag der Kommission

Geänderter Text

(62) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, -bedingungen und -mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird.

(62) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bedarf es – auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Verteilung der Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird. Die Regelung zwischen den gemeinsam für die Verarbeitung Verantwortlichen sollte die tatsächlichen Aufgaben und Beziehungen der gemeinsam für die Verarbeitung Verantwortlichen widerspiegeln. Die Verarbeitung personenbezogener Daten nach Maßgabe dieser Verordnung sollte auch die Möglichkeit umfassen, dass der für die Verarbeitung Verantwortliche den gemeinsam für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter die Daten zum Zwecke der Datenverarbeitung in deren Namen übermittelt.

Änderungsantrag  39

Vorschlag für eine Verordnung

Erwägung 63

Vorschlag der Kommission

Geänderter Text

(63) Jeder für die Verarbeitung Verantwortliche ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf in der Union ansässige betroffene Personen beziehen und dazu dienen, diesen Personen Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, dieser für die Verarbeitung Verantwortliche ist in einem Drittland niedergelassen, das einen angemessenen Schutz bietet, oder es handelt sich um ein kleines oder mittleres Unternehmen, um eine Behörde oder um eine öffentliche Einrichtung oder der betreffende für die Verarbeitung Verantwortliche bietet den betroffenen Personen nicht nur gelegentlich Waren oder Dienstleistungen an. Der Vertreter sollte im Namen des für die Verarbeitung Verantwortlichen tätig werden und den Aufsichtsbehörden als Ansprechpartner dienen.

(63) Verarbeitet ein für die Verarbeitung Verantwortlicher ohne Niederlassung in der Union personenbezogene Daten von betroffenen Personen in der Union, sollte der für die Verarbeitung Verantwortliche einen Vertreter benennen, es sei denn, der für die Verarbeitung Verantwortliche ist in einem Drittland niedergelassen, das einen angemessenen Schutz bietet, oder es handelt sich um die Verarbeitung in Bezug auf weniger als 5 000 betroffene Personen innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten, die nicht in Bezug auf besondere Kategorien personenbezogener Daten durchgeführt wird, oder um eine Behörde oder um eine öffentliche Einrichtung oder der betreffende für die Verarbeitung Verantwortliche bietet den betroffenen Personen nicht nur gelegentlich Waren oder Dienstleistungen an. Der Vertreter sollte im Namen des für die Verarbeitung Verantwortlichen tätig werden und den Aufsichtsbehörden als Ansprechpartner dienen.

Änderungsantrag  40

Vorschlag für eine Verordnung

Erwägung 64

Vorschlag der Kommission

Geänderter Text

(64) Zur Klärung der Frage, ob ein für die Verarbeitung Verantwortlicher in der Union ansässigen betroffenen Personen nur gelegentlich Waren und Dienstleistungen anbietet, sollte jeweils geprüft werden, ob aus dem allgemeinen Tätigkeitsprofil des für die Verarbeitung Verantwortlichen ersichtlich ist, dass das Anbieten der betreffenden Waren und Dienstleistungen lediglich eine zusätzlich zu seinen Haupttätigkeiten hinzukommende Tätigkeit darstellt.

(64) Zur Klärung der Frage, ob ein für die Verarbeitung Verantwortlicher betroffenen Personen in der Union nur gelegentlich Waren und Dienstleistungen anbietet, sollte jeweils geprüft werden, ob aus dem allgemeinen Tätigkeitsprofil des für die Verarbeitung Verantwortlichen ersichtlich ist, dass das Anbieten der betreffenden Waren und Dienstleistungen lediglich eine zusätzlich zu seinen Haupttätigkeiten hinzukommende Tätigkeit darstellt.

Änderungsantrag  41

Vorschlag für eine Verordnung

Erwägung 65

Vorschlag der Kommission

Geänderter Text

(65) Zum Nachweis der Einhaltung der in dieser Verordnung festgelegten Bestimmungen sollte der für die Verarbeitung Verantwortliche jeden Verarbeitungsvorgang dokumentieren. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Verlangen die entsprechende Dokumentation vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrolliert werden können.

(65) Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die zur Erfüllung der in dieser Verordnung festgelegten Anforderungen notwendige Dokumentation vorhalten. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Verlangen die entsprechende Dokumentation vorzulegen, damit diese für die Bewertung der Einhaltung dieser Verordnung herangezogen werden können. Es sollte aber ebenso wichtig sein, bewährten Verfahren und der Einhaltung der Vorschriften Beachtung zu schenken und nicht nur der Zusammenstellung der Dokumentation.

Änderungsantrag  42

Vorschlag für eine Verordnung

Erwägung 66

Vorschlag der Kommission

Geänderter Text

(66) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Die Kommission sollte bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die technologische Neutralität, die Interoperabilität sowie Innovationen fördern und gegebenenfalls mit Drittländern zusammenarbeiten.

(66) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sollten die technologische Neutralität, die Interoperabilität sowie Innovationen sowie gegebenenfalls die Zusammenarbeit mit Drittländern gefördert werden.

Änderungsantrag  43

Vorschlag für eine Verordnung

Erwägung 67

Vorschlag der Kommission

Geänderter Text

(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die Aufsichtsbehörde ohne unangemessene Verzögerung – falls möglich binnen 24 Stunden davon in Kenntnis setzen. Falls die Benachrichtigung nicht binnen 24 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen. Natürliche Personen, für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person angesehen werden, wenn sie zum Beispiel einen Identitätsdiebstahl oder -betrug, eine physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B. Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu ergreifen.

(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche die Aufsichtsbehörde ohne unangemessene Verzögerung – von der angenommen werden sollte, dass sie nicht länger als 72 Stunden dauern sollte– davon in Kenntnis setzen. Gegebenenfalls sollten in der Benachrichtigung die Gründe für die Verzögerung angegeben werden. Natürliche Personen, für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person angesehen werden, wenn sie zum Beispiel einen Identitätsdiebstahl oder -betrug, eine physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B. Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu ergreifen.

Änderungsantrag  44

Vorschlag für eine Verordnung

Erwägung 71 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(71a) Folgenabschätzungen sind der wesentliche Kern jedes nachhaltigen Datenschutzrahmens und stellen sicher, dass sich Unternehmen von Anfang an aller möglichen Konsequenzen ihrer Datenverarbeitungsvorgänge bewusst sind. Werden Folgenabschätzungen mit Sorgfalt durchgeführt, kann die Wahrscheinlichkeit einer Verletzung des Datenschutzes oder eines Eingriffs in die Privatsphäre ganz wesentlich beschränkt werden. Bei den Datenschutz-Folgenabschätzungen sollte somit das gesamte Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung berücksichtigt werden und im Einzelnen die beabsichtigten Verarbeitungsvorgänge, die Risiken für die Rechte und Freiheiten von betroffenen Personen, die beabsichtigten Maßnahmen zur Eindämmung der Risiken, die Schutzmechanismen und Sicherheitsmaßnahmen sowie die Mechanismen beschrieben werden, durch die die Einhaltung der Verordnung sichergestellt wird.

Änderungsantrag  45

Vorschlag für eine Verordnung

Erwägung 71 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(71b) Die für die Verarbeitung Verantwortlichen sollten sich auf den Schutz personenbezogener Daten während des gesamten Datenlebenszyklus von der Erhebung über die Verarbeitung bis zur Löschung konzentrieren, indem sie von Anfang an in einen nachhaltigen Datenmanagementrahmen investieren und darauf folgend umfassende Einhaltungsmechanismen einrichten.

Änderungsantrag  46

Vorschlag für eine Verordnung

Erwägung 73

Vorschlag der Kommission

Geänderter Text

(73) Datenschutz-Folgeabschätzungen sollten von einer Behörde oder öffentlichen Einrichtung durchgeführt werden, sofern eine solche Folgenabschätzung nicht schon anlässlich des Erlasses des Gesetzes erfolgt ist, auf dessen Grundlage die Behörde oder Einrichtung ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt.

entfällt

Änderungsantrag  47

Vorschlag für eine Verordnung

Erwägung 74

Vorschlag der Kommission

Geänderter Text

(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können, sollte die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine solche Konsultation sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.

(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können, sollte der Datenschutzbeauftragte oder die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine Konsultation der Aufsichtsbehörde sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.

Änderungsantrag  48

Vorschlag für eine Verordnung

Erwägung 74 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(74a) Folgenabschätzungen können nur hilfreich sein, wenn die für die Verarbeitung Verantwortlichen sicherstellen, dass sie die Versprechen einhalten, die ursprünglich in ihnen gegeben wurden. Deshalb sollten die für die Verarbeitung Verantwortlichen regelmäßig Überprüfungen der Einhaltung der Datenschutzvorschriften vornehmen, durch die nachgewiesen wird, dass die eingerichteten Datenverarbeitungsmechanismen die Zusagen einhalten, die in den Datenschutz-Folgenabschätzungen gegeben wurden. Außerdem sollte nachgewiesen werden, dass der für die Datenverarbeitung Verantwortliche in der Lage ist, der autonomen Wahl betroffener Personen zu entsprechen. Darüber hinaus sollte er in dem Fall, dass die Überprüfung Unstimmigkeiten bei der Einhaltung ergibt, diesen Umstand hervorheben und Empfehlungen abgeben, wie eine vollständige Einhaltung erreicht werden kann.

Änderungsantrag  49

Vorschlag für eine Verordnung

Erwägung 75

Vorschlag der Kommission

Geänderter Text

(75) In Fällen, in denen die Verarbeitung im öffentlichen Sektor oder durch ein privates Großunternehmen erfolgt oder in denen die Kerntätigkeit eines Unternehmens ungeachtet seiner Größe Verarbeitungsvorgänge einschließt, die einer regelmäßigen und systematischen Überwachung bedürfen, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person unterstützt werden. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich um Angestellte des für die Verarbeitung Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.

(75) In Fällen, in denen die Verarbeitung im öffentlichen Sektor erfolgt oder sich im privaten Sektor auf mehr als 5 000 betroffene Personen innerhalb von zwölf Monaten bezieht, oder in denen die Kerntätigkeit eines Unternehmens ungeachtet seiner Größe Verarbeitungsvorgänge sensibler Daten einschließt, oder Verarbeitungsvorgänge, die einer regelmäßigen und systematischen Überwachung bedürfen, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person unterstützt werden. Bei der Feststellung, ob Daten einer großen Zahl von betroffenen Personen verarbeitet werden, sollten archivierte Daten, die in einer Art und Weise beschränkt sind, dass sie nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen des für die Verarbeitung Verantwortlichen unterworfen sind und nicht mehr geändert werden können, nicht berücksichtigt werden. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich um Angestellte des für die Verarbeitung Verantwortlichen handelt oder nicht, und unabhängig davon, ob sie diese Aufgabe in Vollzeit wahrnehmen, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können und einen besonderen Kündigungsschutz genießen. Letztendlich sollte das Management einer Organisation verantwortlich bleiben. Der Datenschutzbeauftragte sollte insbesondere vor der Planung, der Ausschreibung, Entwicklung und Einrichtung von Systemen der automatischen Verarbeitung personenbezogener Daten konsultiert werden, um die Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Voreinstellungen zu gewährleisten.

Änderungsantrag  50

Vorschlag für eine Verordnung

Erwägung 75 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(75a) Der Datenschutzbeauftragte sollte zumindest die folgenden Qualifikationen besitzen: umfassende Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren; Beherrschung der fachlichen Anforderungen an den Datenschutz durch Technik, die datenschutzfreundlichen Voreinstellungen und die Datensicherheit; sektorspezifisches Wissen entsprechend der Größe des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters und der Sensibilität der zu verarbeitenden Daten; die Fähigkeit, Überprüfungen, Konsultationen, Dokumentationen und Protokolldateianalysen durchzuführen; sowie die Fähigkeit, mit Arbeitnehmervertretungen zu arbeiten. Der für die Verarbeitung Verantwortliche sollte dem Datenschutzbeauftragten ermöglichen, an Weiterbildungsmaßnahmen teilzunehmen, um das für die Durchführung seiner Aufgaben erforderliche Spezialwissen zu bewahren. Die Benennung als Datenschutzbeauftragter erfordert nicht unbedingt eine Vollzeittätigkeit des Mitarbeiters.

Änderungsantrag  51

Vorschlag für eine Verordnung

Erwägung 76

Vorschlag der Kommission

Geänderter Text

(76) Verbände oder andere Vertreter bestimmter Kategorien von für die Verarbeitung Verantwortlichen sollten ermutigt werden, im Einklang mit dieser Verordnung stehende Verhaltenskodizes zu erstellen, um eine wirksame Anwendung dieser Verordnung zu erleichtern, bei der den Eigenheiten der in bestimmten Sektoren erfolgenden Verarbeitungen Rechnung getragen wird.

(76) Verbände oder andere Vertreter bestimmter Kategorien von für die Verarbeitung Verantwortlichen sollten ermutigt werden, nach Anhörung der Arbeitnehmervertreter im Einklang mit dieser Verordnung stehende Verhaltenskodizes zu erstellen, um eine wirksame Anwendung dieser Verordnung zu erleichtern, bei der den Eigenheiten der in bestimmten Sektoren erfolgenden Verarbeitungen Rechnung getragen wird. Derartige Verhaltenskodizes sollten ein Handeln der Unternehmen in Übereinstimmung mit dieser Verordnung vereinfachen.

Änderungsantrag  52

Vorschlag für eine Verordnung

Erwägung 77

Vorschlag der Kommission

Geänderter Text

(77) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsmechanismen sowie Datenschutzsiegel und –prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und Dienstleistungen ermöglichen.

(77) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsmechanismen sowie Datenschutzsiegel und standardisierte Datenschutzprüfzeichen eingeführt werden, die den betroffenen Personen einen raschen, zuverlässigen und überprüfbaren Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und Dienstleistungen ermöglichen. Ein „Europäisches Datenschutzsiegel“ sollte auf europäischer Ebene eingeführt werden, um unter betroffenen Personen Vertrauen und für die für die Verarbeitung Verantwortlichen Rechtssicherheit zu schaffen sowie gleichzeitig die Verbreitung europäischer Datenschutzstandards außerhalb der EU zu fördern, indem es nicht-europäischen Unternehmen vereinfacht wird, Zugang zu europäischen Märkten zu erhalten, indem sie sich zertifizieren lassen.

Änderungsantrag  53

Vorschlag für eine Verordnung

Erwägung 79

Vorschlag der Kommission

Geänderter Text

(79) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von dieser Verordnung nicht berührt.

(79) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von dieser Verordnung nicht berührt, wodurch ein angemessener Schutz der Grundrechte für die Bürgerinnen und Bürger sichergestellt wird.

Änderungsantrag  54

Vorschlag für eine Verordnung

Erwägung 80

Vorschlag der Kommission

Geänderter Text

(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an diese Länder übermittelt werden.

(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen. Die Kommission kann sich, nach Benachrichtigung und Abgabe einer vollständigen Begründung an das Drittland, auch für die Aufhebung eines solchen Beschlusses entscheiden.

Änderungsantrag  55

Vorschlag für eine Verordnung

Erwägung 82

Vorschlag der Kommission

Geänderter Text

(82) Die Kommission kann ebenso per Beschluss feststellen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bieten. Die Übermittlung personenbezogener Daten an derartige Drittländer sollte daher verboten werden. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden.

(82) Die Kommission kann ebenso per Beschluss feststellen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bieten. Rechtsvorschriften, die den extraterritorialen Zugang zu personenbezogenen Daten, die in der EU verarbeitet werden, ohne die Zulässigkeit nach dem Recht der Union oder der Mitgliedstaaten vorsehen, sollten als Anhaltspunkt für fehelende Angemessenheit betrachtet werden. Die Übermittlung personenbezogener Daten an derartige Drittländer sollte daher verboten werden. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden.

Änderungsantrag  56

Vorschlag für eine Verordnung

Erwägung 83

Vorschlag der Kommission

Geänderter Text

(83) Bei Fehlen eines Angemessenheitsbeschlusses sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese Garantien können darin bestehen, dass auf verbindliche unternehmensinterne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln, von einer Aufsichtsbehörde genehmigte Vertragsklauseln oder auf sonstige geeignete, angemessene, aufgrund der Umstände einer Datenübermittlung oder einer Kategorie von Datenübermittlungen gerechtfertigte und von einer Aufsichtsbehörde gebilligte Maßnahmen zurückgegriffen wird.

(83) Bei Fehlen eines Angemessenheitsbeschlusses sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese Garantien können darin bestehen, dass auf verbindliche unternehmensinterne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. Durch diese geeigneten Garantien sollte die Achtung der Rechte betroffener Personen wie bei der Verarbeitung innerhalb der EU gewahrt werden, insbesondere hinsichtlich der Begrenzung des Zwecks sowie des Rechts auf Zugang, Berichtigung, Löschung und Forderung von Schadenersatz. Diese Garantien sollten insbesondere die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und die Rechte der betroffenen Personen gewährleisten, wirksame Rechtsbehelfe bereithalten, sicherstellen, dass die Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Voreinstellungen befolgt werden sowie gewährleisten, dass es einen Datenschutzbeauftragten gibt.

Änderungsantrag  57

Vorschlag für eine Verordnung

Erwägung 84

Vorschlag der Kommission

Geänderter Text

(84) Die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter offen stehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln zurückzugreifen, sollte den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter keinesfalls daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen zu verwenden oder ihnen weitere Klauseln hinzuzufügen, solange letztere weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Freiheiten der betroffenen Personen beschneiden.

(84) Die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter offen stehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln zurückzugreifen, sollte den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter keinesfalls daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen zu verwenden oder ihnen weitere Klauseln oder ergänzende Garantien hinzuzufügen, solange letztere weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Freiheiten der betroffenen Personen beschneiden. Die von der Kommission angenommenen Standarddatenschutzklauseln könnten unterschiedliche Situationen erfassen, insbesondere die Übermittlungen von für die Verarbeitung Verantwortlichen mit Sitz in der Europäischen Union an für die Verarbeitung Verantwortlichen mit Sitz außerhalb der Europäischen Union und von für die Verarbeitung Verantwortlichen mit Sitz in der Europäischen Union an Auftragsverarbeiter und Unterverarbeiter mit Sitz außerhalb der Europäischen Union. Den für die Verarbeitung Verantwortlichen und Auftragsverarbeitern sollte nahegelegt werden, mit zusätzlichen vertraglichen Verpflichtungen, welche die Standard-Schutzklauseln ergänzen, noch wirksamere Garantien zu bieten.

Änderungsantrag  58

Vorschlag für eine Verordnung

Erwägung 85

Vorschlag der Kommission

Geänderter Text

(85) Jede Unternehmensgruppe sollte für ihre grenzüberschreitenden Datenübermittlungen aus der Union an Organisationen der gleichen Unternehmensgruppe genehmigte verbindliche unternehmensinterne Datenschutzvorschriften anwenden dürfen, sofern in diesen unternehmensinternen Vorschriften Grundprinzipien und durchsetzbare Rechte enthalten sind, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.

(85) Jede Unternehmensgruppe sollte für ihre grenzüberschreitenden Datenübermittlungen aus der Union an Organisationen der gleichen Unternehmensgruppe genehmigte verbindliche unternehmensinterne Datenschutzvorschriften anwenden dürfen, sofern in diesen unternehmensinternen Vorschriften alle Grundprinzipien und durchsetzbaren Rechte enthalten sind, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten.

Änderungsantrag  59

Vorschlag für eine Verordnung

Erwägung 86

Vorschlag der Kommission

Geänderter Text

(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.

(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.

Änderungsantrag  60

Vorschlag für eine Verordnung

Erwägung 87

Vorschlag der Kommission

Geänderter Text

(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll- oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten zuständigen Behörden.

(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll- oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten, einschließlich für die Verhinderung von Geldwäsche und die Bekämpfung der Terrorismusfinanzierung, zuständigen Behörden. Die Übermittlung von personenbezogenen Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen Person zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Die Übermittlung personenbezogener Daten aus solch einem wichtigen öffentlichen Interesse sollte lediglich für gelegentliche Übermittlungen verwendet werden. In jedem Fall sollte eine sorgfältige Beurteilung aller Umstände der Übermittlung erfolgen.

Änderungsantrag  61

Vorschlag für eine Verordnung

Erwägung 88

Vorschlag der Kommission

Geänderter Text

(88) Übermittlungen, die weder als häufig noch als massiv gelten können, sollten auch im Falle berechtigter Interessen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters möglich sein, wenn letztere sämtliche Umstände der Datenübermittlung geprüft haben. Bei der Verarbeitung zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden.

(88) Bei der Verarbeitung zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden.

Änderungsantrag  62

Vorschlag für eine Verordnung

Erwägung 89

Vorschlag der Kommission

Geänderter Text

(89) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Schutzes vorliegt, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, durch die sichergestellt wird, dass die betroffenen Personen die für die Verarbeitung ihrer personenbezogenen Daten in der Union geltenden Rechte und Garantien genießen, sobald die Daten übermittelt sind.

(89) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Schutzes vorliegt, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, durch die rechtlich verbindlich sichergestellt wird, dass die betroffenen Personen die für die Verarbeitung ihrer personenbezogenen Daten in der Union geltenden Rechte und Garantien genießen, sobald die Daten übermittelt sind, soweit die Verarbeitung weder massiv noch wiederholt oder strukturiert ist. Diese Garantie sollte finanzielle Entschädigungsleistungen in Fällen des Verlusts oder eines unerlaubten Zugangs oder einer unerlaubten Verarbeitung von Daten sowie eine vom einzelstaatlichen Recht unabhängige Verpflichtung enthalten, vollständige Angaben über den Zugang zu den Daten durch Behörden im Drittstaat enthalten.

Änderungsantrag  63

Vorschlag für eine Verordnung

Erwägung 90

Vorschlag der Kommission

Geänderter Text

(90) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, durch die die Datenverarbeitungstätigkeiten von natürlichen und juristischen Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar reguliert werden. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets derartiger Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist. Die Bedingungen für das Bestehen eines wichtigen öffentlichen Interesses sollten von der Kommission in einem delegierten Rechtsakt näher festgelegt werden.

(90) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, durch die die Datenverarbeitungstätigkeiten von natürlichen und juristischen Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar reguliert werden. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets derartiger Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt ist. Die Bedingungen für das Bestehen eines wichtigen öffentlichen Interesses sollten von der Kommission in einem delegierten Rechtsakt näher festgelegt werden. In Fällen, in denen die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter mit unvereinbaren Anforderungen an die Einhaltung der Regelungen der EU einerseits und denjenigen eines Drittlands andererseits konfrontiert sind, sollte die Kommission dafür sorgen, dass Unionsrecht immer vorgeht. Die Kommission sollte dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter Orientierung und Hilfestellung bieten, und sie sollte versuchen, den Regelungskonflikt mit dem betreffenden Drittland zu lösen.

Änderungsantrag  64

Vorschlag für eine Verordnung

Erwägung 92

Vorschlag der Kommission

Geänderter Text

(92) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgabe völlig unabhängig erfüllen, ist ein wesentliches Element des Schutzes des Einzelnen im Hinblick auf die Verarbeitung personenbezogener Daten. Die Mitgliedstaaten können mehr als eine Aufsichtsbehörde errichten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht.

(92) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgabe völlig unabhängig erfüllen, ist ein wesentliches Element des Schutzes des Einzelnen im Hinblick auf die Verarbeitung personenbezogener Daten. Die Mitgliedstaaten können mehr als eine Aufsichtsbehörde errichten, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Die Behörden müssen über angemessene finanzielle und personelle Ressourcen verfügen, um ihre Rolle vollständig wahrzunehmen, wobei die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen ist.

Änderungsantrag  65

Vorschlag für eine Verordnung

Erwägung 94

Vorschlag der Kommission

Geänderter Text

(94) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig und angemessen sind.

(94) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal (unter besonderer Berücksichtigung der Sicherstellung angemessener technischer und rechtlicher Kenntnisse und Fähigkeiten des Personals), Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig und angemessen sind.

Änderungsantrag  66

Vorschlag für eine Verordnung

Erwägung 95

Vorschlag der Kommission

Geänderter Text

(95) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihre Stellung enthalten.

(95) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden, wobei dafür Sorge getragen wird, dass die Möglichkeit der politischen Einflussnahme minimiert wird; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder, die Vermeidung von Interessenskonflikten und die Stellung der Mitglieder enthalten.

Änderungsantrag  67

Vorschlag für eine Verordnung

Erwägung 97

Vorschlag der Kommission

Geänderter Text

(97) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat statt, sollte eine einzige Aufsichtsbehörde für die Überwachung der Tätigkeit des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der gesamten Union zuständig sein und die entsprechenden Beschlüsse fassen, damit die einheitliche Anwendung der Vorschriften verbessert, Rechtssicherheit gewährleistet und der Verwaltungsaufwand der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verringert wird.

(97) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat statt, sollte eine einzige Aufsichtsbehörde als zentrale Anlaufstelle und federführende Behörde für die Überwachung der Tätigkeit des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der gesamten Union zuständig sein und die entsprechenden Beschlüsse fassen, damit die einheitliche Anwendung der Vorschriften verbessert, Rechtssicherheit gewährleistet und der Verwaltungsaufwand der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verringert wird.

Änderungsantrag  68

Vorschlag für eine Verordnung

Erwägung 98

Vorschlag der Kommission

Geänderter Text

(98) Die zuständige Aufsichtsbehörde, die die Aufgaben einer solchen zentralen Kontaktstelle übernimmt, sollte die Aufsichtsbehörde des Mitgliedstaats sein, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung hat.

(98) Die federführende Behörde, die die Aufgaben einer solchen zentralen Kontaktstelle übernimmt, sollte die Aufsichtsbehörde des Mitgliedstaats sein, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seine Hauptniederlassung oder eine Vertretung hat. In bestimmten Fällen kann die federführende Behörde auf Antrag einer zuständigen Behörde im Rahmen des Kohärenzverfahrens vom Europäischen Datenausschuss bestimmt werden.

Änderungsantrag  69

Vorschlag für eine Verordnung

Erwägung 98 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(98a) Betroffene Personen, deren personenbezogene Daten von einem für die Verarbeitung Verantwortlichen oder einem Auftragsverarbeiter in einem anderen Mitgliedstaat verarbeitet werden, sollten sich bei einer Aufsichtsbehörde ihrer Wahl beschweren können. Die federführende Datenschutzbehörde sollte ihre Arbeit mit der Arbeit der anderen betroffenen Behörden koordinieren.

Änderungsantrag  70

Vorschlag für eine Verordnung

Erwägung 101

Vorschlag der Kommission

Geänderter Text

(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen entgegennehmen und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden.

(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen oder von Verbänden, die im öffentlichen Interesse handeln, entgegennehmen und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person oder den Verband innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden.

Änderungsantrag  71

Vorschlag für eine Verordnung

Erwägung 105

Vorschlag der Kommission

Geänderter Text

(105) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenz-Verfahren) eingeführt werden, das die Aufsichtsbehörden verpflichtet, untereinander und mit der Kommission zusammenzuarbeiten. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme in Bezug auf Verarbeitungsvorgänge zu treffen, die mit dem Angebot von Waren oder Dienstleistungen für Personen in mehreren Mitgliedstaaten oder der Beobachtung des Verhaltens dieser Personen im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten erheblich beeinträchtigen könnten. Ferner sollte es zur Anwendung kommen, wenn eine Aufsichtsbehörde oder die Kommission beantragen, dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen.

(105) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenzverfahren) eingeführt werden, das die Aufsichtsbehörden verpflichtet, untereinander und mit der Kommission zusammenzuarbeiten. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme in Bezug auf Verarbeitungsvorgänge zu treffen, die mit dem Angebot von Waren oder Dienstleistungen für Personen in mehreren Mitgliedstaaten oder der Beobachtung dieser Personen im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten erheblich beeinträchtigen könnten. Ferner sollte es zur Anwendung kommen, wenn eine Aufsichtsbehörde oder die Kommission beantragen, dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Darüber hinaus sollten die betroffenen Personen das Recht haben, dass die Kohärenz durchgesetzt wird, wenn sie der Ansicht sind, dass eine Maßnahme einer Datenschutzbehörde eines Mitgliedstaats dieses Kriterium nicht erfüllt hat. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen.

Änderungsantrag                 72

Vorschlag für eine Verordnung

Erwägung 106 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(106a) Um die einheitliche Anwendung dieser Verordnung sicherzustellen, kann der Europäische Datenschutzausschuss in Einzelfällen einen Beschluss fassen, der für die zuständigen Aufsichtsbehörden verbindlich ist.

Änderungsantrag  73

Vorschlag für eine Verordnung

Erwägung 107

Vorschlag der Kommission

Geänderter Text

(107) Um die Übereinstimmung mit dieser Verordnung zu gewährleisten, kann die Kommission eine Stellungnahme in der Angelegenheit abgeben oder einen Beschluss fassen, der die Aufsichtsbehörde verpflichtet, die geplante Maßnahme auszusetzen.

entfällt

Änderungsantrag  74

Vorschlag für eine Verordnung

Erwägung 110

Vorschlag der Kommission

Geänderter Text

(110) Auf Unionsebene sollte ein Europäischer Datenschutzausschuss eingerichtet werden. Dieser ersetzt die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten gebildet werden. Die Kommission sollte sich an seinen Tätigkeiten beteiligen. Der Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Kommission beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern. Der Europäische Datenschutzausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln.

(110) Auf Unionsebene sollte ein Europäischer Datenschutzausschuss eingerichtet werden. Dieser ersetzt die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten gebildet werden. Der Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Organe der Europäischen Union beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern, einschließlich der Koordinierung gemeinsamer Maßnahmen. Der Europäische Datenschutzausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln. Der Europäische Datenschutzausschuss sollte den Dialog mit den betroffenen Interessenträgern, wie Verbände betroffener Personen, Verbraucherorganisationen, für die Verarbeitung Verantwortliche sowie weitere relevante Interessenträger und Experten, stärken.

Änderungsantrag  75

Vorschlag für eine Verordnung

Erwägung 111

Vorschlag der Kommission

Geänderter Text

(111) Jede betroffene Person, die sich in ihren Rechten verletzt sieht, die ihr aufgrund dieser Verordnung zustehen, sollte das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen gerichtlichen Rechtsbehelf haben, wenn die Aufsichtsbehörde auf die Beschwerde nicht reagiert oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.

(111) Betroffene Personen, die sich in ihren Rechten verletzt sehen, die ihnen aufgrund dieser Verordnung zustehen, sollten das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf im Sinne von Artikel 47 der Charta der Grundrechte haben, wenn die Aufsichtsbehörde auf die Beschwerde nicht reagiert oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.

Änderungsantrag  76

Vorschlag für eine Verordnung

Erwägung 112

Vorschlag der Kommission

Geänderter Text

(112) Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde.

(112) Einrichtungen, Organisationen oder Verbände, die im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person mit deren Einwilligung Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von der betroffenen Person dazu beauftragt werden, oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach Vorschriften dieser Verordnung verletzt wurde.

Änderungsantrag  77

Vorschlag für eine Verordnung

Erwägung 114

Vorschlag der Kommission

Geänderter Text

(114) Um den gerichtlichen Schutz der betroffenen Person in Situationen zu stärken, in denen die zuständige Aufsichtsbehörde ihren Sitz in einem anderen Mitgliedstaat als dem Mitgliedstaat hat, in dem die betroffene Person ansässig ist, sollte die betroffene Person eine Einrichtung, Organisation oder einen Verband, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben, darum ersuchen können, in ihrem Namen vor dem zuständigen Gericht in dem anderen Mitgliedstaat Klage gegen die Aufsichtsbehörde zu erheben.

(114) Um den gerichtlichen Schutz der betroffenen Person in Situationen zu stärken, in denen die zuständige Aufsichtsbehörde ihren Sitz in einem anderen Mitgliedstaat als dem Mitgliedstaat hat, in dem die betroffene Person ansässig ist, sollte die betroffene Person eine Einrichtung, Organisation oder einen Verband, die/der im öffentlichen Interesse handelt, beauftragen können, vor dem zuständigen Gericht in dem anderen Mitgliedstaat Klage gegen die Aufsichtsbehörde zu erheben.

Änderungsantrag  78

Vorschlag für eine Verordnung

Erwägung 115

Vorschlag der Kommission

Geänderter Text

(115) In Fällen, in denen die zuständige Aufsichtsbehörde mit Sitz in einem anderen Mitgliedstaat nicht tätig wird oder unzureichende Maßnahmen in Bezug auf eine Beschwerde getroffen hat, sollte die betroffene Person die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen können, vor dem zuständigen Gericht im anderen Mitgliedstaat Klage gegen die dortige Aufsichtsbehörde zu erheben. Die ersuchte Aufsichtsbehörde sollte entscheiden können, ob es angemessen ist, dem Ersuchen stattzugeben; diese Entscheidung sollte von einem Gericht nachgeprüft werden können.

(115) In Fällen, in denen die zuständige Aufsichtsbehörde mit Sitz in einem anderen Mitgliedstaat nicht tätig wird oder unzureichende Maßnahmen in Bezug auf eine Beschwerde getroffen hat, sollte die betroffene Person die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen können, vor dem zuständigen Gericht im anderen Mitgliedstaat Klage gegen die dortige Aufsichtsbehörde zu erheben. Dies gilt nicht für Personen, die außerhalb der EU ansässig sind. Die ersuchte Aufsichtsbehörde sollte entscheiden können, ob es angemessen ist, dem Ersuchen stattzugeben; diese Entscheidung sollte von einem Gericht nachgeprüft werden können.

Änderungsantrag  79

Vorschlag für eine Verordnung

Erwägung 116

Vorschlag der Kommission

Geänderter Text

(116) Bei Verfahren gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat; dies gilt nicht, wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

(116) Bei Verfahren gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat oder, im Fall des gewöhnlichen Aufenthalts in der EU, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat; dies gilt nicht, wenn es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde der Union oder eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Änderungsantrag  80

Vorschlag für eine Verordnung

Erwägung 118

Vorschlag der Kommission

Geänderter Text

(118) Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die von ihrer Haftung befreit werden können, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.

(118) Finanzielle oder sonstige Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, die nur dann von ihrer Haftung befreit werden können, wenn sie nachweisen, dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.

Änderungsantrag  81

Vorschlag für eine Verordnung

Erwägung 119

Vorschlag der Kommission

Geänderter Text

(119) Gegen jede – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zu ihrer Anwendung treffen.

(119) Gegen jede – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zu ihrer Anwendung treffen. Die Vorschriften über Sanktionen sollten angemessenen Verfahrensgarantien nach Maßgabe der allgemeinen Grundsätze des Unionsrechts und der Charta der Grundrechte unterliegen, einschließlich des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf und ein ordnungsgemäßes Verfahren und des Verbots der doppelten Strafverfolgung (ne bis in idem).

Änderungsantrag  82

Vorschlag für eine Verordnung

Erwägung 119 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(119a) Bei der Anwendung der Sanktionen sollten die Mitgliedstaaten angemessenen Verfahrensgarantien, einschließlich des Rechts auf einen wirksamen gerichtlichen Rechtsbehelf und ein ordnungsgemäßes Verfahren und ein Verbot der doppelten Strafverfolgung (ne bis in idem) uneingeschränkte Beachtung schenken.

Änderungsantrag  83

Vorschlag für eine Verordnung

Erwägung 121

Vorschlag der Kommission

Geänderter Text

(121) Für die Verarbeitung personenbezogener Daten zu ausschließlich journalistischen Zwecken oder zu künstlerischen oder literarischen Zwecken sind Ausnahmen von bestimmten Vorschriften dieser Verordnung vorzusehen, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung und insbesondere dem Recht, Informationen zu empfangen und weiterzugeben, wie es unter anderem in Artikel 11 der Charta der Grundrechte der Europäischen Union garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten deshalb Rechtsvorschriften zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von Daten in Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden sowie in Bezug auf die Zusammenarbeit und die einheitliche Rechtsanwendung regeln. Die Mitgliedstaaten sollten dies jedoch nicht zum Anlass nehmen, Ausnahmeregelungen für die anderen Bestimmungen dieser Verordnung vorzusehen. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden. Die Mitgliedstaaten sollten deshalb für die nach dieser Verordnung zu regelnden Abweichungen und Ausnahmen Tätigkeiten als „journalistisch“ einstufen, wenn das Ziel dieser Tätigkeit in der Weitergabe von Informationen, Meinungen und Vorstellungen an die Öffentlichkeit besteht, unabhängig davon, auf welchem Wege dies geschieht. Diese Tätigkeiten sind mit oder ohne Erwerbszweck möglich und sollten nicht auf Medienunternehmen beschränkt werden.

(121) Sofern erforderlich, sollten für die Verarbeitung personenbezogener Daten Ausnahmen oder Abweichungen von bestimmten Vorschriften dieser Verordnung vorgesehen werden, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung und insbesondere dem Recht, Informationen zu empfangen und weiterzugeben, wie es unter anderem in Artikel 11 der Charta der Grundrechte der Europäischen Union garantiert ist, in Einklang zu bringen. Die Mitgliedstaaten sollten deshalb Rechtsvorschriften zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von Daten in Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden sowie in Bezug auf die Zusammenarbeit, einheitliche Rechtsanwendung und spezifische Datenverarbeitungssituationen regeln. Die Mitgliedstaaten sollten dies jedoch nicht zum Anlass nehmen, Ausnahmeregelungen für die anderen Bestimmungen dieser Verordnung vorzusehen. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, sind Begriffe, die sich auf diese Freiheit beziehen, weit auszulegen, um alle Tätigkeiten, die auf die Weitergabe von Informationen, Meinungen und Vorstellungen an die Öffentlichkeit abzielen, unabhängig davon, welche Medien dafür herangezogen werden, zu erfassen und auch technologischen Fortschritt zu berücksichtigen. Diese Tätigkeiten sind mit oder ohne Erwerbszweck möglich und sollten nicht auf Medienunternehmen beschränkt werden.

Änderungsantrag  84

Vorschlag für eine Verordnung

Erwägung 122 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(122a) Eine Person, die beruflich personenbezogene Gesundheitsdaten verarbeitet, sollte, wenn möglich, anonymisierte oder pseudonymisierte Daten erhalten, sodass die Identität nur dem Hausarzt oder Spezialisten bekannt ist, der eine solche Verarbeitung von Daten angefordert hat.

Änderungsantrag  85

Vorschlag für eine Verordnung

Erwägung 123

Vorschlag der Kommission

Geänderter Text

(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitnehmer, Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten.

(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen.

 

1 Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70)

Änderungsantrag  86

Vorschlag für eine Verordnung

Erwägung 123 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(123a) Die Verarbeitung personenbezogener Gesundheitsdaten als eine Sonderkategorie von Daten kann für historische oder statistische Zwecke oder zum Zweck der wissenschaftlichen Forschung erforderlich sein. Daher sieht diese Verordnung eine Ausnahme von dem Erfordernis der Einwilligung in Fällen der Forschung von hohem öffentlichem Interesse vor.

Änderungsantrag  87

Vorschlag für eine Verordnung

Erwägung 124

Vorschlag der Kommission

Geänderter Text

(124) Die allgemeinen Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten auch im Beschäftigungskontext gelten. Die Mitgliedstaaten sollten daher in den Grenzen dieser Verordnung die Verarbeitung personenbezogener Daten im Beschäftigungskontext gesetzlich regeln können.

(124) Die allgemeinen Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten auch im Kontext von Beschäftigung und sozialer Sicherheit gelten. Die Mitgliedstaaten sollten gemäß den in dieser Verordnung festgelegten Vorschriften und Mindeststandards die Verarbeitung personenbezogener Daten im Beschäftigungskontext und die Verarbeitung personenbezogener Daten im Bereich der sozialen Sicherheit regeln können. Ist in einem Mitgliedsstaat eine gesetzliche Grundlage zur Regelung von Angelegenheiten des Beschäftigungsverhältnisses durch Vereinbarung zwischen den Arbeitnehmervertretern und der Leitung des Unternehmens oder des herrschenden Unternehmens einer Unternehmensgruppe (Kollektivvereinbarung) oder nach Maßgabe der Richtlinie 2009/38/EG des Europäischen Parlaments und des Rates1 vorgesehen, kann die Verarbeitung personenbezogener Daten im Beschäftigungskontext auch durch eine solche Vereinbarung geregelt werden können.

 

1 Richtlinie 2009/38/EG des Europäischen Parlaments und des Rates vom 6. Mai 2009 über die Einsetzung eines Europäischen Betriebsrats oder die Schaffung eines Verfahrens zur Unterrichtung und Anhörung der Arbeitnehmer in gemeinschaftsweit operierenden Unternehmen und Unternehmensgruppen (ABl. L 122 vom 16.5.2009, S. 28).

Änderungsantrag  88

Vorschlag für eine Verordnung

Erwägung 125 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(125a) Personenbezogene Daten können anschließend auch durch Archivdienste verarbeitet werden, deren Hauptaufgabe oder rechtliche Pflicht darin besteht, Archivgut im Interesse der Öffentlichkeit zu erfassen, zu erhalten, bekanntzumachen, auszuwerten und zu verbreiten. Das Recht der Mitgliedstaaten sollte das Recht auf Schutz personenbezogener Daten mit den Rechtsvorschriften über Archive und den öffentlichen Zugang zu Verwaltungsinformationen in Einklang bringen. Die Mitgliedstaaten sollten sich dafür einsetzen, dass – insbesondere durch die Europäische Archivgruppe – Regeln erarbeitet werden, die die Vertraulichkeit von Daten gegenüber Dritten sowie die Authentizität, Vollständigkeit und ordnungsgemäße Erhaltung der Daten sicherstellen.

Änderungsantrag  89

Vorschlag für eine Verordnung

Erwägung 126

Vorschlag der Kommission

Geänderter Text

(126) Wissenschaftliche Forschung im Sinne dieser Verordnung sollte Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung einschließen und darüber hinaus dem in Artikel 179 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen.

(126) Wissenschaftliche Forschung im Sinne dieser Verordnung sollte Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung einschließen und darüber hinaus dem in Artikel 179 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen. Die Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder wissenschaftlichen Forschungszwecken sollte nicht dazu führen, dass personenbezogene Daten zu anderen Zwecken verarbeitet werden, es sei denn, die betroffene Person stimmt ihr zu oder die Verarbeitung erfolgt auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats.

Änderungsantrag  90

Vorschlag für eine Verordnung

Erwägung 128

Vorschlag der Kommission

Geänderter Text

(128) Im Einklang mit Artikel 17 des Vertrags über die Arbeitsweise der Europäischen Union achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht. Wendet eine Kirche in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an, sollten diese Regeln weiter gelten, wenn sie mit dieser Verordnung in Einklang gebracht werden. Kirchen und religiöse Vereinigungen oder Gemeinschaften sollten verpflichtet werden, eine völlig unabhängige Datenschutzaufsicht einzurichten.

(128) Im Einklang mit Artikel 17 des Vertrags über die Arbeitsweise der Europäischen Union achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht. Wendet eine Kirche in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung angemessene Regeln zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten an, sollten diese Regeln weiter gelten, wenn sie mit dieser Verordnung in Einklang gebracht und als vereinbar anerkannt werden.

Änderungsantrag  91

Vorschlag für eine Verordnung

Erwägung 129

Vorschlag der Kommission

Geänderter Text

(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext und zu historischen und statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.

(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Festlegung der Bedingungen der Übermittlung auf Icons gestützter Informationen, das Recht auf Löschung, die Erklärung, dass Verhaltenskodizes mit der Verordnung vereinbar sind, die Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren, die Festlegung der Angemessenheit des Schutzniveaus in einem Drittland oder einer internationalen Organisation, die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, verwaltungsrechtliche Sanktionen, die Datenverarbeitung für Gesundheitszwecke und die Verarbeitung im Beschäftigungskontext. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt, insbesondere mit dem Europäischen Datenschutzausschuss. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gewährleisten, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat zeitgleich, rechtzeitig und in geeigneter Weise übermittelt werden.

Änderungsantrag  92

Vorschlag für eine Verordnung

Erwägung 130

Vorschlag der Kommission

Geänderter Text

(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern, Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz-Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen.

(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für spezielle Arten der Erlangung einer nachprüfbaren Einwilligung für die Verarbeitung personenbezogener Daten von Kindern, Standardvorlagen für die Benachrichtigung der betroffenen Personen zur Wahrnehmung ihrer Rechte, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardvorlagen für das Auskunftsrecht, einschließlich der Mitteilung der personenbezogenen Daten an die betroffene Person, Standardvorlagen betreffend die von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter aufzubewahrende Dokumentation, die Standardvorlage für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und Dokumentation der Verletzung des Schutzes von personenbezogenen Daten, Vorlagen für die vorherige Konsultation und Benachrichtigung der Aufsichtsbehörde. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates1 ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen.

 

1 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen.

Änderungsantrag  93

Vorschlag für eine Verordnung

Erwägung 131

Vorschlag der Kommission

Geänderter Text

(131) Die Standardvorlagen für die Einwilligung im Falle von Kindern, die Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, die Standardvorlagen für die Unterrichtung der betroffenen Person, die Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, die Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, die besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz-Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, die technischen Standards und Verfahren für die Zertifizierung, die Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, die Fälle der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, die Vorschriften für die Amtshilfe, für gemeinsame Maßnahmen und Beschlüsse im Rahmen des Kohärenzverfahrens sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

(131) Standardvorlagen für spezielle Arten der Erlangung einer nachprüfbaren Einwilligung für die Verarbeitung personenbezogener Daten von Kindern, Standardvorlagen für die Benachrichtigung der betroffenen Personen zur Wahrnehmung ihrer Rechte, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardvorlagen für das Auskunftsrecht, einschließlich der Mitteilung der personenbezogenen Daten an die betroffene Person, Standardvorlagen betreffend die von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter aufzubewahrende Dokumentation, die Standardvorlage für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und Dokumentation der Verletzung des Schutzes von personenbezogenen Daten, Vorlagen für die vorherige Konsultation und Benachrichtigung der Aufsichtsbehörde sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

Änderungsantrag  94

Vorschlag für eine Verordnung

Erwägung 132

Vorschlag der Kommission

Geänderter Text

(132) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, und sich auf Angelegenheiten beziehen, die von Aufsichtsbehörden im Rahmen des Kohärenzverfahrens mitgeteilt wurden, sofort geltende Durchführungsrechtsakte erlassen.

entfällt

Änderungsantrag  95

Vorschlag für eine Verordnung

Erwägung 134

Vorschlag der Kommission

Geänderter Text

(134) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der Grundlage der Richtlinie 95/46/EG sollten jedoch in Kraft bleiben.

(134) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der Grundlage der Richtlinie 95/46/EG sollten jedoch in Kraft bleiben. Die Beschlüsse der Kommission und die Genehmigungen der Aufsichtsbehörden in Bezug auf die Übermittlung von personenbezogenen Daten an Drittstaaten gemäß Artikel 41 Absatz 8 sollten für einen Übergangszeitraum von fünf Jahren nach Inkrafttreten dieser Verordnung in Kraft bleiben, es sei denn, sie werden vor Ende dieses Zeitraums von der Kommission geändert, ersetzt oder aufgehoben.

Änderungsantrag  96

Vorschlag für eine Verordnung

Artikel 2

Vorschlag der Kommission

Geänderter Text

Sachlicher Anwendungsbereich

Sachlicher Anwendungsbereich

1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

1. Diese Verordnung gilt, unabhängig von der Verarbeitungsmethode, für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten, die vorgenommen wird

2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten, die vorgenommen wird

a) im Rahmen einer Tätigkeit, die nicht in den Geltungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit,

a) im Rahmen einer Tätigkeit, die nicht dem Unionsrecht unterliegt,

b) durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union,

 

c) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Kapitel 2 des Vertrags über die Europäische Union fallen,

c) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union fallen,

d) durch natürliche Personen zu ausschließlich persönlichen oder familiären Zwecken ohne jede Gewinnerzielungsabsicht,

d) von einer natürlichen Person zu ausschließlich persönlichen oder familiären Zwecken; Die Ausnahme gilt auch für die Veröffentlichung personenbezogener Daten, bei denen davon auszugehen ist, dass sie nur einer begrenzten Anzahl von Personen zugänglich sein werden.

e) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden.

e) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden.

3. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit von Anbietern von Vermittlungsdiensten unberührt.

3. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und insbesondere deren Artikel 12 bis 15, in dem die Verantwortlichkeit von Anbietern von Vermittlungsdiensten geregelt ist, unberührt.

Änderungsantrag  97

Vorschlag für eine Verordnung

Artikel 3

Vorschlag der Kommission

Geänderter Text

Räumlicher Anwendungsbereich

Räumlicher Anwendungsbereich

1. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt.

1. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union erfolgt.

2. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen, wenn die Datenverarbeitung

2. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung

a) dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, oder

a) dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von der betroffenen Person eine Zahlung zu leisten ist; oder

b) der Beobachtung ihres Verhaltens dient.

b) der Überwachung dieser betroffenen Personen dient.

3. Die Verordnung findet Anwendung auf jede Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaats unterliegt.

3. Die Verordnung findet Anwendung auf jede Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaats unterliegt.

Änderungsantrag  98

Vorschlag für eine Verordnung

Artikel 4

Vorschlag der Kommission

Geänderter Text

Begriffsbestimmungen

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck

Im Sinne dieser Verordnung bezeichnet der Ausdruck

(1) „betroffene Person" eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa mittels Zuordnung zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

 

(2) „personenbezogene Daten" alle Informationen, die sich auf eine betroffene Person beziehen;

(2) „personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer eindeutigen Kennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen, sozialen oder geschlechtlichen Identität dieser Person sind;

 

(2a) „pseudonymisierte Daten“ personenbezogene Daten, die ohne Heranziehung zusätzlicher Informationen keiner spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die die Nichtzuordnung gewährleisten;

 

(2b) „verschlüsselte Daten“ personenbezogene Daten, die durch technische Schutzmaßnahmen für Personen, die nicht zum Zugriff auf die Daten befugt sind, unverständlich gemacht wurden;

(3) „Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung sowie das Löschen oder Vernichten der Daten;

(3) „Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung sowie das Löschen oder Vernichten der Daten;

 

(3a) „Profiling“ jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen;

(4) „Datei" jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

(4) „Datei jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

(5) "für die Verarbeitung Verantwortlicher" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten durch einzelstaatliches oder Unionsrecht vorgegeben, können der für die Verarbeitung Verantwortliche beziehungsweise die Modalitäten seiner Benennung nach einzelstaatlichem oder Unionsrecht bestimmt werden;

(5)für die Verarbeitung Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten durch mitgliedstaatliches oder Unionsrecht vorgegeben, können der für die Verarbeitung Verantwortliche beziehungsweise die Modalitäten seiner Benennung nach mitgliedstaatlichem oder Unionsrecht bestimmt werden;

(6) "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(6) "Auftragsverarbeiter" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(7) "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

(7) "Empfänger" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

 

(7a) „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

(8) "Einwilligung der betroffenen Person" jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

(8)Einwilligung der betroffenen Person jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte ausdrückliche Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

(9) "Verletzung des Schutzes personenbezogener Daten" eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder widerrechtlich, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(9)Verletzung des Schutzes personenbezogener Daten“ die Vernichtung, der Verlust, die Veränderung, ob unbeabsichtigt oder widerrechtlich, oder die unbefugte Weitergabe von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(10) „genetische Daten“ Daten jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(10) „genetische Daten“ alle personenbezogenen Daten betreffend die genetischen Merkmale eines Menschen, die ererbt oder erworben wurden, die aus einer Analyse einer biologischen Probe des betreffenden Menschen resultieren, insbesondere durch DNA- oder RNA-Analyse oder Analyse eines anderen Elements, wodurch entsprechende Informationen erlangt werden können;

(11) „biometrische Daten“ Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(11) „biometrische Daten“ personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(12) „Gesundheitsdaten“ Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(12) „Gesundheitsdaten“ personenbezogene Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(13) „Hauptniederlassung“ im Falle des für die Verarbeitung Verantwortlichen der Ort seiner Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden; wird über die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten nicht in der Union entschieden, ist die Hauptniederlassung der Ort, an dem die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen in der Union hauptsächlich stattfinden. Im Falle des Auftragsverarbeiters bezeichnet „Hauptniederlassung“ den Ort, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat;

(13) „Hauptniederlassung“ der Ort der Niederlassung eines Unternehmens oder einer Unternehmensgruppe in der Union – wobei es sich um den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter handeln kann –, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten getroffen werden. Unter anderem können die folgenden objektiven Kriterien in Betracht gezogen werden: der Standort des für die Verarbeitung Verantwortlichen oder die Hauptverwaltung des Auftragsverarbeiters, der Standort derjenigen Einheit in einer Unternehmensgruppe, die im Hinblick auf Leitungsfunktionen und administrative Zuständigkeiten am besten in der Lage ist, die Vorschriften dieser Verordnung anzuwenden und durchzusetzen, der Standort, an dem effektive und tatsächliche Managementtätigkeiten ausgeübt werden und die Datenverarbeitung im Rahmen fester Einrichtungen festgelegt wird.

(14) „Vertreter“ jede in der Union niedergelassene natürliche oder juristische Person, die von dem für die Verarbeitung Verantwortlichen ausdrücklich bestellt wurde und in Bezug auf die diesem nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle handelt und gegenüber den Aufsichtsbehörden oder sonstigen Stellen in der Union als Ansprechpartner fungiert;

(14) „Vertreter“ jede in der Union niedergelassene natürliche oder juristische Person, die von dem für die Verarbeitung Verantwortlichen ausdrücklich bestellt wurde und ihn in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen vertritt;

(15) „Unternehmen“ jedes Gebilde, das eine wirtschaftliche Tätigkeit ausübt, unabhängig von seiner Rechtsform, das heißt vor allem natürliche und juristische Personen sowie Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

(15) „Unternehmen“ jedes Gebilde, das eine wirtschaftliche Tätigkeit ausübt, unabhängig von seiner Rechtsform, das heißt vor allem natürliche und juristische Personen sowie Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

(16) „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

(16) „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

(17) „verbindliche unternehmensinterne Datenschutzregelungen“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines EU-Mitgliedstaats niedergelassener für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter für Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe in einem oder mehreren Drittländern verpflichtet;

(17) „verbindliche unternehmensinterne Datenschutzregelungen“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines EU-Mitgliedstaats niedergelassener für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter für Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe in einem oder mehreren Drittländern verpflichtet;

(18) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(18) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(19) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 46 eingerichtete staatliche Stelle.

(19) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 46 eingerichtete staatliche Stelle.

Änderungsantrag  99

Vorschlag für eine Verordnung

Artikel 5

Vorschlag der Kommission

Geänderter Text

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Grundsätze für die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen

Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz);

b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;

b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung);

c) dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein; sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können;

c) dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sein; sie dürfen nur verarbeitet werden, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können (Datenminimierung);

d) sachlich richtig und auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

d) sachlich richtig und, wenn nötig, auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, wenn die Daten ausschließlich zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke im Einklang mit den Vorschriften und Modalitäten des Artikels 83 verarbeitet werden und die Notwendigkeit ihrer weiteren Speicherung in regelmäßigen Abständen überprüft wird;

e) in einer Form gespeichert werden, die die direkte oder indirekte Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, wenn die Daten ausschließlich zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke oder Archivzwecke im Einklang mit den Vorschriften und Modalitäten der Artikel 83 und 83a verarbeitet werden und die Notwendigkeit ihrer weiteren Speicherung in regelmäßigen Abständen überprüft wird und angemessene technische und organisatorische Maßnahmen ergriffen werden, um den Zugang zu den Daten lediglich auf diese Zwecke zu begrenzen (Speicherminimierung);

 

ea) in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, wirksam ihre Rechte wahrzunehmen (Wirksamkeit);

 

eb) in einer Weise verarbeitet werden, die vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen schützt (Integrität);

f) unter der Gesamtverantwortung des für die Verarbeitung Verantwortlichen verarbeitet werden, der dafür haftet, dass bei jedem Verarbeitungsvorgang die Vorschriften dieser Verordnung eingehalten werden, und der den Nachweis hierfür erbringen muss.

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der dafür zu sorgen hat, dass die Vorschriften dieser Verordnung eingehalten werden, und in der Lage sein muss, den Nachweis hierfür zu erbringen (Rechenschaftspflicht).

Änderungsantrag  100

Vorschlag für eine Verordnung

Artikel 6

Vorschlag der Kommission

Geänderter Text

Rechtmäßigkeit der Verarbeitung

Rechtmäßigkeit der Verarbeitung

1. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gegeben.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.

c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.

c) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.

d) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.

d) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person zu schützen.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde.

e) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt und die dem für die Verarbeitung Verantwortlichen übertragen wurde.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

f) Die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen – oder, im Fall der Weitergabe, der berechtigten Interessen eines Dritten, an den die Daten weitergegeben wurden – , die die berechtigten Erwartungen der betroffenen Person, die auf ihrem Verhältnis zu dem für die Verarbeitung Verantwortlichen beruhen, erfüllen, erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Dieser gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

2. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke unterliegt den Bedingungen und Garantien des Artikels 83.

2. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke unterliegt den Bedingungen und Garantien des Artikels 83.

3. Die Verarbeitungen gemäß Absatz 1 Buchstaben c und e müssen eine Rechtsgrundlage haben im

3. Die Verarbeitungen gemäß Absatz 1 Buchstaben c und e müssen eine Rechtsgrundlage haben im

a) Unionsrecht oder

a) Unionsrecht oder

b) Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt.

b) Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt.

Die einzelstaatliche Regelung muss ein im öffentlichen Interesse liegendes Ziel verfolgen oder zum Schutz der Rechte und Freiheiten Dritter erforderlich sein, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem mit der Verarbeitung verfolgten legitimen Zweck stehen.

Die einzelstaatliche Regelung muss ein im öffentlichen Interesse liegendes Ziel verfolgen oder zum Schutz der Rechte und Freiheiten Dritter erforderlich sein, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem mit der Verarbeitung verfolgten legitimen Zweck stehen. Im Rahmen dieser Verordnung können im Recht der Mitgliedstaaten Einzelheiten der Rechtmäßigkeit der Verarbeitung, insbesondere zu den für die Verarbeitung Verantwortlichen, zur Zweckbestimmung der Verarbeitung und Zweckbindung, zur Art der Daten und zu den betroffenen Personen, zu Verarbeitungsvorgängen und -verfahren, zu Empfängern sowie zur Speicherdauer geregelt werden.

4. Ist der Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten erhoben wurden, nicht vereinbar, muss auf die Verarbeitung mindestens einer der in Absatz 1 Buchstaben a bis e genannten Gründe zutreffen. Dies gilt insbesondere bei Änderungen von Geschäfts- und allgemeinen Vertragsbedingungen.

 

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Anwendung von Absatz 1 Buchstabe f für verschiedene Bereiche und Verarbeitungssituationen einschließlich Situationen, die die Verarbeitung personenbezogener Daten von Kindern betreffen, näher zu regeln.

 

Änderungsantrag  101

Vorschlag für eine Verordnung

Artikel 7

Vorschlag der Kommission

Geänderter Text

Einwilligung

Einwilligung

1. Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat.

1. Im Fall der Verarbeitung auf Grundlage einer Einwilligung trägt der für die Verarbeitung Verantwortliche die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat.

2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich erkennbar von dem anderen Sachverhalt getrennt werden.

2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich klar erkennbar von dem anderen Sachverhalt getrennt werden. Bestimmungen über die Einwilligung der betroffenen Person, die diese Verordnung teilweise verletzen, sind in vollem Umfang nichtig.

3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

3. Unbeschadet anderer Rechtsgrundlagen für die Verarbeitung hat die betroffene Person das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. Die betroffene Person wird von dem für die Verarbeitung Verantwortlichen informiert, wenn der Widerruf der Einwilligung zu einer Einstellung der erbrachten Dienstleistungen oder der Beendigung der Beziehungen zu dem für die Verarbeitung Verantwortlichen führen kann.

4. Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.

4. Die Einwilligung ist zweckgebunden und wird unwirksam, wenn der Zweck nicht mehr gegeben ist oder die Verarbeitung der personenbezogenen Daten zur Erreichung des Zwecks, für den die Daten ursprünglich erhoben wurden, nicht mehr erforderlich ist. Die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung darf nicht von der Einwilligung in eine Verarbeitung von Daten abhängig gemacht werden, die für die Erfüllung des Vertrages oder die Erbringung der Dienstleistung nicht im Sinne von Artikel 6 Absatz 1 Buchstabe b erforderlich ist.

Änderungsantrag  102

Vorschlag für eine Verordnung

Artikel 8

Vorschlag der Kommission

Geänderter Text

Verarbeitung personenbezogener Daten eines Kindes

Verarbeitung personenbezogener Daten eines Kindes

1. Für die Zwecke dieser Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Dienste der Informationsgesellschaft angeboten werden, nur rechtmäßig, wenn und insoweit die Einwilligung hierzu durch die Eltern oder den Vormund des Kindes oder mit deren Zustimmung erteilt wird. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung der vorhandenen Technologie angemessene Anstrengungen, um eine nachprüfbare Einwilligung zu erhalten.

1. Für die Zwecke dieser Verordnung ist die Verarbeitung personenbezogener Daten eines Kindes bis zum vollendeten dreizehnten Lebensjahr, dem direkt Waren oder Dienstleistungen angeboten werden, nur rechtmäßig, wenn und insoweit die Einwilligung hierzu von den Eltern oder Sorgeberechtigten oder mit deren Zustimmung erteilt wird. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung der vorhandenen Technologie angemessene Anstrengungen, um diese Einwilligung zu überprüfen, ohne eine sonst unnötige Verarbeitung personenbezogener Daten zu verursachen.

 

1a. Informationen, die im Hinblick auf die Abgabe einer Einwilligung Kindern, Eltern und Sorgeberechtigten bereitgestellt werden, einschließlich solcher über die Erhebung und Verwendung personenbezogener Daten durch den für die Verarbeitung Verantwortliche, sollten in einer eindeutigen und den Adressaten angemessenen Sprache abgefasst sein.

2. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags mit einem Kind, unberührt.

2. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags mit einem Kind, unberührt.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Modalitäten und Anforderungen in Bezug auf die Art der Erlangung einer nachprüfbaren Einwilligung gemäß Absatz 1 näher zu regeln. Dabei berücksichtigt die Kommission spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen.

3. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken in Bezug auf die Überprüfung der Einwilligung gemäß Absatz 1 nach Maßgabe von Artikel 66 zu veröffentlichen.

4. Die Kommission kann Standardvorlagen für spezielle Arten der Erlangung einer nachprüfbaren Einwilligung gemäß Absatz 1 festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  103

Vorschlag für eine Verordnung

Artikel 9

Vorschlag der Kommission

Geänderter Text

Verarbeitung besonderer Kategorien von personenbezogenen Daten

Besondere Datenkategorien

1. Die Verarbeitung personenbezogener Daten, aus denen die Rasse oder ethnische Herkunft, politische Überzeugungen, die Religions- oder Glaubenszugehörigkeit oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, sowie von genetischen Daten, Daten über die Gesundheit oder das Sexualleben oder Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln ist untersagt.

1. Die Verarbeitung personenbezogener Daten, aus denen die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, sexuelle Orientierung oder Geschlechtsidentität oder die Mitgliedschaft und Betätigung in einer Gewerkschaft hervorgehen, sowie von genetischen oder biometrischen Daten, Daten über die Gesundheit oder das Sexualleben oder Daten über verwaltungsrechtliche Sanktionen, Urteile, Straftaten oder mutmaßliche Straftaten, Verurteilungen oder damit zusammenhängende Sicherungsmaßregeln ist untersagt.

2. Absatz 1 gilt nicht in folgenden Fällen:

2. Absatz 1 gilt nicht, wenn eines der folgenden Kriterien zutrifft:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten vorbehaltlich der in den Artikeln 7 und 8 genannten Bedingungen eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, oder

a) Die betroffene Person hat für einen oder mehrere spezifische Zwecke in die Verarbeitung der genannten personenbezogenen Daten vorbehaltlich der in den Artikeln 7 und 8 genannten Bedingungen eingewilligt, es sei denn, nach den Rechtsvorschriften der Union oder eines Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, oder

 

aa) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Verlangen der betroffenen Person erfolgt;

b) die Verarbeitung ist erforderlich, damit der für die Verarbeitung Verantwortliche seine ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen arbeitsrechtlichen Pflichten nachkommen kann, soweit dies nach den Vorschriften der Union oder dem Recht der Mitgliedstaaten, das angemessene Garantien vorsehen muss, zulässig ist, oder

b) die Verarbeitung ist erforderlich, damit der für die Verarbeitung Verantwortliche seine ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen arbeitsrechtlichen Pflichten nachkommen kann, soweit dies nach den Vorschriften der Union, dem Recht der Mitgliedstaaten, oder Kollektivvereinbarungen, die angemessene Garantien der Grundrechte und Interessen der betroffenen Person, wie etwa des Rechts auf Nichtdiskriminierung, vorbehaltlich der Bedingungen und Garantien des Artikels 82, vorsehen, zulässig ist; oder

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich und die betroffene Person ist aus physischen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, oder

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich und die betroffene Person ist aus physischen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, oder

d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Erwerbszweck im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen weitergegeben werden, oder

d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Erwerbszweck im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen weitergegeben werden, oder

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder

f) die Verarbeitung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich oder

f) die Verarbeitung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich oder

g) die Verarbeitung ist erforderlich, um auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene Garantien zur Wahrung der berechtigten Interessen der betroffenen Person vorsieht, eine im öffentlichen Interesse liegende Aufgabe zu erfüllen, oder

g) die Verarbeitung ist erforderlich, um auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene Garantien zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, eine Aufgabe zu erfüllen, an der ein hohes öffentliches Interesse besteht; oder

h) die Verarbeitung betrifft Gesundheitsdaten und ist vorbehaltlich der Bedingungen und Garantien des Artikels 81 für Gesundheitszwecke erforderlich oder

h) die Verarbeitung betrifft Gesundheitsdaten und ist vorbehaltlich der Bedingungen und Garantien des Artikels 81 für Gesundheitszwecke erforderlich oder

i) die Verarbeitung ist vorbehaltlich der Bedingungen und Garantien des Artikels 83 für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich oder

i) die Verarbeitung ist vorbehaltlich der Bedingungen und Garantien des Artikels 83 für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich oder

 

ia) die Verarbeitung ist – vorbehaltlich der in Artikel 83a genannten Bedingungen und Garantien – für Archivdienste erforderlich, oder

j) die Verarbeitung von Daten über Strafurteile oder damit zusammenhängende Sicherungsmaßregeln erfolgt entweder unter behördlicher Aufsicht oder aufgrund einer gesetzlichen oder rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt, oder zur Erfüllung einer Aufgabe, der ein wichtiges öffentliches Interesse zugrunde liegt, soweit dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das angemessene Garantien vorsehen muss, zulässig ist. Ein vollständiges Strafregister darf nur unter behördlicher Aufsicht geführt werden.

j) die Verarbeitung von Daten über verwaltungsrechtliche Sanktionen, Urteile, Straftaten, Verurteilungen oder damit zusammenhängende Sicherungsmaßregeln erfolgt entweder unter behördlicher Aufsicht oder aufgrund einer gesetzlichen oder rechtlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt, oder zur Erfüllung einer Aufgabe, der ein wichtiges öffentliches Interesse zugrunde liegt, soweit dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das angemessene Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen muss, zulässig ist. Strafregister dürfen nur unter behördlicher Aufsicht geführt werden.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Modalitäten sowie angemessene Garantien für die Verarbeitung der in Absatz 1 genannten besonderen Kategorien von personenbezogenen Daten und die in Absatz 2 genannten Ausnahmen näher zu regeln.

3. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken für die Verarbeitung der in Absatz 1 genannten besonderen Kategorien von personenbezogenen Daten und die in Absatz 2 genannten Ausnahmen nach Maßgabe von Artikel 66 näher zu regeln.

Änderungsantrag  104

Vorschlag für eine Verordnung

Artikel 10

Vorschlag der Kommission

Geänderter Text

Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, ist er nicht verpflichtet, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen.

1. Kann der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter anhand der von ihm verarbeiteten Daten eine natürliche Person weder direkt noch indirekt bestimmen, oder bestehen die von ihm verarbeiteten Daten nur aus pseudonymisierten Daten, so ist es ihm nicht gestattet, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten zu verarbeiten oder einzuholen, um die betroffene Person zu bestimmen.

 

2. Kann der für die Verarbeitung Verantwortliche eine Vorschrift dieser Verordnung wegen Absatz 1 nicht einhalten, ist er nicht verpflichtet, die konkrete Vorschrift dieser Verordnung einzuhalten. Kann infolgedessen der für die Verarbeitung Verantwortliche dem Verlangen einer betroffenen Person nicht entsprechen, informiert er die betroffene Person dementsprechend.

Änderungsantrag  105

Vorschlag für eine Verordnung

Artikel 10 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 10a

 

Allgemeine Grundsätze für die Rechte der betroffenen Person

 

1. Grundlage des Datenschutzes bilden klare und eindeutige Rechte der betroffenen Person, die von dem für die Verarbeitung Verantwortlichen zu achten sind. Mit dieser Verordnung sollen diese Rechte gestärkt, geklärt, gewährleistet und erforderlichenfalls kodifiziert werden.

 

2. Zu diesen Rechten gehören unter anderem die Bereitstellung klarer und leicht verständlicher Informationen über die Verarbeitung der personenbezogenen Daten der betroffenen Person, das Recht auf Zugang, Berichtigung und Löschung ihrer Daten, das Recht auf Herausgabe von Daten, das Recht, dem Profiling zu widersprechen, das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde und Klageerhebung sowie das Recht auf Ersatz des Schadens, der durch eine rechtswidrige Verarbeitung entsteht. Die Ausübung dieser Rechte darf grundsätzlich mit keinen Kosten verbunden sein. Der für die Verarbeitung Verantwortliche hat die Anträge der betroffenen Personen innerhalb einer angemessenen Frist zu bearbeiten.

 

Änderungsantrag  106

Vorschlag für eine Verordnung

Artikel 11

Vorschlag der Kommission

Geänderter Text

1. Der für die Verarbeitung Verantwortliche verfolgt in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine nachvollziehbare und für jedermann leicht zugängliche Strategie.

1. Der für die Verarbeitung Verantwortliche verfolgt in Bezug auf die Verarbeitung personenbezogener Daten und die Ausübung der den betroffenen Personen zustehenden Rechte eine prägnante, nachvollziehbare, klare und für jedermann leicht zugängliche Strategie.

2. Der für die Verarbeitung Verantwortliche stellt der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen und adressatengerechten Sprache zur Verfügung, besonders dann, wenn die Information an ein Kind gerichtet ist.

2. Der für die Verarbeitung Verantwortliche stellt der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren und einfachen Sprache zur Verfügung, besonders dann, wenn die Information an ein Kind gerichtet ist.

Änderungsantrag  107

Vorschlag für eine Verordnung

Artikel 12

Vorschlag der Kommission

Geänderter Text

1. Der für die Verarbeitung Verantwortliche legt fest, mittels welcher Verfahren er die Informationen gemäß Artikel 14 bereitstellt und den betroffenen Personen die Ausübung der ihnen gemäß Artikel 13 sowie den Artikeln 15 bis 19 zustehenden Rechte ermöglicht. Er trifft insbesondere Vorkehrungen, um die Beantragung der in Artikel 13 sowie in den Artikeln 15 bis 19 genannten Maßnahmen zu erleichtern. Im Falle der automatischen Verarbeitung personenbezogener Daten sorgt der für die Verarbeitung Verantwortliche dafür, dass die Maßnahme elektronisch beantragt werden kann.

1. Im Falle der automatischen Verarbeitung personenbezogener Daten sorgt der für die Verarbeitung Verantwortliche dafür, dass die Maßnahme nach Möglichkeit elektronisch beantragt werden kann.

2. Der für die Verarbeitung Verantwortliche kommt seiner Informationspflicht gegenüber der betroffenen Person umgehend nach und teilt ihr spätestens innerhalb eines Monats nach Eingang eines Antrags mit, ob eine Maßnahme nach Artikel 13 oder den Artikeln 15 bis 19 ergriffen wurde, und erteilt die erbetene Auskunft. Diese Frist kann um einen Monat verlängert werden, wenn mehrere betroffene Personen von ihren Rechten Gebrauch machen und ihre Zusammenarbeit bis zu einem vertretbaren Maß notwendig ist, um einen unnötigen und unverhältnismäßig hohen Aufwand seitens des für die Verarbeitung Verantwortlichen zu vermeiden. Die Unterrichtung hat schriftlich zu erfolgen. Stellt die betroffene Person den Antrag in elektronischer Form, ist sie auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

2. Der für die Verarbeitung Verantwortliche kommt seiner Informationspflicht gegenüber der betroffenen Person unverzüglich nach und teilt ihr spätestens innerhalb von 40 Kalendertagen nach Eingang eines Antrags mit, ob eine Maßnahme nach Artikel 13 oder den Artikeln 15 bis 19 ergriffen wurde, und erteilt die erbetene Auskunft. Diese Frist kann um einen Monat verlängert werden, wenn mehrere betroffene Personen von ihren Rechten Gebrauch machen und ihre Zusammenarbeit bis zu einem vertretbaren Maß notwendig ist, um einen unnötigen und unverhältnismäßig hohen Aufwand seitens des für die Verarbeitung Verantwortlichen zu vermeiden. Die Unterrichtung hat schriftlich zu erfolgen und der für die Verarbeitung Verantwortliche kann, soweit durchführbar, Fernzugriff zu einem sicheren System bereitstellen, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Stellt die betroffene Person den Antrag in elektronischer Form, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

3. Weigert sich der für die Verarbeitung Verantwortliche, auf Antrag der betroffenen Person tätig zu werden, unterrichtet er die betroffene Person über die Gründe für die Weigerung und über die Möglichkeit, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

3. Wird der für die Verarbeitung Verantwortliche entgegen dem Antrag der betroffenen Person nicht tätig, so unterrichtet er die betroffene Person über die Gründe für die Untätigkeit und über die Möglichkeit, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

4. Die Unterrichtung und die auf Antrag ergriffenen Maßnahmen gemäß Absatz 1 sind kostenlos. Bei offenkundig unverhältnismäßigen Anträgen und besonders im Fall ihrer Häufung kann der für die Verarbeitung Verantwortliche ein Entgelt für die Unterrichtung oder die Durchführung der beantragten Maßnahme verlangen oder die beantragte Maßnahme unterlassen. In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast für den offenkundig unverhältnismäßigen Charakter des Antrags.

4. Die Unterrichtung und die auf Antrag ergriffenen Maßnahmen gemäß Absatz 1 sind kostenlos. Bei offenkundig unverhältnismäßigen Anträgen und besonders im Fall ihrer Häufung kann der für die Verarbeitung Verantwortliche ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Durchführung der beantragten Maßnahme berücksichtigt werden. In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast für die offenkundige Unverhältnismäßigkeit des Antrags.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Voraussetzungen für offenkundig unverhältnismäßige Anträge sowie die in Absatz 4 genannten Entgelte näher zu regeln.

 

6. Die Kommission kann Standardvorlagen und Standardverfahren für die Mitteilungen gemäß Absatz 2, auch für solche in elektronischer Form, festlegen. Dabei ergreift die Kommission geeignete Maßnahmen für Kleinst- und Kleinunternehmen sowie mittlere Unternehmen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  108

Vorschlag für eine Verordnung

Artikel 13

Vorschlag der Kommission

Geänderter Text

Rechte gegenüber Empfängern

Benachrichtigungspflicht bei Berichtigungen und Löschungen

Der für die Verarbeitung Verantwortliche teilt allen Empfängern, an die Daten weitergegeben wurden, jede Berichtigung oder Löschung, die aufgrund von Artikel 16 beziehungsweise 17 vorgenommen wird, mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Der für die Verarbeitung Verantwortliche teilt allen Empfängern, an die Daten weitergegeben wurden, jede Berichtigung oder Löschung, die aufgrund von Artikel 16 beziehungsweise 17 vorgenommen wird, mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Änderungsantrag  109

Vorschlag für eine Verordnung

Artikel 13 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 13a

 

Standardisierte Informationsmaßnahmen

 

1. Einer Person, von der personenbezogene Daten erhoben werden, teilt der für die Verarbeitung Verantwortliche vor der Bereitstellung der Informationen gemäß Artikel 14 mit,

 

a) ob mehr personenbezogene Daten erhoben werden, als für den jeweiligen Zweck der Verarbeitung erforderlich;

 

b) ob mehr personenbezogene Daten gespeichert werden, als für den jeweiligen Zweck der Verarbeitung erforderlich;

 

c) ob personenbezogene Daten zu anderen als den Zwecken verarbeitet werden, für die sie erhoben wurden;

d) ob personenbezogene Daten an gewerbliche Dritte weitergegeben werden;

 

e) ob personenbezogene Daten verkauft oder gegen Entgelt überlassen werden;

 

f) ob personenbezogene Daten verschlüsselt gespeichert werden.

 

2. Die in Absatz 1 genannten Hinweise sind nach Maßgabe des Anhangs X in Tabellenform geordnet mit Text und Symbolen wie folgt in drei Spalten aufzuführen:

 

a) In der ersten Spalte werden Piktogramme dargestellt, die diese Hinweise symbolisieren.

 

b) Die zweite Spalte enthält wesentliche Informationen, mit denen diese Hinweise erläutert werden.

 

c) In der dritten Spalte werden Piktogramme dargestellt, mit denen angezeigt wird, ob der betreffende Hinweis zutreffend ist oder nicht.

 

3. Die in den Absätzen 1 und 2 genannten Informationen sind in einer leicht erkennbaren und gut lesbaren Weise darzustellen und in einer Sprache abzufassen, die für die Verbraucher in den Mitgliedstaaten, an die sich die Informationen richten, leicht verständlich ist. Werden die Einzelheiten in elektronischer Form wiedergegeben, müssen sie maschinenlesbar sein.

 

4. Zusätzliche Einzelheiten dürfen nicht aufgeführt werden. Ausführliche Erklärungen oder weitere Anmerkungen zu den Hinweisen nach Absatz 1 können zusammen mit den Informationen nach Artikel 14 bereitgestellt werden.

 

5. Der Kommission wird die Befugnis übertragen, nach Einholung einer Stellungnahme des Europäischen Datenschutzausschusses delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Hinweise nach Absatz 1 und ihre Darstellung gemäß Absatz 2 und Anhang X genauer festzulegen.

Änderungsantrag  110

Vorschlag für eine Verordnung

Artikel 14

Vorschlag der Kommission

Geänderter Text

Information der betroffenen Person

Unterrichtung der betroffenen Person

1. Einer Person, von der personenbezogene Daten erhoben werden, teilt der für die Verarbeitung Verantwortliche zumindest Folgendes mit:

1. Einer Person, von der personenbezogene Daten erhoben werden, teilt der für die Verarbeitung Verantwortliche, nach der Bereitstellung der Hinweise gemäß Artikel 13a, zumindest Folgendes mit,

a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters und des Datenschutzbeauftragten,

a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters und des Datenschutzbeauftragten,

b) die Zwecke, für die Daten verarbeitet werden, einschließlich der Geschäfts- und allgemeinen Vertragsbedingungen, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe b gründet, beziehungsweise die von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen, wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,

b) die Zwecke, für die Daten verarbeitet werden, und Informationen über die Sicherheit in Bezug auf die Verarbeitung personenbezogener Daten, einschließlich der Geschäfts- und allgemeinen Vertragsbedingungen, falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe b gründet, und gegebenenfalls Informationen über die Umsetzung und Erfüllung der Anforderungen gemäß Artikel 6 Absatz 1 Buchstabe f ,

c) die Dauer, für die die personenbezogenen Daten gespeichert werden,

c) die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

d) das Bestehen eines Rechts auf Auskunft sowie Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchsrechts gegen die Verarbeitung dieser Daten,

d) das Bestehen eines Rechts auf Auskunft sowie auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchsrechts gegen die Verarbeitung dieser Daten und eines Rechts auf Herausgabe der Daten,

 

e) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

e) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

f) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

f) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

g) gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das dort geltende Datenschutzniveau unter Bezugnahme auf einen Angemessenheitsbeschluss der Kommission,

g) gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, oder im Falle der in Artikel 42, Artikel 43 und Artikel 44 Absatz 1 Buchstabe h erwähnten Übermittlungen einen Verweis auf die entsprechenden Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten,

 

ga) gegebenenfalls Angaben über das Vorhandensein eines Profilings, auf Profiling gestützte Maßnahmen und die beabsichtigten Auswirkungen des Profilings auf die betroffene Person;

 

gb) aussagekräftige Informationen über die Logik einer automatisierten Datenverarbeitung;

h) sonstige Informationen, die unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

h) sonstige Informationen, die unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten erhoben oder verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten, insbesondere das Vorliegen bestimmter Verarbeitungsaktivitäten oder Verarbeitungsvorgänge, für die in Datenschutz-Folgenabschätzungen ein mögliches hohes Risiko festgestellt wurde,

 

ha) gegebenenfalls Angaben dazu, ob im letzten zusammenhängenden Zwölfmonatszeitraum personenbezogene Daten an Behörden vorgelegt wurden.

2. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder fakultativ ist und welche mögliche Folgen die Verweigerung der Daten hätte.

2. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder fakultativ ist und welche mögliche Folgen die Verweigerung der Daten hätte.

 

2a. Bei der Entscheidung über weitere Informationen, die notwendig sind, damit die Verarbeitung gemäß Absatz 1 Buchstabe h nach Treu und Glauben erfolgt, berücksichtigen die für die Verarbeitung Verantwortlichen die einschlägigen Leitlinien gemäß Artikel 38.

3. Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem die Herkunft der personenbezogenen Daten mit.

3. Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem die Herkunft der spezifischen personenbezogenen Daten mit. Stammen die personenbezogenen Daten aus öffentlich zugänglichen Quellen, kann eine allgemeine Angabe erfolgen.

4. Der für die Verarbeitung Verantwortliche erteilt die Informationen gemäß den Absätzen 1, 2 und 3

4. Der für die Verarbeitung Verantwortliche erteilt die Informationen gemäß den Absätzen 1, 2 und 3

a) zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder

a) zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder unverzüglich, wenn Ersteres nicht möglich ist; oder

 

aa) auf Antrag einer Einrichtung, einer Organisation oder eines Verbands gemäß Artikel 73;

b) falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, zum Zeitpunkt ihrer Erfassung oder innerhalb einer angemessenen Frist nach ihrer Erhebung, die den besonderen Umständen, unter denen die Daten erhoben oder auf sonstige Weise verarbeitet wurden, Rechnung trägt, oder, falls die Weitergabe an einen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Weitergabe.

b) falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, zum Zeitpunkt ihrer Erfassung oder innerhalb einer angemessenen Frist nach ihrer Erhebung, die den besonderen Umständen, unter denen die Daten erhoben oder auf sonstige Weise verarbeitet wurden, Rechnung trägt, oder, falls die Weitergabe an einen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Weitergabe, oder, wenn die Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit dieser Person; oder

 

ba) nur auf Antrag, wenn die Daten von kleinen oder Kleinstunternehmen, die die personenbezogenen Daten nur als Nebentätigkeit verarbeiten, verarbeitet werden.

5. Die Absätze 1 bis 4 finden in folgenden Fällen keine Anwendung:

5. Die Absätze 1 bis 4 finden in folgenden Fällen keine Anwendung:

a) Die betroffene Person verfügt bereits über die Informationen gemäß den Absätzen 1, 2 und 3 oder

a) Die betroffene Person verfügt bereits über die Informationen gemäß den Absätzen 1, 2 und 3 oder

b) die Daten werden nicht bei der betroffenen Person erhoben und die Unterrichtung erweist sich als unmöglich oder ist mit einem unverhältnismäßig hohen Aufwand verbunden oder

b) die Daten werden vorbehaltlich der in Artikel 81 oder Artikel 83 genannten Bedingungen und Garantien für historische, statistische oder wissenschaftliche Forschungszwecke verarbeitet, und werden nicht bei der betroffenen Person erhoben und die Unterrichtung erweist sich als unmöglich oder ist mit einem unverhältnismäßig hohen Aufwand verbunden und der für die Verarbeitung Verantwortliche hat die Informationen so veröffentlicht, dass sie von jedermann abgefragt werden können, oder

c) die Daten werden nicht bei der betroffenen Person erhoben und die Erfassung oder Weitergabe ist ausdrücklich per Gesetz geregelt oder

c) die Daten werden nicht bei der betroffenen Person erhoben und die Erfassung oder Weitergabe ist ausdrücklich in einem Gesetz geregelt, dem der für die Verarbeitung Verantwortliche unterliegt und das unter Berücksichtigung der aufgrund der Verarbeitung und der Art der personenbezogenen Daten bestehenden Risiken angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person vorsieht, oder

d) die Daten werden nicht bei der betroffenen Person erhoben und die Bereitstellung der Informationen greift nach Maßgabe des Unionsrechts oder des Rechts der Mitgliedstaaten gemäß Artikel 21 in die Rechte und Freiheiten anderer Personen ein.

d) die Daten werden nicht bei der betroffenen Person erhoben und die Bereitstellung der Informationen greift nach Maßgabe des Unionsrechts oder des Rechts der Mitgliedstaaten gemäß Artikel 21 in die Rechte und Freiheiten anderer natürlicher Personen ein.

 

da) die Daten werden von einer Person, die nach dem Recht eines Mitgliedstaats oder dem Unionsrecht einem Berufsgeheimnis oder einer gesetzlichen Geheimhaltungspflicht unterliegt, in Ausübung ihrer beruflichen Tätigkeit verarbeitet, ihr anvertraut oder bekannt, es sei denn, die Daten werden unmittelbar bei der betroffenen Person erhoben.

6. Im Fall des Absatzes 5 Buchstabe b ergreift der für die Verarbeitung Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person.

6. Im Fall des Absatzes 5 Buchstabe b ergreift der für die Verarbeitung Verantwortliche geeignete Maßnahmen zum Schutz der Rechte oder berechtigten Interessen der betroffenen Person.

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten zu den Kategorien von Empfängern gemäß Absatz 1 Buchstabe f, den Anforderungen an Informationen gemäß Absatz 1 Buchstabe g, den Kriterien für die Erteilung sonstiger Informationen im Sinne von Absatz 1 Buchstabe h für verschiedene Bereiche und Verarbeitungssituationen und zu den Bedingungen und geeigneten Garantien im Hinblick auf die Ausnahmen gemäß Absatz 5 Buchstabe b zu regeln. Dabei ergreift die Kommission geeignete Maßnahmen für Kleinst- und Kleinstunternehmen sowie mittlere Unternehmen.

 

8. Die Kommission kann Standardvorlagen für die Bereitstellung der Informationen gemäß den Absätzen 1 bis 3 festlegen, wobei sie gegebenenfalls die Besonderheiten und Bedürfnisse der verschiedenen Sektoren und Verarbeitungssituationen berücksichtigt. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  111

Vorschlag für eine Verordnung

Artikel 15

Vorschlag der Kommission

Geänderter Text

Auskunftsrecht der betroffenen Person

Recht der betroffenen Person auf Auskunft und auf Herausgabe der Daten

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht. Werden personenbezogene Daten verarbeitet, teilt der für die Verarbeitung Verantwortliche Folgendes mit:

1. Die betroffene Person hat – vorbehaltlich des Artikels 12 Absatz 4 – das Recht, von dem für die Verarbeitung Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, und folgende in einfacher und verständlicher Sprache abgefasste Informationen zu verlangen:

a) die Verarbeitungszwecke,

a) die Verarbeitungszwecke für jede Kategorie personenbezogener Daten;

b) die Kategorien personenbezogener Daten, die verarbeitet werden,

b) die Kategorien personenbezogener Daten, die verarbeitet werden,

c) die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben werden müssen oder weitergegeben worden sind, speziell bei Empfängern in Drittländern,

c) die Empfänger, an die die personenbezogenen Daten weitergegeben werden müssen oder weitergegeben worden sind, darunter auch bei Empfängern in Drittländern,

d) die Dauer, für die die personenbezogenen Daten gespeichert werden,

d) die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchrechts gegen die Verarbeitung dieser Daten,

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen beziehungsweise eines Widerspruchrechts gegen die Verarbeitung dieser Daten,

f) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

f) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

g) diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,

 

h) die Tragweite der Verarbeitung und die mit ihr angestrebten Auswirkungen, zumindest im Fall der Maßnahmen gemäß Artikel 20.

h) die Tragweite der Verarbeitung und die mit ihr angestrebten Wirkungen,

 

ha) aussagekräftige Informationen über die Logik einer automatisierten Datenverarbeitung;

 

hb) im Falle der Weitergabe personenbezogener Daten an eine Behörde infolge eines Antrags einer Behörde, die Bestätigung, dass solch ein Antrag gestellt wurde, wobei Artikel 21 unberührt bleibt.

2. Die betroffene Person hat Anspruch darauf, dass ihr von dem für die Verarbeitung Verantwortlichen mitgeteilt wird, welche personenbezogenen Daten verarbeitet werden. Stellt die betroffene Person den Antrag in elektronischer Form, ist sie auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

2. Die betroffene Person hat Anspruch darauf, dass ihr von dem für die Verarbeitung Verantwortlichen mitgeteilt wird, welche personenbezogenen Daten verarbeitet werden. Stellt die betroffene Person den Antrag in elektronischer Form, ist sie in einem strukturierten elektronischen Format zu unterrichten, sofern sie nichts anderes angibt. Unbeschadet des Artikels 10 ergreift der für die Verarbeitung Verantwortliche alle zumutbaren Maßnahmen, um zu überprüfen, ob die Person, die Zugang zu Daten beantragt, die betroffene Person ist.

 

2a. Hat die betroffene Person die personenbezogenen Daten zur Verfügung gestellt und werden diese elektronisch verarbeitet, hat sie das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der zur Verfügung gestellten personenbezogenen Daten in einem interoperablen gängigen elektronischen Format zu verlangen, das sie weiter verwenden kann, ohne dabei von dem für die Verarbeitung Verantwortlichen, von dem die personenbezogenen Daten herausgegeben werden, behindert zu werden. Soweit technisch machbar und verfügbar, werden die Daten auf Verlangen der betroffenen Person unmittelbar von dem für die Verarbeitung Verantwortlichen an einen anderen für die Verarbeitung Verantwortlichen übermittelt.

 

2b. Dieser Artikel gilt unbeschadet der Verpflichtung, nicht mehr benötigte Daten gemäß Artikel 5 Absatz 1 Buchstabe e zu löschen.

 

2c. Das Recht auf Auskunft nach Absatz 1 und 2 besteht nicht in Bezug auf Daten im Sinne von Artikel 14 Absatz 5 Buchstabe da, es sei denn, die betroffene Person ist befugt, die Geheimhaltung aufzuheben und handelt dementsprechend.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten zu den Kriterien und Anforderungen in Bezug auf die Mitteilung über den Inhalt der personenbezogenen Daten gemäß Absatz 1 Buchstabe g an die betroffene Person festzulegen.

 

4. Die Kommission kann Standardvorlagen und -verfahren für Auskunftsgesuche und die Erteilung der Auskünfte gemäß Absatz 1 festlegen, darunter auch für die Überprüfung der Identität der betroffenen Person und die Mitteilung der personenbezogenen Daten an die betroffene Person, wobei sie gegebenenfalls die Besonderheiten und Bedürfnisse der verschiedenen Sektoren und Verarbeitungssituationen berücksichtigt. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  112

Vorschlag für eine Verordnung

Artikel 17

Vorschlag der Kommission

Geänderter Text

Recht auf Vergessenwerden und auf Löschung

Recht auf Löschung

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten zu verlangen, speziell wenn es sich um personenbezogene Daten handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten und die Unterlassung jeglicher weiteren Verbreitung dieser Daten sowie von Dritten die Löschung aller Querverweise auf diese personenbezogenen Daten bzw. aller Kopien und Replikationen davon zu verlangen, sofern einer der folgenden Gründe zutrifft:

a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

a) Die Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a stützte, oder die Speicherfrist, für die die Einwilligung gegeben wurde, ist abgelaufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung der Daten.

c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.

c) Die betroffene Person legt gemäß Artikel 19 Widerspruch gegen die Verarbeitung ein.

 

ca) Ein Gericht oder eine Regulierungsbehörde innerhalb der Union hat rechtskräftig entschieden, dass die betreffenden Daten gelöscht werden müssen.

d) Die Verarbeitung der Daten ist aus anderen Gründen nicht mit der Verordnung vereinbar.

d) Die Daten wurden unrechtmäßig verarbeitet.

 

1a. Absatz 1 kommt nur zur Anwendung, wenn der für die Verarbeitung Verantwortliche in der Lage ist, zu überprüfen, ob die Person, die die Löschung beantragt, die betroffene Person ist.

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht, unternimmt er in Bezug auf die Daten, für deren Veröffentlichung er verantwortlich zeichnet, alle vertretbaren Schritte, auch technischer Art, um Dritte, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Querverweise auf diese personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt. Hat der für die Verarbeitung Verantwortliche einem Dritten die Veröffentlichung personenbezogener Daten gestattet, liegt die Verantwortung dafür bei dem für die Verarbeitung Verantwortlichen.

2. Hat der in Absatz 1 genannte für die Verarbeitung Verantwortliche die personenbezogenen Daten ohne Vorliegen eines Rechtfertigungsgrunds nach Artikel 6 Absatz 1 öffentlich gemacht, so hat er unbeschadet des Artikels 77 alle zumutbaren Maßnahmen zu ergreifen, um die Daten zu löschen und bei Dritten löschen zu lassen. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person, soweit möglich, über die von betroffenen Dritten ergriffenen Maßnahmen.

3. Der für die Verarbeitung Verantwortliche sorgt für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist

3. Der für die Verarbeitung Verantwortliche und gegebenenfalls der Dritte sorgen für eine umgehende Löschung der personenbezogenen Daten, soweit deren Speicherung nicht erforderlich ist

a) zur Ausübung des Rechts auf freie Meinungsäußerung gemäß Artikel 80;

a) zur Ausübung des Rechts auf freie Meinungsäußerung gemäß Artikel 80;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 81;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 81;

c) für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83;

c) für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt, wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Daten, der der für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt; wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, das Recht auf den Schutz personenbezogener Daten wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

e) in den in Absatz 4 genannten Fällen.

e) in den in Absatz 4 genannten Fällen.

4. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung beschränken, wenn

4. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung in einer Art und Weise, die nicht den gewöhnlichen Datenzugangs- und Verarbeitungsoperationen unterliegt und die nicht mehr geändert werden kann, beschränken, wenn

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

b) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Erfüllung seiner Aufgabe nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen;

b) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Erfüllung seiner Aufgabe nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen;

c) die Verarbeitung unrechtmäßig ist, die betroffene Person aber Einspruch gegen ihre Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert;

c) die Verarbeitung unrechtmäßig ist, die betroffene Person aber Einspruch gegen ihre Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert;

 

ca) ein Gericht oder eine Regulierungsbehörde innerhalb der Union rechtskräftig entschieden hat, dass die betreffenden Daten einer beschränkten Verarbeitung unterworfen werden müssen;

d) die betroffene Person gemäß Artikel 18 Absatz 2 die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert.

d) die betroffene Person gemäß Artikel 15 Absatz 2a die Übertragung der personenbezogenen Daten auf ein anderes automatisiertes Verarbeitungssystem fordert;

 

da) die spezifische Art der Speichertechnologie keine Löschung ermöglicht und vor Inkrafttreten dieser Verordnung installiert wurde.

5. Die in Absatz 4 genannten personenbezogenen Daten dürfen mit Ausnahme ihrer Speicherung nur verarbeitet werden, wenn sie für Beweiszwecke erforderlich sind, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte einer anderen natürlichen oder juristischen Person geschützt werden müssen oder wenn dies im öffentlichen Interesse liegt.

5. Die in Absatz 4 genannten personenbezogenen Daten dürfen mit Ausnahme ihrer Speicherung nur verarbeitet werden, wenn sie für Beweiszwecke erforderlich sind, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte einer anderen natürlichen oder juristischen Person geschützt werden müssen oder wenn dies im öffentlichen Interesse liegt.

6. Unterliegt die Verarbeitung personenbezogener Daten gemäß Absatz 4 einer Beschränkung, teilt der für die Verarbeitung Verantwortliche der betroffenen Person im Voraus mit, dass die Beschränkung aufgehoben werden soll.

6. Unterliegt die Verarbeitung personenbezogener Daten gemäß Absatz 4 einer Beschränkung, teilt der für die Verarbeitung Verantwortliche der betroffenen Person im Voraus mit, dass die Beschränkung aufgehoben werden soll.

7. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

 

8. Wird eine Löschung vorgenommen, darf der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht auf sonstige Weise verarbeiten.

8. Wird eine Löschung vorgenommen, darf der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht auf sonstige Weise verarbeiten.

 

8a. Der für die Verarbeitung Verantwortliche trifft Vorkehrungen, um sicherzustellen, dass die Fristen für die Löschung personenbezogener Daten und/oder die regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung eingehalten werden.

9. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

9. Der Kommission wird die Befugnis übertragen, nach Einholung einer Stellungnahme des Europäischen Datenschutzausschusses delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Einzelheiten festzulegen in Bezug auf

a) die Kriterien und Anforderungen im Hinblick auf die Anwendung von Absatz 1 für bestimmte Bereiche und spezielle Verarbeitungssituationen,

a) die Kriterien und Anforderungen im Hinblick auf die Anwendung von Absatz 1 für bestimmte Bereiche und spezielle Verarbeitungssituationen,

b) die Bedingungen für die Löschung gemäß Absatz 2 von Internet-Links, Kopien oder Replikationen von personenbezogenen Daten aus öffentlich zugänglichen Kommunikationsdiensten,

b) die Bedingungen für die Löschung gemäß Absatz 2 von Internet-Links, Kopien oder Replikationen von personenbezogenen Daten aus öffentlich zugänglichen Kommunikationsdiensten,

c) die Kriterien und Bedingungen für die Beschränkung der Verarbeitung personenbezogener Daten gemäß Absatz 4.

c) die Kriterien und Bedingungen für die Beschränkung der Verarbeitung personenbezogener Daten gemäß Absatz 4.

Änderungsantrag  113

Vorschlag für eine Verordnung

Artikel 18

Vorschlag der Kommission

Geänderter Text

Recht auf Datenübertragbarkeit

entfällt

1. Werden personenbezogene Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet, hat die betroffene Person das Recht, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten Daten in einem von ihr weiter verwendbaren strukturierten gängigen elektronischen Format zu verlangen.

 

2. Hat die betroffene Person die personenbezogenen Daten zur Verfügung gestellt und basiert die Verarbeitung auf einer Einwilligung oder einem Vertrag, hat die betroffene Person das Recht, diese personenbezogenen Daten sowie etwaige sonstige von ihr zur Verfügung gestellte Informationen, die in einem automatisierten Verarbeitungssystem gespeichert sind, in einem gängigen elektronischen Format in ein anderes System zu überführen, ohne dabei von dem für die Verarbeitung Verantwortlichen, dem die personenbezogenen Daten entzogen werden, behindert zu werden.

 

3. Die Kommission kann das elektronische Format gemäß Absatz 1 festlegen sowie die technischen Standards, Modalitäten und Verfahren für die Überführung der personenbezogenen Daten gemäß Absatz 2. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  114

Vorschlag für eine Verordnung

Artikel 19

Vorschlag der Kommission

Geänderter Text

Widerspruchsrecht

Widerspruchsrecht

1. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben d, e und f erfolgt, Widerspruch einzulegen, sofern der für die Verarbeitung Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

1. Die betroffene Person hat das Recht, jederzeit gegen die Verarbeitung personenbezogener Daten, die auf der Grundlage von Artikel 6 Absatz 1 Buchstaben d und e erfolgt, Widerspruch einzulegen, sofern der für die Verarbeitung Verantwortliche nicht zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, hat die betroffene Person das Recht, dagegen unentgeltlich Widerspruch einzulegen. Die betroffene Person muss ausdrücklich in einer verständlichen und von anderen Informationen klar abgegrenzten Form auf dieses Recht hingewiesen werden.

2. Wird die Verarbeitung personenbezogener Daten auf Artikel 6 Absatz 1 Buchstabe f gestützt, hat die betroffene Person jederzeit und ohne weitere Begründung das Recht, dagegen im Allgemeinen oder für jeden spezifischen Zweck unentgeltlich Widerspruch einzulegen.

 

2a. Die betroffene Person muss ausdrücklich in einer verständlichen Weise und Form unter Verwendung einer klaren und einfachen Sprache, insbesondere bei eigens an Kinder gerichteten Informationen, auf das Recht gemäß Absatz 2 hingewiesen werden, wobei sich dieser Hinweis von anderen Informationen deutlich unterscheiden muss.

 

2b. Im Zusammenhang mit der Verwendung von Diensten der Informationsgesellschaft und unbeschadet der Richtlinie 2002/58/EG kann das Widerspruchsrecht mit Hilfe automatisierter Verfahren ausgeübt werden, die einen technischen Standard verwenden, der den betroffenen Personen ermöglicht, ihre Wünsche eindeutig auszudrücken.

3. Im Falle eines Widerspruchs gemäß den Absätzen 1 und 2 darf der für die Verarbeitung Verantwortliche die betreffenden personenbezogenen Daten nicht weiter nutzen oder anderweitig verarbeiten.

3. Im Falle eines Widerspruchs gemäß den Absätzen 1 und 2 darf der für die Verarbeitung Verantwortliche die betreffenden personenbezogenen Daten für die im Widerspruch genannten Zwecke nicht weiter nutzen oder anderweitig verarbeiten.

(Der letzte Satz in Absatz 2 des Kommissionstexts wurde Absatz 2a im geänderten Text des Parlaments.)

Änderungsantrag  115

Vorschlag für eine Verordnung

Artikel 20

Vorschlag der Kommission

Geänderter Text

Auf Profiling basierende Maßnahmen

Profiling

1. Eine natürliche Person hat das Recht, nicht einer auf einer rein automatisierten Verarbeitung von Daten basierenden Maßnahme unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse beziehungsweise Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht.

1. Unbeschadet der Bestimmungen des Artikels 6 hat jede natürliche Person das Recht, dem Profiling gemäß Artikel 19 zu widersprechen. Die betroffene Person ist über ihr Recht, dem Profiling zu widersprechen, in deutlich sichtbarer Weise zu unterrichten.

2. Unbeschadet der sonstigen Bestimmungen dieser Verordnung darf eine Person einer Maßnahme nach Absatz 1 nur unterworfen werden, wenn die Verarbeitung

2. Unbeschadet der sonstigen Bestimmungen dieser Verordnung darf eine Person dem Profiling, das Maßnahmen zur Folge hat, durch die sich rechtliche Konsequenzen für die betroffene Person ergeben, oder die ähnlich erhebliche Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat, nur unterworfen werden, wenn die Verarbeitung

a) im Rahmen des Abschlusses oder der Erfüllung eines Vertrags vorgenommen wird und der Abschluss oder die Erfüllung des Vertrags auf Wunsch der betroffenen Person erfolgt ist oder geeignete Maßnahmen ergriffen wurden, um die berechtigten Interessen der betroffenen Person zu wahren, beispielsweise durch das Recht auf direkten persönlichen Kontakt, oder

a) für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist und der Abschluss oder die Erfüllung des Vertrags auf Wunsch der betroffenen Person erfolgt ist und geeignete Maßnahmen ergriffen wurden, um die berechtigten Interessen der betroffenen Person zu wahren, oder

b) ausdrücklich aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten gestattet ist und diese Rechtsvorschriften geeignete Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person enthalten oder

b) ausdrücklich aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten gestattet ist und diese Rechtsvorschriften geeignete Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person enthalten,

c) mit Einwilligung der betroffenen Person nach Maßgabe von Artikel 7 und vorbehaltlich entsprechender Garantien erfolgt.

c) mit Einwilligung der betroffenen Person nach Maßgabe von Artikel 7 und vorbehaltlich entsprechender Garantien erfolgt.

3. Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Merkmale einer natürlichen Person darf sich nicht ausschließlich auf die in Artikel 9 genannten besonderen Kategorien personenbezogener Daten stützen.

3. Ein Profiling, das zur Folge hat, dass Menschen aufgrund von Rasse, ethnischer Herkunft, politischer Überzeugung, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, sexueller Orientierung oder Geschlechtsidentität diskriminiert werden, oder das zu Maßnahmen führt, die eine solche Wirkung haben, ist untersagt. Der für die Verarbeitung Verantwortliche hat für einen wirksamen Schutz gegen mögliche Diskriminierung aufgrund von Profiling zu sorgen. Profiling darf sich nicht ausschließlich auf die in Artikel 9 genannten besonderen Kategorien personenbezogener Daten stützen.

4. In Fällen gemäß Absatz 2 müssen die von dem für die Verarbeitung Verantwortlichen gemäß Artikel 14 erteilten Auskünfte auch Angaben zu einer etwaigen Verarbeitung für die unter Absatz 1 beschriebenen Zwecke und die damit angestrebten Auswirkungen auf die betroffene Person beinhalten.

 

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen, die für geeignete Maßnahmen zur Wahrung der berechtigten Interessen gemäß Absatz 2 gelten sollen, näher zu regeln.

5. Profiling, das Maßnahmen zur Folge hat, durch die sich rechtliche Konsequenzen für die betroffene Person ergeben, oder die ähnlich erhebliche Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Personen hat, darf sich nicht ausschließlich oder vorrangig auf automatisierte Verarbeitung stützen und muss eine persönliche Prüfung, einschließlich einer Erläuterung der nach einer solchen Prüfung getroffenen Entscheidung enthalten. Zu den geeigneten Maßnahmen zur Wahrung der berechtigten Interessen gemäß Absatz 2 gehören das Recht auf persönliche Prüfung und die Erläuterung der nach einer solchen Prüfung getroffenen Entscheidung.

 

5a. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken in Bezug auf die   weitere Festlegung der Kriterien und Bedingungen für das Profiling gemäß Absatz 2 nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b zu veröffentlichen.

Änderungsantrag  116

Vorschlag für eine Verordnung

Artikel 21

Vorschlag der Kommission

Geänderter Text

Beschränkungen

Beschränkungen

1. Die Union oder die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5 Buchstaben a bis e und den Artikeln 11 bis 20 sowie gemäß Artikel 32 beschränken, sofern eine solche Beschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist

1. Die Union oder die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß den Artikeln 11 bis 19 sowie gemäß Artikel 32 beschränken, sofern eine solche Beschränkung ein eindeutig festgelegtes im öffentlichen Interesse liegendes Ziel verfolgt, den Wesensgehalt des Rechts auf den Schutz personenbezogener Daten wahrt, in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck steht und die Grundrechte und Interessen der betroffenen Person achtet, sowie in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist

a) zum Schutz der öffentlichen Sicherheit

a) zum Schutz der öffentlichen Sicherheit

b) zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten

b) zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten

c) zum Schutz sonstiger öffentlicher Interessen der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats etwa im Währungs-, Haushalts- und Steuerbereich und zum Schutz der Marktstabilität und Marktintegrität

c) Steuerfragen

d) zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe

d) zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe

e) für Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a, b, c und d genannten Zwecke verbunden sind

e) für Kontroll-, Überwachungs- und Ordnungsfunktionen im Rahmen der Tätigkeit einer zuständigen öffentlichen Behörde für die unter den Buchstaben a, b, c und d genannten Zwecke

f) zum Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

f) zum Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

2. Jede Legislativmaßnahme im Sinne des Absatzes 1 muss spezifische Vorschriften zumindest zu den mit der Verarbeitung verfolgten Zielen und zur Bestimmung des für die Verarbeitung Verantwortlichen enthalten.

2. Jede Legislativmaßnahme im Sinne des Absatzes 1 muss notwendig und verhältnismäßig in einer demokratischen Gesellschaft sein und spezifische Vorschriften enthalten zumindest zu

 

a) den mit der Verarbeitung verfolgten Zielen;

 

b) der Bestimmung des für die Verarbeitung Verantwortlichen;

 

c) den konkreten Zwecken und Mitteln der Verarbeitung;

 

d) den Schutzvorkehrungen gegen Missbrauch oder unrechtmäßigem Zugang oder unrechtmäßiger Weitergabe;

 

e) dem Recht betroffener Personen, über die Einschränkung informiert zu werden.

 

2a. Die in Absatz 1 genannten legislativen Maßnahmen dürfen private für die Verarbeitung Verantwortliche weder dazu ermächtigen noch dazu verpflichten, Daten zu speichern, die über das für das Erreichen des ursprünglichen Zwecks erforderliche Maß hinausgehen.

(Die letzten Worte von Absatz 2 im Kommissionstext wurden zu den Buchstaben a und b in dem durch das Parlament geänderten Text.)

Änderungsantrag  117

Vorschlag für eine Verordnung

Artikel 22

Vorschlag der Kommission

Geänderter Text

Pflichten des für die Verarbeitung Verantwortlichen

Pflichten und Rechenschaftspflicht des für die Verarbeitung Verantwortlichen

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann.

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete und nachweisbare technische und organisatorische Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er in transparenter Weise den Nachweis dafür erbringen kann, dies erfolgt unter Berücksichtigung des Stands der Technik, der Art der Verarbeitung personenbezogener Daten, dem Zusammenhang, der Tragweite und der Zwecke der Verarbeitung, der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie der Art der Organisation sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst.

 

 

1a. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung des Stands der Technik und der Implementierungskosten alle angemessenen Schritte, um Maßnahmen und Verfahren zur Einhaltung umzusetzen, durch die die autonome Wahl betroffener Personen kontinuierlich respektiert wird. Diese Maßnahmen zur Einhaltung werden mindestens alle zwei Jahre überprüft und erforderlichenfalls aktualisiert.

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

 

a) die Dokumentation nach Maßgabe von Artikel 28;

 

b) die Umsetzung der in Artikel 30 vorgesehenen Vorkehrungen für die Datensicherheit;

 

c) die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 33;

 

d) die Umsetzung der nach Artikel 34 Abätze 1 und 2 geltenden Anforderungen in Bezug auf die vorherige Genehmigung oder Zurateziehung der Aufsichtsbehörde;

 

e) die Benennung eines Datenschutzbeauftragten gemäß Artikel 35 Absatz 1.

 

3. Der für die Verarbeitung Verantwortliche setzt geeignete Verfahren zur Überprüfung der Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies angemessen ist.

3. Der für die Verarbeitung Verantwortliche muss in der Lage sein, die Angemessenheit und Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen nachzuweisen. Regelmäßige Berichte über die Tätigkeiten des für die Verarbeitung Verantwortlichen, wie die obligatorischen Berichte von kapitalmarktorientierten Unternehmen beinhalten eine zusammenfassende Beschreibung der in Absatz 1 genannten Strategien und Maßnahmen.

 

3a. Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden.

4. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere, in Absatz 2 nicht genannte Kriterien und Anforderungen für die in Absatz 1 genannten Maßnahmen, die Bedingungen für die in Absatz 3 genannten Überprüfungs- und Auditverfahren und die Kriterien für die in Absatz 3 angesprochene Angemessenheitsprüfung festzulegen und spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen zu prüfen.

 

Änderungsantrag  118

Vorschlag für eine Verordnung

Artikel 23

Vorschlag der Kommission

Geänderter Text

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

1. Der für die Verarbeitung Verantwortliche führt unter Berücksichtigung des Stands der Technik und der Implementierungskosten sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden.

1. Der für die Verarbeitung Verantwortliche und gegebenenfalls der Auftragsverarbeiter führt unter Berücksichtigung neuester technischer Errungenschaften, des Stands der Technik, bewährter internationaler Verfahren und den von der Verarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Zwecke und Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung geeignete und verhältnismäßige technische und organisatorische Maßnahmen und Verfahren durch, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Verordnung genügt und die Rechte der betroffenen Person gewahrt werden, insbesondere, was die in Artikel 5 aufgeführten Grundsätze betrifft. Beim Datenschutz durch Technik wird dem gesamten Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung besondere Aufmerksamkeit geschenkt und der Schwerpunkt systematisch auf umfassende Verfahrensgarantien hinsichtlich der Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit und Löschung personenbezogener Daten gelegt. Hat der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung gemäß Artikel 33 vorgenommen, werden die entsprechenden Ergebnisse bei der Entwicklung dieser Maßnahmen und Verfahren berücksichtigt.

 

1a. Zur Förderung einer breiten Umsetzung in verschiedenen Wirtschaftssektoren muss der Datenschutz durch Technik eine Voraussetzung für Angebote im Rahmen von Ausschreibungen gemäß der Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates1 sowie gemäß der Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates2 (Sektorenrichtlinie) sein.

2. Der für die Verarbeitung Verantwortliche setzt Verfahren ein, die sicherstellen, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen oder vorgehalten werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

2. Der für die Verarbeitung Verantwortliche stellt sicher, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen, gespeichert oder verbreitet werden als für diese Zwecke unbedingt nötig ist und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und dass die betroffenen Personen in der Lage sind, die Verbreitung ihrer personenbezogenen Daten zu kontrollieren.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere Kriterien und Anforderungen in Bezug auf die in den Absätzen 1 und 2 genannten Maßnahmen und Verfahren festzulegen, speziell was die Anforderungen an den Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen für ganze Sektoren und bestimmte Erzeugnisse und Dienstleistungen betrifft.

 

4. Die Kommission kann technische Standards für die in den Absätzen 1 und 2 genannten Anforderungen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

 

1 Richtlinie 2004/18/EG des Europäischen Parlaments und des Rates vom 31. März 2004 über die Koordinierung der Verfahren zur Vergabe öffentlicher Bauaufträge, Lieferaufträge und Dienstleistungsaufträge (ABl. L 134 vom 30.4.2004, S. 114).

2 Richtlinie 2004/17/EG des Europäischen Parlaments und des Rates vom 31. März 2004 zur Koordinierung der Auftragsvergabe durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste (ABl. L 134 vom 30.4.2004, S. 1).

Änderungsantrag  119

Vorschlag für eine Verordnung

Artikel 24

Vorschlag der Kommission

Geänderter Text

Gemeinsam für die Verarbeitung Verantwortliche

Gemeinsam für die Verarbeitung Verantwortliche

In allen Fällen, in denen ein für die Verarbeitung Verantwortlicher die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Personen festlegt, vereinbaren diese gemeinsam für die Verarbeitung Verantwortlichen, wer von ihnen welche ihnen gemäß dieser Verordnung obliegenden Aufgaben erfüllt, insbesondere was die Verfahren und Mechanismen betrifft, die den betroffenen Person die Wahrnehmung ihrer Rechte ermöglichen.

In allen Fällen, in denen mehrere für die Verarbeitung Verantwortliche Zwecke und Mittel der Verarbeitung personenbezogener Daten gemeinsam festlegen, vereinbaren diese gemeinsam für die Verarbeitung Verantwortlichen, wer von ihnen welche ihnen gemäß dieser Verordnung obliegenden Aufgaben erfüllt, insbesondere was die Verfahren und Mechanismen betrifft, die den betroffenen Person die Wahrnehmung ihrer Rechte ermöglichen. Die Vereinbarung spiegelt die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam für die Verarbeitung Verantwortlichen gegenüber betroffenen Personen gebührend wider und der Kern der Vereinbarung wird den betroffenen Personen zur Verfügung gestellt. Im Fall unklarer Verantwortlichkeiten haften die für die Verarbeitung Verantwortlichen gesamtschuldnerisch.

Änderungsantrag  120

Vorschlag für eine Verordnung

Artikel 25

Vorschlag der Kommission

Geänderter Text

Vertreter von nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen

Vertreter von nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen

1. Jeder für die Verarbeitung Verantwortliche, der sich in der in Artikel 3 Absatz 2 beschriebenen Situation befindet, benennt einen Vertreter in der Union.

1. Jeder für die Verarbeitung Verantwortliche, der sich in der in Artikel 3 Absatz 2 beschriebenen Situation befindet, benennt einen Vertreter in der Union.

2. Diese Pflicht gilt nicht für

2. Diese Pflicht gilt nicht für

a) für die Verarbeitung Verantwortliche, die in einem Drittland niedergelassen sind, das laut Beschluss der Kommission einen angemessenen Schutz im Sinne von Artikel 41 bietet; oder

a) für die Verarbeitung Verantwortliche, die in einem Drittland niedergelassen sind, das laut Beschluss der Kommission einen angemessenen Schutz im Sinne von Artikel 41 bietet; oder

b) Unternehmen, die weniger als 250 Mitarbeiter beschäftigen; oder

b) für die Verarbeitung Verantwortliche, die Daten in Bezug auf weniger als 5 000 betroffene Personen innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten verarbeiten, wobei die Verarbeitung nicht in Bezug auf besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1, Standortdaten, Daten über Kinder oder Arbeitnehmerdaten aus groß angelegten Ablagesystemen stattfindet; oder

c) Behörden oder öffentliche Einrichtungen; oder

c) Behörden oder öffentliche Einrichtungen; oder

d) für die Verarbeitung Verantwortliche, die in der Union ansässigen betroffenen Personen nur gelegentlich Waren oder Dienstleistungen anbieten.

d) für die Verarbeitung Verantwortliche, die betroffenen Personen in der Union nur gelegentlich Waren oder Dienstleistungen anbieten, es sei denn, die Verarbeitung personenbezogener Daten betrifft in Artikel 9 Absatz 1 genannte besonderen Kategorien personenbezogener Daten, Standortdaten, Daten über Kinder oder Arbeitnehmerdaten aus groß angelegten Ablagesystemen;

3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, ansässig sind.

3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen das Angebot der Waren oder Dienstleistungen den betroffenen Personen unterbreitet oder deren Verhalten beobachtet wird.

4. Die Benennung eines Vertreters durch den für die Verarbeitung Verantwortlichen erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den für die Verarbeitung Verantwortlichen.

4. Die Benennung eines Vertreters durch den für die Verarbeitung Verantwortlichen erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den für die Verarbeitung Verantwortlichen.

Änderungsantrag  121

Vorschlag für eine Verordnung

Artikel 26

Vorschlag der Kommission

Geänderter Text

Auftragsverarbeiter

Auftragsverarbeiter

1. Der für die Verarbeitung Verantwortliche wählt für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter aus, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und dass der Schutz der Rechte der betroffenen Person durch geeignete technische Sicherheitsvorkehrungen und organisatorische Maßnahmen für die vorzunehmende Verarbeitung sichergestellt wird; zudem sorgt er dafür, dass diese Maßnahmen eingehalten werden.

1. Der für die Verarbeitung Verantwortliche wählt für jede in seinem Auftrag durchzuführende Verarbeitung einen Auftragsverarbeiter aus, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und dass der Schutz der Rechte der betroffenen Person durch geeignete technische Sicherheitsvorkehrungen und organisatorische Maßnahmen für die vorzunehmende Verarbeitung sichergestellt wird; zudem sorgt er dafür, dass diese Maßnahmen eingehalten werden.

2. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere vorgesehen ist, dass der Auftragsverarbeiter

2. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter können ihre jeweiligen Funktionen und Aufgaben in Bezug auf die Anforderungen dieser Verordnung festlegen und sehen vor, dass der Auftragsverarbeiter:

a) nur auf Weisung des für die Verarbeitung Verantwortlichen tätig wird, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist;

a) nur auf Weisung des für die Verarbeitung Verantwortlichen personenbezogene Daten verarbeitet, es sei denn, in Rechtsvorschriften der Union oder der Mitgliedstaaten ist etwas anderes bestimmt;

b) ausschließlich Mitarbeiter beschäftigt, die sich zur Vertraulichkeit verpflichtet haben oder der gesetzlichen Verschwiegenheitspflicht unterliegen;

b) ausschließlich Mitarbeiter beschäftigt, die sich zur Vertraulichkeit verpflichtet haben oder der gesetzlichen Verschwiegenheitspflicht unterliegen;

c) alle in Artikel 30 genannten erforderlichen Maßnahmen ergreift;

c) alle in Artikel 30 genannten erforderlichen Maßnahmen ergreift;

d) die Dienste eines weiteren Auftragsverarbeiters nur mit vorheriger Zustimmung des für die Verarbeitung Verantwortlichen in Anspruch nehmen darf;

d) sofern nichts anderes bestimmt ist, die Bedingungen festlegt, unter denen die Dienste eines weiteren Auftragsverarbeiters nur mit vorheriger Zustimmung des für die Verarbeitung Verantwortlichen in Anspruch nehmen darf,

e) soweit es verarbeitungsbedingt möglich ist, in Absprache mit dem für die Verarbeitung Verantwortlichen die notwendigen technischen und organisatorischen Voraussetzungen dafür schafft, dass der für die Verarbeitung Verantwortliche seine Pflicht erfüllen kann, Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

e) soweit es verarbeitungsbedingt möglich ist, in Absprache mit dem für die Verarbeitung Verantwortlichen die geeigneten und zweckmäßigen technischen und organisatorischen Voraussetzungen dafür schafft, dass der für die Verarbeitung Verantwortliche seine Pflicht erfüllen kann, Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f) den Auftragsverarbeiter bei der Einhaltung der in den Artikeln 30 bis 34 genannten Pflichten unterstützt;

f) den Auftragsverarbeiter bei der Einhaltung der in den Artikeln 30 bis 34 genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt ;

g) nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse aushändigt und die personenbezogenen Daten auf keine andere Weise weiterverarbeitet;

g) nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse zurückgibt, die personenbezogenen Daten auf keine andere Weise weiterverarbeitet und bestehende Kopien löscht, es sei denn, in Rechtsvorschriften der Union oder der Mitgliedstaaten ist die Speicherung der Daten vorgesehen;

h) dem für die Verarbeitung Verantwortlichen und der Aufsichtsbehörde alle erforderlichen Informationen für die Kontrolle der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt.

h) dem für die Verarbeitung Verantwortlichen alle erforderlichen Informationen für den Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Nachprüfungen vor Ort zulässt.

3. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter dokumentieren die Anweisungen des für die Verarbeitung Verantwortlichen und die in Absatz 2 aufgeführten Pflichten des Auftragsverarbeiters.

3. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter dokumentieren die Anweisungen des für die Verarbeitung Verantwortlichen und die in Absatz 2 aufgeführten Pflichten des Auftragsverarbeiters.

 

3a. Die hinreichenden Garantien gemäß Absatz 1 können durch die Einhaltung von Verhaltenskodizes oder Zertifizierungsverfahren gemäß Artikel 38 oder 39 dieser Verordnung nachgewiesen werden.

4. Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen des Artikels 24 für gemeinsam für die Verarbeitung Verantwortliche.

4. Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, oder die entscheidende Partei in Bezug auf die Zwecke und Mittel der Datenverarbeitung wird, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den Bestimmungen des Artikels 24 für gemeinsam für die Verarbeitung Verantwortliche.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Verantwortlichkeiten, Pflichten und Aufgaben des Auftragsverarbeiters in Übereinstimmung mit Absatz 1 festzulegen sowie die Bedingungen, durch die die Verarbeitung personenbezogener Daten in Unternehmensgruppen speziell zu Kontroll- und Berichterstattungszwecken vereinfacht werden kann.

 

Änderungsantrag  122

Vorschlag für eine Verordnung

Artikel 28

Vorschlag der Kommission

Geänderter Text

Dokumentation

Dokumentation

1. Alle für die Verarbeitung Verantwortlichen, alle Auftragsverarbeiter sowie etwaige Vertreter von für die Verarbeitung Verantwortlichen dokumentieren die ihrer Zuständigkeit unterliegenden Verarbeitungsvorgänge.

1. Alle für die Verarbeitung Verantwortlichen und alle Auftragsverarbeiter halten die zur Erfüllung der in dieser Verordnung festgelegten Anforderungen notwendige Dokumentation vor und aktualisieren sie regelmäßig.

2. Die Dokumentation enthält mindestens folgende Informationen:

2. Darüber hinaus halten alle für die Verarbeitung Verantwortlichen und alle Auftragsverarbeiter Dokumentationen zu folgenden Informationen vor:

a) Name und Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters sowie eines etwaigen Vertreters;

a) Name und Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters sowie eines etwaigen Vertreters;

b) Name und Kontaktdaten eines etwaigen Datenschutzbeauftragten;

b) Name und Kontaktdaten eines etwaigen Datenschutzbeauftragten;

c) Angaben über die Zwecke der Verarbeitung sowie – falls sich die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f gründet – über die von dem für die Verarbeitung Verantwortlichen verfolgten legitimen Interessen;

 

d) eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien der sich auf diese beziehenden personenbezogenen Daten;

 

e) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten einschließlich der für die Verarbeitung Verantwortlichen, denen personenbezogene Daten aus dem von diesen verfolgtem legitimen Interesse mitgeteilt werden;

e) Name und Kontaktdaten der etwaigen für die Verarbeitung Verantwortlichen, denen personenbezogene Daten mitgeteilt werden;

f) gegebenenfalls Angaben über etwaige Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen sowie bei den in Artikel 44 Absatz 1 Buchstabe h genannten Datenübermittlungen ein Beleg dafür, dass geeignete Sicherheitsgarantien vorgesehen wurden;

 

g) eine allgemeine Angabe der Fristen für die Löschung der verschiedenen Datenkategorien;

 

h) eine Beschreibung der in Artikel 22 Absatz 3 genannten Verfahren.

 

3. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen die Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung.

 

4. Die in den Absätzen 1 und 2 genannten Anforderungen gelten nicht für folgende für die Verarbeitung Verantwortliche und Auftragsverarbeiter:

 

a) natürliche Personen, die personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeiten; oder

 

b) Unternehmen oder Organisationen mit weniger als 250 Beschäftigten, die personenbezogene Daten nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten verarbeiten.

 

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in Absatz 1 genannte Dokumentation festzulegen, so dass insbesondere den Verantwortlichkeiten des für die Verarbeitung Verantwortlichen, des Auftragsverarbeiters sowie des etwaigen Vertreters des für die Verarbeitung Verantwortlichen Rechnung getragen wird.

 

6. Die Kommission kann Standardvorlagen für die in Absatz 1 genannte Dokumentation festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  123

Vorschlag für eine Verordnung

Artikel 29 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen arbeiten der Aufsichtsbehörde auf Verlangen zu, um ihr die Erfüllung ihrer Pflichten zu erleichtern, indem sie dieser insbesondere die in Artikel 53 Absatz 2 Buchstabe a genannten Informationen übermitteln und ihr den in Artikel 53 Absatz 2 Buchstabe b genannten Zugang gewähren.

1. Der für die Verarbeitung Verantwortliche, der etwaige Auftragsverarbeiter sowie der Vertreter des für die Verarbeitung Verantwortlichen arbeiten der Aufsichtsbehörde auf Verlangen zu, um ihr die Erfüllung ihrer Pflichten zu erleichtern, indem sie dieser insbesondere die in Artikel 53 Absatz 2 Buchstabe a genannten Informationen übermitteln und ihr den in Artikel 53 Absatz 2 Buchstabe b genannten Zugang gewähren.

Änderungsantrag  124

Vorschlag für eine Verordnung

Artikel 30

Vorschlag der Kommission

Geänderter Text

Sicherheit der Verarbeitung

Sicherheit der Verarbeitung

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist.

 

1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – Folgendes:

 

a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird;

 

b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen;

 

c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls, der sich auf die Verfügbarkeit, Vollständigkeit und Vertraulichkeit der Informationssysteme und -dienste auswirkt, wiederherzustellen;

 

d) zusätzliche Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten nach Artikel 8 und 9, um ein situationsbezogenes Risikobewusstsein sicherzustellen, sowie die Fähigkeit, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten;

 

e) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen, -verfahren und -pläne, die aufgestellt werden, um die Wirksamkeit auf Dauer sicherzustellen;

2. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen im Anschluss an eine Risikobewertung die in Absatz 1 genannten Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder widerrechtlichen Zerstörung oder vor unbeabsichtigtem Verlust sowie zur Vermeidung jedweder unrechtmäßigen Verarbeitung, insbesondere jeder unbefugten Offenlegung, Verbreitung beziehungsweise Einsichtnahme oder Veränderung.

2. Die in Absatz 1 genannten Maßnahmen bewirken zumindest, dass

 

a) sichergestellt wird, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,

 

b) gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden, und

 

c) die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten gewährleistet wird.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen für die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen festzulegen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen, wobei sie die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen berücksichtigt, sofern nicht Artikel 4 gilt.

3. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die in den Absätzen 1 und 2 genannten technischen und organisatorischen Maßnahmen zu veröffentlichen und den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen, wobei er insbesondere die technologische Entwicklung sowie Lösungen für einen Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen berücksichtigt.

4. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen erlassen, um insbesondere

 

a) jedweden unbefugten Zugriff auf personenbezogene Daten zu verhindern;

 

b) jedwede unbefugte Einsichtnahme in personenbezogene Daten sowie jedwede unbefugte Offenlegung, Kopie, Änderung, Löschung oder Entfernung von personenbezogenen Daten zu verhindern;

 

c) sicherzustellen, dass die Rechtmäßigkeit der Verarbeitungsvorgänge überprüft wird.

 

Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

(Absatz 2 im Text der Kommission wurde teilweise zu Buchstabe b im geänderten Text des Parlaments.)

Änderungsantrag  125

Vorschlag für eine Verordnung

Artikel 31

Vorschlag der Kommission

Geänderter Text

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung. Falls die Meldung an die Aufsichtsbehörde nicht binnen 24 Stunden erfolgt, ist dieser eine Begründung beizufügen.

1. Bei einer Verletzung des Schutzes personenbezogener Daten benachrichtigt der für die Verarbeitung Verantwortliche die Aufsichtsbehörde unverzüglich.

2. In Übereinstimmung mit Artikel 26 Absatz 2 Buchstabe f alarmiert und informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

3. Die in Absatz 1 genannte Benachrichtigung enthält mindestens folgende Informationen:

3. Die in Absatz 1 genannte Benachrichtigung enthält mindestens folgende Informationen:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der Folgen der Verletzung des Schutzes personenbezogener Daten;

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten.

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen.

Die Information kann, wenn nötig, auch stufenweise erfolgen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Der für die Verarbeitung Verantwortliche dokumentiert etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Die Dokumentation muss ausreichend sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels und von Artikel 30 ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

 

4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten festzulegen sowie die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben.

5. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Feststellung der Verletzungen des Schutzes personenbezogener Daten zu veröffentlichen sowie die Unverzüglichkeit gemäß Absatz 1 und 2 und die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

6. Die Kommission kann das Standardformat für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für die vorgeschriebene Meldung sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  126

Vorschlag für eine Verordnung

Artikel 32

Vorschlag der Kommission

Geänderter Text

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person ohne unangemessene Verzögerung von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b und c genannten Informationen und Empfehlungen.

Die in Absatz 1 genannte Benachrichtigung der betroffenen Person ist umfassend, klar und für jedermann verständlich. Sie beschreibt die Art der Verletzung des Schutzes der personenbezogenen Daten und umfasst mindestens die in Artikel 31 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen sowie Informationen über die Rechte betroffener Personen einschließlich der Rechtsbehelfe.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

4. Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

4. Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten mitzuteilen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen in Bezug auf die Umstände festzulegen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten auswirken kann.

Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b in Bezug auf die Kriterien und Anforderungen in Bezug auf die Umstände zu veröffentlichen, unter denen sich eine Verletzung des Schutzes personenbezogener Daten negativ auf die in Absatz 1 genannten personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person auswirken kann.

6. Die Kommission kann das Format für die in Absatz 1 genannte Mitteilung an die betroffene Person und die für die Mitteilung geltenden Verfahrensvorschriften festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  127

Vorschlag für eine Verordnung

Artikel 32 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 32a

 

Einhaltung der Risikogrundsätze

 

1. Der für die Verarbeitung Verantwortliche oder gegebenenfalls der Auftragsverarbeiter führt eine Risikoanalyse zu den möglichen Auswirkungen der beabsichtigten Datenverarbeitung auf die Rechte und Freiheiten der betroffenen Personen durch, um zu bewerten, ob seine Verarbeitungsvorgänge konkrete Risiken bergen können.

 

2. Folgende Verarbeitungsvorgänge können konkrete Risiken beinhalten:

 

a) Verarbeitung personenbezogener Daten von mehr als 5 000 betroffenen Personen innerhalb eines Zeitraums von zwölf aufeinanderfolgenden Monaten;

 

b) Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1, Standortdaten, Daten über Kinder oder Arbeitnehmerdaten in groß angelegten Ablagesystemen;

 

c) Profiling, das als Grundlage für Maßnahmen dient, welche Rechtswirkungen gegenüber der betroffenen Person entfalten oder ähnlich erhebliche Auswirkungen für diese mit sich bringen;

 

d) Verarbeitung personenbezogener Daten für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen;

 

e) automatisierte weiträumige Überwachung öffentlich zugänglicher Bereiche;

 

f) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 34 Absatz 2 Buchstabe b vorab der Datenschutzbeauftragte oder die Aufsichtsbehörde anzuhören ist;

 

g) Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu negativen Auswirkungen auf den Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die legitimen Interessen der betroffenen Person führt;

 

h) die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen;

 

i) personenbezogene Daten werden einer großen Zahl von Personen zugänglich gemacht, von der vernünftigerweise nicht erwartet werden kann, dass sie begrenzt wird.

 

3. Ergibt die Risikoanalyse, dass

 

a) Verarbeitungsvorgänge gemäß Absatz 2 Buchstabe a oder b vorliegen, müssen die für die Verarbeitung Verantwortlichen, die keine Niederlassung in der Europäischen Union haben, gemäß den Voraussetzungen und Ausnahmen in Artikel 25 einen Vertreter in der Europäischen Union benennen;

 

b) Verarbeitungsvorgänge gemäß Absatz 2 Buchstabe a, b oder h vorliegen, müssen die für die Verarbeitung Verantwortlichen gemäß den Voraussetzungen und Ausnahmen in Artikel 35 einen Datenschutzbeauftragten benennen;

 

c) Verarbeitungsvorgänge gemäß Absatz 2 Buchstabe a, b, c, d, e, f, g oder h vorliegen, müssen die für die Verarbeitung Verantwortlichen oder die in ihrem Auftrag handelnden Auftragsverarbeiter eine Datenschutz-Folgenabschätzung gemäß Artikel 33 durch;

 

d) Verarbeitungsvorgänge gemäß Absatz 2 Buchstabe f vorliegen, müssen die für die Verarbeitung Verantwortlichen den Datenschutzbeauftragten oder wenn kein Datenschutzbeauftragter benannt wurde, die Aufsichtsbehörde gemäß Artikel 34 zu Rate ziehen;

 

4. Die Risikoanalyse wird spätestens nach einem Jahr überprüft oder unverzüglich, wenn sich das Wesen, der Umfang oder der Zweck der Datenverarbeitungsvorgänge wesentlich ändern. Ist der für die Verarbeitung Verantwortliche gemäß Absatz 3 Buchstabe c nicht verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wird die Risikoanalyse dokumentiert.

Änderungsantrag  128

Vorschlag für eine Verordnung

Kapitel IV – Abschnitt 3 – Überschrift

Vorschlag der Kommission

Geänderter Text

DATENSCHUTZ-FOLGENABSCHÄTZUNG UND VORHERIGE GENEHMIGUNG

LEBENSZYKLUSMANAGEMENT IN BEZUG AUF DEN DATENSCHUTZ

Änderungsantrag  129

Vorschlag für eine Verordnung

Artikel 33

Vorschlag der Kommission

Geänderter Text

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

1. Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

1. Wenn dies nach Maßgabe von Artikel 32a Absatz 3 erforderlich ist, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die Rechte und Freiheiten der betroffenen Personen, insbesondere für ihr Recht auf den Schutz personenbezogener Daten durch. Eine einzige Abschätzung ist für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlichen Risiken ausreichend.

2. Die in Absatz 1 genannten Risiken bestehen insbesondere bei folgenden Verarbeitungsvorgängen:

 

a) systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens oder zwecks diesbezüglicher Voraussagen, die sich auf eine automatisierte Verarbeitung von Daten gründet und ihrerseits als Grundlage für Maßnahmen dient, welche Rechtswirkung gegenüber der betroffenen Person entfalten oder erhebliche Auswirkungen für diese mit sich bringen;

 

b) Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen;

 

c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung;

 

d) Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten;

 

e) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 34 Absatz 2 Buchstabe b vorab die Aufsichtsbehörde zu Rate zu ziehen ist.

 

3. Die Folgenabschätzung trägt den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung; sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden.

3. Die Folgenabschätzung bezieht sich auf das gesamte Lebenszyklusmanagement personenbezogener Daten, von der Erhebung über die Verarbeitung bis zur Löschung. Zumindest Folgendes ist enthalten:

 

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, die Zwecke der Verarbeitung und gegebenenfalls die von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen;

 

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

 

c) eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken, einschließlich des Diskriminierungsrisikos, das mit dem Vorgang verbunden ist oder durch diesen erhöht wird;

 

d) eine Beschreibung der geplanten Abhilfemaßnahmen und Maßnahmen zur Minimierung der Menge der verarbeiteten personenbezogenen Daten;

 

e) eine Aufstellung der Garantien, Sicherheitsvorkehrungen und Verfahren – wie die Pseudonymisierung –, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung getragen wird;

 

f) eine allgemeine Angabe der Fristen für die Löschung der verschiedenen Datenkategorien;

 

h) eine Erklärung, welche Maßnahmen in Bezug auf den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 23 umgesetzt wurden;

 

i) eine Aufstellung der Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;

 

j) gegebenenfalls eine Liste mit Angaben über geplante Datenübermittlungen in Drittländer oder an internationale Organisationen, einschließlich deren Namen, sowie bei den in Artikel 44 Absatz 1 Buchstabe h genannten Datenübermittlungen ein Beleg dafür, dass geeignete Sicherheitsgarantien vorgesehen wurden;

 

k) eine Bewertung des Zusammenhangs der Datenverarbeitung.

 

3a. Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten benannt hat, ist dieser am Verfahren der Folgenabschätzung zu beteiligen.

 

3b. Die Folgenabschätzung wird dokumentiert und es wird ein Plan für regelmäßige Überprüfungen der Einhaltung der Datenschutzbestimmungen gemäß Artikel 33a Absatz 1 festgelegt. Die Folgenabschätzung wird ohne unangemessene Verzögerung aktualisiert, wenn die Ergebnisse der Überprüfung der Einhaltung der Datenschutzbestimmungen gemäß Artikel 33a Unstimmigkeiten bei der Einhaltung aufzeigen. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen die Folgenabschätzung der Aufsichtsbehörde auf Anforderung zur Verfügung.

4. Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

 

5. Falls es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde oder um eine öffentliche Einrichtung handelt und die Verarbeitung aufgrund einer im Unionsrecht festgelegten rechtlichen Verpflichtung nach Artikel 6 Absatz 1 Buchstabe c erfolgt, welche Vorschriften und Verfahren für die betreffenden Verarbeitungsvorgänge vorsieht, gelten die Absätze 1 bis 4 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

 

6. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen für Verarbeitungsvorgänge, die mit den in den Absätzen 1 und 2 genannten Risiken behaftet sein können, sowie die Anforderungen an die in Absatz 3 genannte Folgenabschätzung einschließlich der Bedingungen für die Skalierbarkeit und für die interne und externe Überprüfbarkeit festzulegen. Dabei berücksichtigt die Kommission spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen.

 

7. Die Kommission kann Standards und Verfahren für die Durchführung sowie für die interne und externe Überprüfung der in Absatz 3 genannten Folgenabschätzung festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

(Ein Teil von Absatz 3 im Text der Kommission wurde zu den Buchstaben a, c, d und e im Änderungsantrag des Parlaments.)

Änderungsantrag  130

Vorschlag für eine Verordnung

Artikel 33 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 33a

 

Überprüfung der Einhaltung der Datenschutzbestimmungen

 

1. Der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter führt spätestens zwei Jahre nach der Durchführung einer Folgenabschätzung nach Artikel 33 Absatz 1 eine Überprüfung der Einhaltung der Datenschutzbestimmungen durch. Mit dieser Überprüfung wird nachgewiesen, dass die Verarbeitung personenbezogener Daten in Einklang mit der Datenschutz-Folgenabschätzung durchgeführt wird.

 

2. Die Überprüfung der Einhaltung der Datenschutzbestimmungen wird in regelmäßigen Abständen mindestens alle zwei Jahre durchgeführt oder unverzüglich, wenn sich die mit Verarbeitungsvorgängen verbundenen spezifischen Risiken ändern.

 

3. Wenn die Ergebnisse der Überprüfung der Einhaltung der Datenschutzbestimmungen Unstimmigkeiten bei der Einhaltung aufzeigen, enthält die Überprüfung Empfehlungen, wie eine vollständige Einhaltung erreicht werden kann.

 

4. Die Überprüfung der Einhaltung der Datenschutzbestimmungen und die einschlägigen Empfehlungen werden dokumentiert. Der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter sowie der etwaige Vertreter des für die Verarbeitung Verantwortlichen stellen der Aufsichtsbehörde auf Anforderung die Überprüfung der Einhaltung der Datenschutzbestimmungen zur Verfügung.

 

5. Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten benannt hat, ist dieser am Verfahren zur Überprüfung der Einhaltung der Datenschutzbestimmungen zu beteiligen.

Änderungsantrag  131

Vorschlag für eine Verordnung

Artikel 34

Vorschlag der Kommission

Geänderter Text

Vorherige Genehmigung und vorherige Zurateziehung

Vorherige Konsultation

1. Der für die Verarbeitung Verantwortliche oder gegebenenfalls der Auftragsverarbeiter holt vor der Verarbeitung personenbezogener Daten eine Genehmigung der Aufsichtsbehörde ein, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die Risiken zu mindern, welche für die betroffenen Personen bestehen, wenn dieser Vertragsklauseln nach Artikel 42 Absatz 2 Buchstabe d vereinbart oder keine geeigneten Garantien für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation in einem rechtsverbindlichen Instrument nach Artikel 42 Absatz 5 vorsieht.

 

2. Der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

2. Der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter zieht vor der Verarbeitung personenbezogener Daten den Datenschutzbeauftragten, oder wenn kein Datenschutzbeauftragter benannt wurde, die Aufsichtsbehörde zu Rate, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, und um insbesondere die für die betroffenen Personen bestehenden Risiken zu mindern; dies gilt für alle Fälle, in denen

a) aus einer Datenschutz-Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

a) aus einer Datenschutz-Folgenabschätzung nach Artikel 33 hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können; oder

b) die Aufsichtsbehörde eine vorherige Zurateziehung bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

b) der Datenschutzbeauftragte oder die Aufsichtsbehörde eine vorherige Konsultation bezüglich der in Absatz 4 genannten Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

3. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

3. Falls die zuständige Aufsichtsbehörde im Rahmen ihrer Befugnisse feststellt, dass die geplante Verarbeitung nicht im Einklang mit dieser Verordnung steht, insbesondere weil die Risiken unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Zurateziehung nach Absatz 2 Buchstabe b sind, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt derartige Listen an den Europäischen Datenschutzausschuss.

4. Der Europäische Datenschutzausschuss erstellt eine Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Konsultation nach Absatz 2 sind, und veröffentlicht diese.

5. Wenn auf der in Absatz 4 genannten Liste Verarbeitungsvorgänge aufgeführt werden, die sich auf Waren oder Dienstleistungen beziehen, welche betroffenen Personen in mehreren Mitgliedstaaten angeboten werden, oder die dazu dienen sollen, das Verhalten dieser betroffenen Personen zu beobachten, oder die wesentliche Auswirkungen auf den freien Verkehr personenbezogener Daten in der Union haben können, bringt die Aufsichtsbehörde vor der Annahme der Liste das in Artikel 57 beschriebene Kohärenzverfahren zur Anwendung.

 

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter legt der Aufsichtsbehörde die Datenschutz-Folgenabschätzung nach Artikel 33 vor und übermittelt ihr auf Aufforderung alle sonstigen Informationen, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Risiken und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

7. Die Mitgliedstaaten ziehen die Aufsichtsbehörde bei der Ausarbeitung einer von ihren nationalen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Risiken gemindert werden.

8. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Bestimmung der in Absatz 2 Buchstabe a genannten hohen konkreten Risiken festzulegen.

 

9. Die Kommission kann Standardvorlagen und Verfahrensvorschriften für die in den Absätzen 1 und 2 genannte vorherige Genehmigung beziehungsweise Zurateziehung sowie für die in Absatz 6 vorgesehene Unterrichtung der Aufsichtsbehörde festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  132

Vorschlag für eine Verordnung

Artikel 35

Vorschlag der Kommission

Geänderter Text

Benennung eines Datenschutzbeauftragten

Benennung eines Datenschutzbeauftragten

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, falls

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, falls

a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt; oder

a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt; oder

b) die Bearbeitung durch ein Unternehmen erfolgt, das 250 oder mehr Mitarbeiter beschäftigt, oder

b) die Verarbeitung von einer juristischen Person durchgeführt wird und sich auf mehr als 5 000 betroffene Personen innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten bezieht; oder

c) die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

c) die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen; oder

 

d) die Kernaktivitäten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz 1, Standortdaten, Daten über Kinder oder Arbeitnehmerdaten in groß angelegten Ablagesystemen bestehen.

2. Im Fall des Absatzes 1 Buchstabe b darf eine Gruppe von Unternehmen einen gemeinsamen Datenschutzbeauftragten ernennen.

2. Eine Gruppe von Unternehmen kann einen Hauptdatenschutzbeauftragten ernennen, wenn sichergestellt ist, dass von jedem Standort aus ein Datenschutzbeauftragter leicht zugänglich ist.

3. Falls es sich bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder um eine öffentliche Einrichtung handelt, kann der Datenschutzbeauftragte unter Berücksichtigung der Struktur der Behörde beziehungsweise der öffentlichen Einrichtung für mehrere Bereiche benannt werden.

3. Falls es sich bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder um eine öffentliche Einrichtung handelt, kann der Datenschutzbeauftragte unter Berücksichtigung der Struktur der Behörde beziehungsweise der öffentlichen Einrichtung für mehrere Bereiche benannt werden.

4. In anderen als den in Absatz 1 genannten Fällen können der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Gremien, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen.

4. In anderen als den in Absatz 1 genannten Fällen können der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Gremien, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen.

5. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt den Datenschutzbeauftragten nach Maßgabe der beruflichen Qualifikation und insbesondere des Fachwissens, das dieser auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie nach Maßgabe von dessen Fähigkeit zur Erfüllung der in Artikel 37 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

5. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt den Datenschutzbeauftragten nach Maßgabe der beruflichen Qualifikation und insbesondere des Fachwissens, das dieser auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie nach Maßgabe von dessen Fähigkeit zur Erfüllung der in Artikel 37 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

7. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt einen Datenschutzbeauftragten für einen Zeitraum von mindestens zwei Jahren. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

7. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt einen Datenschutzbeauftragten für einen Zeitraum von mindestens vier Jahren im Fall eines Arbeitnehmers oder zwei Jahren im Fall eines externen Dienstleisters. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

8. Der Datenschutzbeauftragte kann durch den für die Verarbeitung Verantwortlichen oder durch den Auftragsverarbeiter beschäftigt werden oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

8. Der Datenschutzbeauftragte kann durch den für die Verarbeitung Verantwortlichen oder durch den Auftragsverarbeiter beschäftigt werden oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

9. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter teilt der Aufsichtsbehörde und der Öffentlichkeit den Namen und die Kontaktdaten des Datenschutzbeauftragten mit.

9. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter teilt der Aufsichtsbehörde und der Öffentlichkeit den Namen und die Kontaktdaten des Datenschutzbeauftragten mit.

10. Betroffene Personen haben das Recht, den Datenschutzbeauftragten zu allen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten stehenden Fragen zu Rate zu ziehen und die Wahrnehmung ihrer Rechte gemäß dieser Verordnung zu beantragen.

10. Betroffene Personen haben das Recht, den Datenschutzbeauftragten zu allen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten stehenden Fragen zu Rate zu ziehen und die Wahrnehmung ihrer Rechte gemäß dieser Verordnung zu beantragen.

11. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in Absatz 1 Buchstabe c genannte Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sowie die Kriterien für die berufliche Qualifikation des in Absatz 5 genannten Datenschutzbeauftragten festzulegen.

 

Änderungsantrag  133

Vorschlag für eine Verordnung

Artikel 36

Vorschlag der Kommission

Geänderter Text

Stellung des Datenschutzbeauftragten

Stellung des Datenschutzbeauftragten

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

2. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält. Der Datenschutzbeauftragte berichtet unmittelbar der Leitung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters.

2. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält. Der Datenschutzbeauftragte berichtet unmittelbar der obersten Leitung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen zu diesem Zweck ein Mitglied der obersten Leitung, das die Verantwortung für die Einhaltung der Bestimmungen dieser Verordnung trägt.

3. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und stellt das erforderliche Personal, die erforderlichen Räumlichkeiten, die erforderliche Ausrüstung und alle sonstigen Ressourcen, die für die Erfüllung der in Artikel 37 genannten Pflichten und Aufgaben erforderlich sind, zur Verfügung.

3. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben und stellt alle Mittel, darunter das erforderliche Personal, die erforderlichen Räumlichkeiten, die erforderliche Ausrüstung und alle sonstigen Ressourcen, die für die Erfüllung der in Artikel 37 genannten Pflichten und Aufgaben und zur Pflege der Fachkenntnisse erforderlich sind, zur Verfügung.

 

4. Datenschutzbeauftragte sind zur Vertraulichkeit verpflichtet, was die Identität der betroffenen Personen und die Umstände, mit denen diese identifiziert werden können, anbelangt, sofern sie durch die betroffene Person von dieser Verpflichtung nicht entbunden werden.

Änderungsantrag  134

Vorschlag für eine Verordnung

Artikel 37

Vorschlag der Kommission

Geänderter Text

Aufgaben des Datenschutzbeauftragten

Aufgaben des Datenschutzbeauftragten

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten;

a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten, insbesondere in Bezug auf technische und organisatorische Maßnahmen und Verfahren;

b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen Personen zur Wahrnehmung der ihren nach dieser Verordnung zustehenden Rechte;

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen Personen zur Wahrnehmung der ihren nach dieser Verordnung zustehenden Rechte;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung gemäß den Artikeln 33 und 34;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Konsultation gemäß den Artikeln 32a, 33 und 34;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

h) Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen sowie gegebenenfalls Zurateziehung der Aufsichtsbehörde auf eigene Initiative.

h) Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen sowie gegebenenfalls Konsultation der Aufsichtsbehörde auf eigene Initiative.

 

i) Überprüfung der Einhaltung der Verordnung gemäß dem vorherigen Konsultierungsverfahren nach Artikel 34.

 

j) Unterrichtung der Arbeitnehmervertreter über die Verarbeitung von Daten der Arbeitnehmer.

2. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die Aufgaben, die Zertifizierung, die Stellung, die Befugnisse und die Ressourcen des in Absatz 1 genannten Datenschutzbeauftragten festzulegen.

 

Änderungsantrag  135

Vorschlag für eine Verordnung

Artikel 38

Vorschlag der Kommission

Geänderter Text

Verhaltensregeln

Verhaltensregeln

1. Die Mitgliedstaaten, die Aufsichtsbehörden und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Datenverarbeitungsbereiche zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen und sich insbesondere auf folgende Aspekte beziehen:

1. Die Mitgliedstaaten, die Aufsichtsbehörden und die Kommission fördern die Ausarbeitung von Verhaltensregeln oder die Annahme von durch eine Aufsichtsbehörde ausgearbeiteten Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Datenverarbeitungsbereiche zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen und sich insbesondere auf folgende Aspekte beziehen:

a) faire und transparente Datenverarbeitung,

a) faire und transparente Datenverarbeitung,

 

aa) Achtung der Rechte der Verbraucher;

b) Datenerhebung,

b) Datenerhebung,

c) Unterrichtung der Öffentlichkeit und der betroffenen Personen;

c) Unterrichtung der Öffentlichkeit und der betroffenen Personen;

d) von betroffenen Personen in Ausübung ihrer Rechte gestellte Anträge;

d) von betroffenen Personen in Ausübung ihrer Rechte gestellte Anträge;

e) Unterrichtung und Schutz von Kindern;

e) Unterrichtung und Schutz von Kindern;

f) Datenübermittlung in Drittländer oder an internationale Organisationen;

f) Datenübermittlung in Drittländer oder an internationale Organisationen;

g) Mechanismen zur Überwachung und zur Sicherstellung der Einhaltung der Verhaltensregeln durch die diesen unterliegenden für die Verarbeitung Verantwortlichen;

g) Mechanismen zur Überwachung und zur Sicherstellung der Einhaltung der Verhaltensregeln durch die diesen unterliegenden für die Verarbeitung Verantwortlichen;

h) außergerichtliche Verfahren und sonstige Streitschlichtungsverfahren zur Beilegung von Streitigkeiten zwischen für die Verarbeitung Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten unbeschadet der den betroffenen Personen aus den Artikeln 73 und 75 erwachsenden Rechte.

h) außergerichtliche Verfahren und sonstige Streitschlichtungsverfahren zur Beilegung von Streitigkeiten zwischen für die Verarbeitung Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten unbeschadet der den betroffenen Personen aus den Artikeln 73 und 75 erwachsenden Rechte.

2. Verbände und andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern in einem Mitgliedstaat vertreten und beabsichtigen, eigene Verhaltensregeln aufzustellen oder bestehende Verhaltensregeln zu ändern oder zu erweitern, können diesbezügliche Vorschläge der Aufsichtsbehörde in dem betreffenden Mitgliedstaat zur Stellungnahme vorlegen. Die Aufsichtsbehörde kann zu der Frage Stellung nehmen, ob der betreffende Entwurf von Verhaltensregeln beziehungsweise der Änderungsvorschlag mit dieser Verordnung vereinbar ist. Die Aufsichtsbehörde hört die betroffenen Personen oder ihre Vertreter zu diesen Vorschlägen an.

2. Verbände und andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern in einem Mitgliedstaat vertreten und beabsichtigen, eigene Verhaltensregeln aufzustellen oder bestehende Verhaltensregeln zu ändern oder zu erweitern, können diesbezügliche Vorschläge der Aufsichtsbehörde in dem betreffenden Mitgliedstaat zur Stellungnahme vorlegen. Die Aufsichtsbehörde nimmt unverzüglich zu der Frage Stellung, ob die Verarbeitung nach dem betreffenden Entwurf von Verhaltensregeln beziehungsweise der Änderungsvorschlag mit dieser Verordnung vereinbar ist. Die Aufsichtsbehörde hört die betroffenen Personen oder ihre Vertreter zu diesen Vorschlägen an.

3. Verbände und andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern in mehreren Mitgliedstaaten vertreten, können der Kommission Entwürfe von Verhaltensregeln sowie Vorschläge zur Änderung oder Ausweitung bestehender Verhaltensregeln vorlegen.

3. Verbände und andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter in mehreren Mitgliedstaaten vertreten, können der Kommission Entwürfe von Verhaltensregeln sowie Vorschläge zur Änderung oder Ausweitung bestehender Verhaltensregeln vorlegen.

4. Die Kommission kann im Wege einschlägiger Durchführungsrechtsakte beschließen, dass die ihr gemäß Absatz 3 vorgeschlagenen Verhaltensregeln beziehungsweise Änderungen und Erweiterungen bestehender Verhaltensregeln allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

4. Die Kommission wird ermächtigt, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, im Wege delegierter Rechtsakte gemäß Artikel 86 zu beschließen, dass die ihr gemäß Absatz 3 vorgeschlagenen Verhaltensregeln beziehungsweise Änderungen und Erweiterungen bestehender Verhaltensregeln im Einklang mit dieser Verordnung stehen und allgemeine Gültigkeit in der Union besitzen. Mit diesen delegierten Rechtsakten werden den betroffenen Personen durchsetzbare Rechte übertragen.

5. Die Kommission trägt dafür Sorge, dass die Verhaltensregeln, denen gemäß Absatz 4 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.

5. Die Kommission trägt dafür Sorge, dass die Verhaltensregeln, denen gemäß Absatz 4 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.

Änderungsantrag  136

Vorschlag für eine Verordnung

Artikel 39

Vorschlag der Kommission

Geänderter Text

Zertifizierung

Zertifizierung

1. Die Mitgliedstaaten und die Kommission fördern insbesondere auf europäischer Ebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und –zeichen, anhand deren betroffene Personen rasch das von für die Verarbeitung Verantwortlichen oder von Auftragsverarbeitern gewährleistete Datenschutzniveau in Erfahrung bringen können. Die datenschutzspezifischen Zertifizierungsverfahren dienen der ordnungsgemäßen Anwendung dieser Verordnung und tragen den Besonderheiten der einzelnen Sektoren und Verarbeitungsprozesse Rechnung.

 

 

1a. Jeder für die Verarbeitung Verantwortliche oder Auftragsverarbeiter kann bei jeder Aufsichtsbehörde in der Union für eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten eine Zertifizierung darüber beantragen, dass die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durchgeführt wird, insbesondere mit den Grundsätzen der Artikel 5, 23 und 30, den Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter und den Rechten der betroffenen Person.

 

1b. Die Zertifizierung ist freiwillig, erschwinglich und über ein transparentes und nicht übermäßig aufwändiges Verfahren zugänglich.

 

1c. Die Aufsichtsbehörden und der Europäische Datenschutzausschuss arbeiten im Rahmen des Kohärenzverfahrens gemäß Artikel 57 zusammen, um ein harmonisiertes datenschutzspezifisches Zertifizierungsverfahren zu gewährleisten, einschließlich harmonisierter Gebühren innerhalb der Union.

 

1d. Während des Zertifizierungsverfahrens kann die Aufsichtsbehörde spezialisierte dritte Prüfer akkreditieren, die Prüfung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für sie durchzuführen. Dritte Prüfer verfügen über ausreichend Personal, sind unparteiisch und in Bezug auf ihre Aufgaben frei von Interessenskonflikten. Aufsichtsbehörden entziehen die Akkreditierung, wenn es Grund zu der Annahme gibt, dass der Prüfer seine Aufgaben nicht korrekt erfüllt. Die endgültige Zertifizierung erteilt die Aufsichtsbehörde.

 

1e. Die Aufsichtsbehörden erteilen den für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern, denen nach der Prüfung zertifiziert wird, dass sie personenbezogene Daten im Einklang mit dieser Verordnung verarbeiten, das standardisierte Datenschutzzeichen mit der Bezeichnung „Europäisches Datenschutzsiegel“.

 

1f. Das „Europäische Datenschutzsiegel“ ist so lange gültig, wie die Verarbeitungsprozesse des zertifizierten für die Verarbeitung Verantwortlichen oder des zertifizierten Auftragsverarbeiters weiter vollständig dieser Verordnung entsprechen.

 

1g. Unbeschadet des Absatzes 1f ist die Zertifizierung höchstens fünf Jahre gültig.

 

1h. Der Europäische Datenschutzausschuss richtet ein öffentliches elektronisches Register ein, in dem die Öffentlichkeit Einsicht in alle gültigen und ungültigen Zertifikate, die von den Mitgliedstaaten ausgestellt wurden, nehmen kann.

 

1i. Der Europäische Datenschutzausschuss kann auf eigene Initiative zertifizieren, dass ein technischer Standard zur Verbesserung des Datenschutzes mit dieser Verordnung vereinbar ist.

2. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren einschließlich der Bedingungen für die Erteilung und den Entzug der Zertifizierung sowie der Anforderungen für die Anerkennung der Zertifizierung in der Union und in Drittländern festzulegen.

2. Die Kommission wird ermächtigt, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat und nach Anhörung von Interessenträgern, insbesondere Industrieverbände und nichtstaatliche Organisationen, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in den Absätzen 1a bis 1h genannten datenschutzspezifischen Zertifizierungsverfahren einschließlich der Bedingungen für die Akkreditierung der Prüfer, der Bedingungen für die Erteilung und den Entzug der Zertifizierung sowie der Anforderungen für die Anerkennung der Zertifizierung in der Union und in Drittländern festzulegen. Mit diesen delegierten Rechtsakten werden den betroffenen Personen durchsetzbare Rechte übertragen.

3. Die Kommission kann technische Standards für Zertifizierungsverfahren sowie Datenschutzsiegel und -zeichen und Verfahren zur Förderung und Anerkennung von Zertifizierungsverfahren und Datenschutzsiegeln und -zeichen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  137

Vorschlag für eine Verordnung

Artikel 41

Vorschlag der Kommission

Geänderter Text

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

1. Eine Datenübermittlung darf vorgenommen werden, wenn die Kommission festgestellt hat, dass das betreffende Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor dieses Drittlands oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner weiteren Genehmigung.

1. Eine Datenübermittlung darf vorgenommen werden, wenn die Kommission festgestellt hat, dass das betreffende Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor dieses Drittlands oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner besonderen Genehmigung.

2. Bei der Prüfung der Angemessenheit des gebotenen Schutzes berücksichtigt die Kommission

2. Bei der Prüfung der Angemessenheit des gebotenen Schutzes berücksichtigt die Kommission

a) die Rechtsstaatlichkeit, die geltenden allgemeinen und sektorspezifischen Vorschriften, insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, die in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Standesregeln und Sicherheitsvorschriften sowie die Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden;

a) die Rechtsstaatlichkeit, die geltenden allgemeinen und sektorspezifischen Vorschriften, insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, die Umsetzung dieser Rechtsvorschriften, die in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Standesregeln und Sicherheitsvorschriften, juristische Präzedenzfälle sowie die Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden;

b) die Existenz und die Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind, und

b) die Existenz und die Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften, einschließlich hinreichender Sanktionsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind; und

c) die von dem betreffenden Drittland beziehungsweise der internationalen Organisation eingegangenen internationalen Verpflichtungen.

c) die von dem betreffenden Drittland beziehungsweise der internationalen Organisation eingegangenen internationalen Verpflichtungen, insbesondere rechtlich verbindliche Übereinkommen oder Instrumente in Bezug auf den Schutz personenbezogener Daten.

3. Die Kommission kann durch Beschluss feststellen, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um festzustellen, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese delegierten Rechtsakte sehen, wenn sie den Verarbeitungssektor betreffen, eine Verfallsklausel vor und werden, sobald ein angemessenes Niveau des Schutze gemäß dieser Verordnung nicht mehr gewährleistet ist, gemäß Artikel 5 aufgehoben.

4. In jedem Durchführungsrechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

4. In jedem delegierten Rechtsakt werden der territoriale und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

 

4a. Die Kommission überwacht laufend die Entwicklungen, die sich auf die in Absatz 2 aufgeführten Faktoren in Drittländern und internationalen Organisationen auswirken könnten, für die delegierte Rechtsakte gemäß Absatz 3 erlassen wurden.

5. Die Kommission kann durch Beschluss feststellen, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 dieses Artikels bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für in der Union ansässige betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 oder – in Fällen, in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren – nach dem in Artikel 87 Absatz 3 genannten Verfahren angenommen.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um festzustellen, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 dieses Artikels bietet oder nicht mehr bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für in der Union ansässige betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren.

6. Wenn die Kommission die in Absatz 5 genannte Feststellung trifft, wird dadurch jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Bestimmungen der Artikel 42 bis 44 untersagt. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

6. Wenn die Kommission die in Absatz 5 genannte Feststellung trifft, wird dadurch jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Bestimmungen der Artikel 42 bis 44 untersagt. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

 

6a. Vor Erlass der delegierten Rechtsakte gemäß den Absätzen 3 und 5 ersucht die Kommission den Europäischen Datenschutzausschuss um eine Stellungnahme zur Angemessenheit des Datenschutzniveaus. Zu diesem Zweck versorgt die Kommission den Europäischen Datenschutzausschuss mit allen erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, Gebiets oder Verarbeitungssektors eines Drittlands oder der internationalen Organisation.

7. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren von Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

7. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren von Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

8. Sämtliche von der Kommission auf der Grundlage von Artikel 25 Absatz 6 oder Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassenen Beschlüsse bleiben so lange in Kraft, bis sie von der Kommission geändert, ersetzt oder aufgehoben werden.

8. Sämtliche von der Kommission auf der Grundlage von Artikel 25 Absatz 6 oder Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassenen Beschlüsse bleiben fünf Jahre nach Inkrafttreten dieser Verordnung in Kraft, es sei denn, sie wird durch die Kommission vor Ende dieses Zeitraums geändert, ersetzt oder aufgehoben.

Änderungsantrag  138

Vorschlag für eine Verordnung

Artikel 42

Vorschlag der Kommission

Geänderter Text

Datenübermittlung auf der Grundlage geeigneter Garantien

Datenübermittlung auf der Grundlage geeigneter Garantien

1. Hat die Kommission keinen Beschluss nach Artikel 41 erlassen, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, sofern er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.

1. Hat die Kommission keinen Beschluss nach Artikel 41 erlassen oder hat sie festgestellt, dass ein Drittland beziehungsweise ein Gebiet oder ein Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz im Einklang mit Artikel 41 Absatz 5 bietet, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nur dann personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermitteln, wenn er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.

2. Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form

2. Die in Absatz 1 genannten geeigneten Garantien können insbesondere bestehen in Form

a) verbindlicher unternehmensinterner Vorschriften nach Artikel 43;

a) verbindlicher unternehmensinterner Vorschriften nach Artikel 43; oder

 

aa) eines gültigen europäischen Datenschutzsiegels gemäß Artikel 39 Absatz 1e für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter; oder

b) von der Kommission angenommener Standarddatenschutzklauseln, diese Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren erlassen;

 

c) von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder

c) von einer Aufsichtsbehörde nach Maßgabe des in Artikel 57 beschriebenen Kohärenzverfahren angenommener Standarddatenschutzklauseln, sofern diesen von der Kommission allgemeine Gültigkeit gemäß Artikel 62 Absatz 1 Buchstabe b zuerkannt wurde, oder

d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden.

d) von Vertragsklauseln, die zwischen dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und dem Empfänger vereinbart und von einer Aufsichtsbehörde gemäß Absatz 4 genehmigt wurden.

3. Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, b und c genannten unternehmensinternen Vorschriften und Standarddatenschutzklauseln erfolgen, bedürfen keiner weiteren Genehmigung.

3. Datenübermittlungen, die nach Maßgabe der in Absatz 2 Buchstabe a, aa, b oder c genannten Standarddatenschutzklauseln, eines europäischen Datenschutzsiegels oder unternehmensinternen Vorschriften erfolgen, bedürfen keiner besonderen Genehmigung.

4. Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d dieses Artikels genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde gemäß Artikel 34 Absatz 1 Buchstabe a ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung.

4. Für Datenübermittlungen nach Maßgabe der in Absatz 2 Buchstabe d genannten Vertragsklauseln holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung der Aufsichtsbehörde ein. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung.

5. Wenn keine geeigneten Garantien für den Schutz personenbezogener Daten in einem rechtsverbindlichen Instrument vorgesehen werden, holt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die vorherige Genehmigung für die Übermittlung oder Kategorie von Übermittlungen oder für die Aufnahme von entsprechenden Bestimmungen in die Verwaltungsvereinbarungen ein, die die Grundlage für eine solche Übermittlung bilden. Derartige vorherige Genehmigungen der Aufsichtsbehörde müssen im Einklang mit Artikel 34 Absatz 1 Buchstabe a stehen. Falls die Datenübermittlung im Zusammenhang mit Verarbeitungstätigkeiten steht, welche Personen in einem oder mehreren anderen Mitgliedstaaten betreffen oder wesentliche Auswirkungen auf den freien Verkehr von personenbezogenen Daten in der Union haben, bringt die Aufsichtsbehörde das in Artikel 57 genannte Kohärenzverfahren zur Anwendung. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben so lange in Kraft, bis sie von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden.

5. Sämtliche von einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilten Genehmigungen bleiben zwei Jahre nach Inkrafttreten dieser Verordnung oder so lange in Kraft, es sei denn, sie werden durch die Aufsichtsbehörde vor Ende dieses Zeitraums geändert, ersetzt oder aufgehoben.

Änderungsantrag  139

Vorschlag für eine Verordnung

Artikel 43

Vorschlag der Kommission

Geänderter Text

Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften

Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften

1. Eine Aufsichtsbehörde kann nach Maßgabe des in Artikel 58 beschriebenen Kohärenzverfahrens verbindliche unternehmensinterne Vorschriften genehmigen, sofern diese

1. Die Aufsichtsbehörde kann nach Maßgabe des in Artikel 58 beschriebenen Kohärenzverfahrens verbindliche unternehmensinterne Vorschriften genehmigen, sofern diese

 

a) rechtsverbindlich sind, für alle Mitglieder der Unternehmensgruppe des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sowie deren Beschäftigte gelten und von diesen Mitgliedern angewendet werden;

a) rechtsverbindlich sind, für alle Mitglieder der Unternehmensgruppe des für die Verarbeitung Verantwortlichen oder der externen Subunternehmer, die in den Anwendungsbereich der verbindlichen unternehmensinternen Vorschriften fallen, sowie deren Beschäftigte gelten und von diesen Mitgliedern angewendet werden;

b) den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen;

b) den betroffenen Personen ausdrücklich durchsetzbare Rechte übertragen;

c) die in Absatz 2 festgelegten Anforderungen erfüllen.

c) die in Absatz 2 festgelegten Anforderungen erfüllen.

 

1a. In Bezug auf Beschäftigungsdaten werden die Arbeitnehmervertreter unterrichtet und gemäß Rechtsvorschriften und Praktiken der Union oder der Mitgliedstaaten in die Erarbeitung verbindlicher unternehmensinterner Vorschriften gemäß Artikel 43 einbezogen.

2. Alle verbindlichen unternehmensinternen Vorschriften enthalten mindestens folgende Informationen:

2. Alle verbindlichen unternehmensinternen Vorschriften enthalten mindestens folgende Informationen:

a) Struktur und Kontaktdaten der Unternehmensgruppe und ihrer Mitglieder;

a) Struktur und Kontaktdaten der Unternehmensgruppe und ihrer Mitglieder und der externen Subunternehmer, die in den Anwendungsbereich der verbindlichen unternehmensinternen Vorschriften fallen;

b) die betreffenden Datenübermittlungen oder Datenübermittlungskategorien einschließlich der betreffenden Kategorien personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;

b) die betreffenden Datenübermittlungen oder Datenübermittlungskategorien einschließlich der betreffenden Kategorien personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;

c) interne und externe Rechtsverbindlichkeit der betreffenden unternehmensinternen Vorschriften;

c) interne und externe Rechtsverbindlichkeit der betreffenden unternehmensinternen Vorschriften;

d) die allgemeinen Datenschutzgrundsätze, zum Beispiel Zweckbegrenzung, die Datenqualität, die Rechtsgrundlage für die Verarbeitung sowie die Bestimmungen für etwaige Verarbeitungen sensibler personenbezogener Daten, Maßnahmen zur Sicherstellung der Datensicherheit und die Anforderungen für die Datenweitergabe an nicht an diese Vorschriften gebundene Organisationen;

d) die allgemeinen Datenschutzgrundsätze, zum Beispiel Zweckbegrenzung, die Datenminimierung, begrenzte Aufbewahrungsfristen, die Datenqualität, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, die Rechtsgrundlage für die Verarbeitung sowie die Bestimmungen für etwaige Verarbeitungen sensibler personenbezogener Daten, Maßnahmen zur Sicherstellung der Datensicherheit und die Anforderungen für die Datenweitergabe an nicht an diese Vorschriften gebundene Organisationen;

e) die Rechte der betroffenen Personen und die diesen offen stehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, keiner einer Profilerstellung dienenden Maßnahme nach Artikel 20 unterworfen zu werden sowie des in Artikel 75 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen unternehmensinternen Vorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;

e) die Rechte der betroffenen Personen und die diesen offen stehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, keiner einer Profilerstellung dienenden Maßnahme nach Artikel 20 unterworfen zu werden sowie des in Artikel 75 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen unternehmensinternen Vorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;

f) die von dem in einem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße von nicht in der Union niedergelassenen Mitgliedern der Unternehmensgruppe gegen die verbindlichen unternehmensinternen Vorschriften; der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter kann teilweise oder vollständig von dieser Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;

f) die von dem in einem Mitgliedstaat niedergelassenen für die Verarbeitung Verantwortlichen übernommene Haftung für etwaige Verstöße von nicht in der Union niedergelassenen Mitgliedern der Unternehmensgruppe gegen die verbindlichen unternehmensinternen Vorschriften; der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von dieser Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;

g) die Art und Weise, wie die betroffenen Personen gemäß Artikel 11 über die verbindlichen unternehmensinternen Vorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;

g) die Art und Weise, wie die betroffenen Personen gemäß Artikel 11 über die verbindlichen unternehmensinternen Vorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;

h) die Aufgaben des gemäß Artikel 35 benannten Datenschutzbeauftragten einschließlich der Überwachung der Einhaltung der verbindlichen unternehmensinternen Vorschriften in der Unternehmensgruppe sowie die Überwachung der Schulungsmaßnahmen und den Umgang mit Beschwerden;

h) die Aufgaben des gemäß Artikel 35 benannten Datenschutzbeauftragten einschließlich der Überwachung der Einhaltung der verbindlichen unternehmensinternen Vorschriften in der Unternehmensgruppe sowie die Überwachung der Schulungsmaßnahmen und den Umgang mit Beschwerden;

i) die innerhalb der Unternehmensgruppe bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen unternehmensinternen Vorschriften;

i) die innerhalb der Unternehmensgruppe bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen unternehmensinternen Vorschriften;

j) die Verfahren für die Meldung und Erfassung von Änderungen der Unternehmenspolitik und ihre Meldung an die Aufsichtsbehörde;

j) die Verfahren für die Meldung und Erfassung von Änderungen der Unternehmenspolitik und ihre Meldung an die Aufsichtsbehörde;

k) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe gewährleisten, wie insbesondere die Offenlegung der Ergebnisse der Überprüfungen der unter Buchstabe i dieses Absatzes genannten Maßnahmen gegenüber der Aufsichtsbehörde.

k) die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe gewährleisten, wie insbesondere die Offenlegung der Ergebnisse der Überprüfungen der unter Buchstabe i dieses Absatzes genannten Maßnahmen gegenüber der Aufsichtsbehörde.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels und insbesondere die Kriterien für deren Genehmigung und für die Anwendung von Absatz 2 Buchstaben b, d, e, und f auf verbindliche unternehmensinterne Vorschriften von Auftragsverarbeitern sowie weitere erforderliche Anforderungen zum Schutz der personenbezogenen Daten der betroffenen Personen festzulegen.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um Format, Verfahren, die Kriterien und Anforderungen für verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels und insbesondere die Kriterien für deren Genehmigung, einschließlich Transparenz für betroffene Personen, und für die Anwendung von Absatz 2 Buchstaben b, d, e, und f auf verbindliche unternehmensinterne Vorschriften von Auftragsverarbeitern sowie weitere erforderliche Anforderungen zum Schutz der personenbezogenen Daten der betroffenen Personen festzulegen.

4. Die Kommission kann das Format und Verfahren für den auf elektronischem Wege erfolgenden Informationsaustausch über verbindliche unternehmensinterne Vorschriften im Sinne dieses Artikels zwischen für die Verarbeitung Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

Änderungsantrag  140

Vorschlag für eine Verordnung

Artikel 43 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 43a

 

Übermittlung oder Weitergabe, die nicht im Einklang mit dem Unionsrecht stehen

 

1. Unbeschadet eines Abkommens über Amtshilfe oder eines zwischen dem ersuchenden Drittstaat und der Union oder einem Mitgliedstaat geltenden internationalen Übereinkommens werden Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, weder anerkannt noch in irgendeiner Weise vollstreckt.

 

2. Verlangt ein Urteil eines Gerichts oder eine Entscheidung einer Verwaltungsbehörde eines Drittstaats von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, personenbezogene Daten weiterzugeben, so unterrichtet der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter bzw. ein etwaiger Vertreter des für die Verarbeitung Verantwortlichen die Aufsichtsbehörde unverzüglich über das Ersuchen und muss von der Aufsichtsbehörde die vorherige Genehmigung für die Übermittlung oder Weitergabe erhalten.

 

3. Die Aufsichtsbehörde prüft die Vereinbarkeit der beantragten Weitergabe mit der Verordnung und insbesondere, ob die Weitergabe gemäß Artikel 44 Absatz 1 Buchstabe d und e sowie Artikel 44 Absatz 5 erforderlich und rechtlich vorgeschrieben ist. Sind betroffene Personen anderer Mitgliedstaaten betroffen, bringt die Aufsichtsbehörde das in Artikel 57 beschriebene Kohärenzverfahren zur Anwendung.

 

4. Die Aufsichtsbehörde unterrichtet die zuständige einzelstaatliche Behörde über das Ersuchen. Unbeschadet des Artikels 21 unterrichtet der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter auch die betroffene Person über das Ersuchen und über die Genehmigung der Aufsichtsbehörde sowie gegebenenfalls darüber, ob personenbezogene Daten innerhalb der letzten zwölf aufeinanderfolgenden Monate gemäß Artikel 14 Absatz 1 Buchstabe ha an Behörden übermittelt wurden.

Änderungsantrag  141

Vorschlag für eine Verordnung

Artikel 44

Vorschlag der Kommission

Geänderter Text

Ausnahmen

Ausnahmen

1. Falls weder ein Angemessenheitsbeschluss nach Artikel 41 vorliegt noch geeignete Garantien nach Artikel 42 bestehen, ist eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur zulässig, wenn

1. Falls weder ein Angemessenheitsbeschluss nach Artikel 41 vorliegt noch geeignete Garantien nach Artikel 42 bestehen, ist eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation nur zulässig, wenn

a) die betroffene Person der vorgeschlagenen Datenübermittlung zugestimmt hat, nachdem sie über die Risiken derartiger ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien durchgeführter Datenübermittlungen informiert wurde,

a) die betroffene Person der vorgeschlagenen Datenübermittlung zugestimmt hat, nachdem sie über die Risiken derartiger ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien durchgeführter Datenübermittlungen informiert wurde,

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,

c) die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem für die Verarbeitung Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist,

c) die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem für die Verarbeitung Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist,

d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist,

d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist,

e) die Übermittlung zur Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist,

e) die Übermittlung zur Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist,

f) die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

f) die Übermittlung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,

g) die Übermittlung aus einem Register erfolgt, das gemäß dem Unionsrecht oder dem mitgliedstaatlichen Recht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die im Unionsrecht oder im mitgliedstaatlichen Recht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind, oder

g) die Übermittlung aus einem Register erfolgt, das gemäß dem Unionsrecht oder dem mitgliedstaatlichen Recht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die im Unionsrecht oder im mitgliedstaatlichen Recht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

h) die Übermittlung zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter wahrgenommen wird, erforderlich ist und nicht als häufig oder massiv bezeichnet werden kann, und falls der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei einer Datenübermittlung oder bei einer Kategorie von Datenübermittlungen eine Rolle spielen, und gegebenenfalls auf der Grundlage dieser Beurteilung geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.

 

2. Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.

2. Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.

3. Bei Datenverarbeitungen gemäß Absatz 1 Buchstabe h berücksichtigt der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter insbesondere die Art der Daten, die Zweckbestimmung und die Dauer der geplanten Verarbeitung, die Situation im Herkunftsland, in dem betreffenden Drittland und im Endbestimmungsland sowie erforderlichenfalls etwaige vorgesehene geeignete Garantien zum Schutz personenbezogener Daten.

 

4. Absatz 1 Buchstaben b, c und h gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.

4. Absatz 1 Buchstaben b und c gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.

5. Das in Absatz 1 Buchstabe d genannte öffentliche Interesse muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt sein.

5. Das in Absatz 1 Buchstabe d genannte öffentliche Interesse muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, anerkannt sein.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die in Absatz 1 Buchstabe h dieses Artikels genannten geeigneten Garantien in der Dokumentation gemäß Artikel 28 und setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis.

 

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die in Absatz 1 Buchstabe d genannten „wichtigen Gründe des öffentlichen Interesses“ zu präzisieren und die Kriterien und Anforderungen für die geeigneten Garantien im Sinne des Absatzes 1 Buchstabe h festzulegen.

7. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken in Bezug auf die weitere Festlegung der Kriterien und Bedingungen für die Übermittlung von Daten gemäß Absatz 1 nach Maßgabe von Artikel 66 Absatz 1 Buchstabe b zu veröffentlichen.

Änderungsantrag  142

Vorschlag für eine Verordnung

Artikel 45 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,

a) Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten gewährleistet wird,

Änderungsantrag  143

Vorschlag für eine Verordnung

Artikel 45 – Absatz 1 – Buchstabe d a (neu)

Vorschlag der Kommission

Geänderter Text

 

da) Klärung und Beratung von Zuständigkeitskonflikten mit Drittländern.

Änderungsantrag  144

Vorschlag für eine Verordnung

Artikel 45 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 45a

 

Bericht der Kommission

 

Die Kommission legt dem Europäischen Parlament und dem Rat spätestens vier Jahre nach dem in Artikel 91 Absatz 1 genannten Termin in regelmäßigen Abständen einen Bericht über die Anwendung der Artikel 40 bis 45 vor. Hierzu kann die Kommission von den Mitgliedstaaten und den Aufsichtsbehörden Informationen einholen, die unverzüglich zu übermitteln sind. Dieser Bericht wird veröffentlicht.

Änderungsantrag  145

Vorschlag für eine Verordnung

Artikel 47 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Aufsichtsbehörde handelt bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse völlig unabhängig.

1. Die Aufsichtsbehörde handelt bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse völlig unabhängig und unparteilich, vorbehaltlich der Vorkehrungen für Zusammenarbeit und Kohärenz gemäß Kapitel VII dieser Verordnung.

Änderungsantrag  146

Vorschlag für eine Verordnung

Artikel 47 – Absatz 7 a (neu)

Vorschlag der Kommission

Geänderter Text

 

7a. Die Mitgliedstaaten stellen jeweils sicher, dass die Aufsichtsbehörde gegenüber dem einzelstaatlichen Parlament im Rahmen der Haushaltskontrolle rechenschaftspflichtig ist.

Änderungsantrag  147

Vorschlag für eine Verordnung

Artikel 50

Vorschlag der Kommission

Geänderter Text

Verschwiegenheitspflicht

Verschwiegenheitspflicht

Die Mitglieder und Bediensteten der Aufsichtsbehörde sind während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Die Mitglieder und Bediensteten der Aufsichtsbehörde sind während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung gemäß den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren und ihre Aufgaben mit der Unabhängigkeit und Transparenz gemäß dieser Verordnung wahrzunehmen.

Änderungsantrag  148

Vorschlag für eine Verordnung

Artikel 51 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jede Aufsichtsbehörde übt im Hoheitsgebiet ihres Mitgliedstaats die ihr mit dieser Verordnung übertragenen Befugnisse aus.

1. Jede Aufsichtsbehörde führt unbeschadet der Artikel 73 und 74 die ihr in dieser Verordnung übertragenen Aufgaben durch und übt im Hoheitsgebiet ihres Mitgliedstaats die ihr mit dieser Verordnung übertragenen Befugnisse aus. Datenverarbeitung durch Behörden wird nur durch die Aufsichtsbehörde dieses Mitgliedstaats überwacht.

Änderungsantrag  149

Vorschlag für eine Verordnung

Artikel 51 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Findet die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Niederlassung eines für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters in der Union statt, wobei der für die Verarbeitung Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, so ist die Aufsichtsbehörde des Mitgliedstaats, in dem sich die Hauptniederlassung des für die Verarbeitung Verantwortlichen oder Auftragsverarbeiters befindet, unbeschadet der Bestimmungen von Kapitel VII dieser Verordnung für die Aufsicht über dessen Verarbeitungstätigkeit in allen Mitgliedstaaten zuständig.

entfällt

Änderungsantrag  150

Vorschlag für eine Verordnung

Artikel 52 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) die Befassung mit Beschwerden betroffener Personen oder von Verbänden, die diese Personen gemäß Artikel 73 vertreten, die Untersuchung der Angelegenheit in angemessenem Umfang und Unterrichtung der betroffenen Personen oder Verbände über den Fortgang und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,

b) die Befassung mit Beschwerden betroffener Personen oder von Verbänden gemäß Artikel 73, die Untersuchung der Angelegenheit in angemessenem Umfang und Unterrichtung der betroffenen Personen oder Verbände über den Fortgang und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,

Änderungsantrag  151

Vorschlag für eine Verordnung

Artikel 52 – Absatz 1 – Buchstabe d

Vorschlag der Kommission

Geänderter Text

d) die Durchführung von Untersuchungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde und, falls die betroffene Person eine Beschwerde bei dieser Aufsichtsbehörde eingereicht hat, deren Unterrichtung über die Ergebnisse der Untersuchungen innerhalb einer angemessenen Frist,

d) die Durchführung von Untersuchungen auf eigene Initiative, aufgrund einer Beschwerde oder einer konkreten und dokumentierten Information, die unrechtmäßige Verarbeitung behauptet oder auf Ersuchen einer anderen Aufsichtsbehörde und, falls die betroffene Person eine Beschwerde bei dieser Aufsichtsbehörde eingereicht hat, deren Unterrichtung über die Ergebnisse der Untersuchungen innerhalb einer angemessenen Frist,

Änderungsantrag  152

Vorschlag für eine Verordnung

Artikel 52 – Absatz 1 – Buchstabe j a (neu)

Vorschlag der Kommission

Geänderter Text

 

ja) die für die Verarbeitung Verantwortliche und Auftragsverarbeiter gemäß Artikel 39 zu zertifizieren.

Änderungsantrag  153

Vorschlag für eine Verordnung

Artikel 52 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

2. Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten und über angemessene Maßnahmen für den Schutz personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

Änderungsantrag  154

Vorschlag für eine Verordnung

Artikel 52 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a. Jede Aufsichtsbehörde fördert gemeinsam mit den Europäischen Datenschutzausschuss das Bewusstsein der für die Verarbeitung Verantwortlichen, und der Auftragsverarbeiter über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Dazu gehört das Führen eines Registers der Sanktionen und Verstöße. Dieses Register sollte so detailliert wie möglich alle Warnungen und Sanktionen sowie die Lösungen der Verstöße enthalten. Jede Aufsichtsbehörde stellt kleinsten, kleinen und mittleren für die Verarbeitung Verantwortlichen und Auftragsverarbeitern auf Antrag allgemeine Information über ihre Verantwortlichkeiten und Verpflichtungen gemäß dieser Verordnung mit.

Änderungsantrag  155

Vorschlag für eine Verordnung

Artikel 52 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6. Bei offensichtlich missbräuchlichen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine Gebühr verlangen oder davon absehen, die von der betroffenen Person beantragte Maßnahme zu treffen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offensichtlich missbräuchlichen Charakter des Antrags.

6. Bei offensichtlich missbräuchlichen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine angemessene Gebühr verlangen oder davon absehen, die von der betroffenen Person beantragte Maßnahme zu treffen. Diese Gebühr übersteigt nicht die Kosten der beantragten Maßnahmen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offensichtlich missbräuchlichen Charakter des Antrags.

Änderungsantrag  156

Vorschlag für eine Verordnung

Artikel 53

Vorschlag der Kommission

Geänderter Text

Befugnisse

Befugnisse

1. Jede Aufsichtsbehörde ist befugt,

1. Jede Aufsichtsbehörde ist im Einklang mit dieser Verordnung befugt,

a) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter auf einen behaupteten Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten hinzuweisen und ihn gegebenenfalls anzuweisen, diesem Verstoß in einer bestimmten Weise abzuhelfen, um den Schutz der betroffenen Person zu verbessern,

a) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter auf einen behaupteten Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten hinzuweisen und ihn gegebenenfalls anzuweisen, diesem Verstoß in einer bestimmten Weise abzuhelfen, um den Schutz der betroffenen Person zu verbessern, oder den für die Verarbeitung Verantwortlichen zu verpflichten, die Verletzung des Schutzes personenbezogener Daten der betroffenen Person mitzuteilen;

b) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

b) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

c) den für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben zweckdienlich sind,

c) den für die Verarbeitung Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben zweckdienlich sind,

d) die Befolgung der Genehmigungen und Auskünfte im Sinne von Artikel 34 sicherzustellen,

d) die Befolgung der Genehmigungen und Auskünfte im Sinne von Artikel 34 sicherzustellen,

e) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter zu ermahnen oder zu verwarnen,

e) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter zu ermahnen oder zu verwarnen,

f) die Berichtigung, Löschung oder Vernichtung aller Daten, die unter Verletzung der Bestimmungen dieser Verordnung verarbeitet wurden, anzuordnen, und solche Maßnahmen Dritten, an die diese Daten weitergegeben wurden, mitzuteilen,

f) die Berichtigung, Löschung oder Vernichtung aller Daten, die unter Verletzung der Bestimmungen dieser Verordnung verarbeitet wurden, anzuordnen, und solche Maßnahmen Dritten, an die diese Daten weitergegeben wurden, mitzuteilen,

g) die Verarbeitung vorübergehend oder endgültig zu verbieten,

g) die Verarbeitung vorübergehend oder endgültig zu verbieten,

h) die Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation zu unterbinden,

h) die Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation zu unterbinden,

i) Stellungnahmen zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten abzugeben,

i) Stellungnahmen zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten abzugeben,

 

ia) für die Verarbeitung Verantwortliche und Auftragsverarbeiter nach Artikel 39 zu zertifizieren;

j) das nationale Parlament, die Regierung oder sonstige politische Institutionen sowie die Öffentlichkeit über Fragen im Zusammenhang mit dem Schutz personenbezogener Daten zu informieren.

j) das nationale Parlament, die Regierung oder sonstige politische Institutionen sowie die Öffentlichkeit über Fragen im Zusammenhang mit dem Schutz personenbezogener Daten zu informieren;

 

ja) wirksame Vorkehrungen zu treffen, um vertrauliche Meldungen über Verletzungen der Verordnung zu fördern, wobei die Leitlinien des Europäischen Datenschutzausschusses gemäß Artikel 66 Absatz 4b berücksichtigt werden.

2. Jede Aufsichtsbehörde kann kraft ihrer Untersuchungsbefugnis vom für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter Folgendes verlangen:

2. Jede Aufsichtsbehörde kann kraft ihrer Untersuchungsbefugnis vom für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter ohne Vorankündigung Folgendes verlangen:

a) Zugriff auf alle personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind,

a) Zugriff auf alle personenbezogenen Daten und auf alle Dokumente und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind,

b) Zugang zu den Geschäftsräumen einschließlich aller Datenverarbeitungsanlagen und -geräte, sofern Grund zu der Annahme besteht, dass dort Tätigkeiten ausgeführt werden, die gegen diese Verordnung verstoßen.

b) Zugang zu den Geschäftsräumen einschließlich aller Datenverarbeitungsanlagen und -geräte.

Die Befugnisse nach Buchstabe b werden im Einklang mit dem Unionsrecht und dem Recht der Mitgliedstaaten ausgeübt.

Die Befugnisse nach Buchstabe b werden im Einklang mit dem Unionsrecht und dem Recht der Mitgliedstaaten ausgeübt.

3. Jede Aufsichtsbehörde ist insbesondere gemäß Artikel 74 Absatz 4 und Artikel 75 Absatz 2 befugt, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Klage zu erheben.

3. Jede Aufsichtsbehörde ist insbesondere gemäß Artikel 74 Absatz 4 und Artikel 75 Absatz 2 befugt, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Klage zu erheben.

4. Jede Aufsichtsbehörde ist befugt, verwaltungsrechtliche Vergehen, insbesondere solche nach Artikel 79 Absätze 4, 5 und 6, zu ahnden.

4. Jede Aufsichtsbehörde ist befugt, Ordnungswidrigkeiten nach Artikel 79 zu ahnden. Diese Befugnis wird in einer wirksamen, verhältnismäßigen und abschreckenden Art und Weise ausgeübt.

Änderungsantrag  157

Vorschlag für eine Verordnung

Artikel 54

Vorschlag der Kommission

Geänderter Text

Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit. Der Bericht wird dem nationalen Parlament vorgelegt und der Öffentlichkeit, der Kommission und dem Europäischen Datenschutzausschuss zugänglich gemacht.

Jede Aufsichtsbehörde erstellt mindestens alle zwei Jahre einen Bericht über ihre Tätigkeit. Der Bericht wird dem jeweiligen Parlament vorgelegt und der Öffentlichkeit, der Kommission und dem Europäischen Datenschutzausschuss zugänglich gemacht.

Änderungsantrag  158

Vorschlag für eine Verordnung

Artikel 54 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 54a

 

Federführende Behörde

 

1. Findet die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union statt, wobei der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, oder werden die personenbezogenen Daten von Einwohnern mehrerer Mitgliedstaaten verarbeitet, so fungiert die Aufsichtsbehörde der Hauptniederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters gemäß der Bestimmungen von Kapitel VII dieser Verordnung als zentrale Anlaufstelle für die Aufsicht über die Verarbeitungsvorgänge des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in allen Mitgliedstaaten.

 

2. Die federführende Behörde ergreift angemessene Maßnahmen für die Aufsicht über die Verarbeitungstätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, für den es zuständig ist, erst nach Konsultation aller anderen zuständigen Aufsichtsbehörden im Sinne von Artikel 51 Absatz 1 und bemüht sich dabei, einen Konsens zu erreichen. Zu diesem Zweck leitet sie insbesondere alle maßgeblichen Informationen weiter und konsultiert die anderen Behörden, bevor sie Maßnahmen, die im Sinne von Artikel 51 Absatz 1 Rechtswirkungen in Bezug auf die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter entfalten sollen, ergreift. Die federführende Behörde schenkt den Stellungnahmen der beteiligten Behörden größtmögliche Beachtung. Die federführende Behörde ist die einzige Behörde, die befugt ist, Maßnahmen, die Rechtswirkungen in Bezug auf die Verarbeitungstätigkeiten der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, für die sie zuständig ist, entfalten sollen, ergreift.

 

3. Der Europäische Datenschutzausschuss gibt auf Antrag einer zuständigen Aufsichtsbehörde eine Stellungnahme zu der Feststellung der federführenden Behörde, die für einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter zuständig ist, ab, wenn

 

a) aus dem Sachverhalt nicht hervorgeht, wo sich der Hauptsitz des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befindet, oder

 

b) sich die zuständigen Behörden nicht darauf einigen können, welche Behörde als federführende Behörde fungieren soll; oder

 

c) der für die Verarbeitung Verantwortliche nicht in der Union niedergelassen ist, und in unterschiedlichen Mitgliedstaaten ansässige Personen von den Verarbeitungsoperationen im Rahmen dieser Verordnung betroffen sind.

 

3a. Wird der für die Verarbeitung Verantwortliche auch als Auftragsverarbeiter tätig, so fungiert die Aufsichtsbehörde der Hauptniederlassung des für die Verarbeitung Verantwortlichen als federführende Behörde für die Aufsicht über die Verarbeitungstätigkeiten.

 

4. Der Europäische Datenschutzausschuss kann die federführende Behörde bestimmen.

(Absatz 1 im Änderungsantrag des Parlaments stützt sich auf Artikel 51 Absatz 2 des Vorschlags der Kommission.)

Änderungsantrag  159

Vorschlag für eine Verordnung

Artikel 55 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Aufsichtsbehörden übermitteln einander zweckdienliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Zurateziehung, die Vornahme von Nachprüfungen und die zügige Unterrichtung über die Befassung mit einer Angelegenheit und über weitere Entwicklungen in Fällen, in denen Personen in mehreren Mitgliedstaaten voraussichtlich von Verarbeitungsvorgängen betroffen sind.

1. Die Aufsichtsbehörden übermitteln einander zweckdienliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, die Vornahme von Nachprüfungen und Untersuchungen sowie die zügige Unterrichtung über die Befassung mit einer Angelegenheit und über weitere Entwicklungen in Fällen, in denen der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten verfügt oder in denen Personen in mehreren Mitgliedstaaten voraussichtlich von Verarbeitungsvorgängen betroffen sind. Die federführende Behörde gemäß Artikel 54a stellt die Abstimmung mit den beteiligten Aufsichtsbehörden sicher und fungiert als zentrale Kontaktstelle für den für die Verarbeitung Verantwortlichen bzw. den Auftragsverarbeiter.

Änderungsantrag  160

Vorschlag für eine Verordnung

Artikel 55 – Absatz 7

Vorschlag der Kommission

Geänderter Text

7. Maßnahmen, die aufgrund eines Amtshilfeersuchens getroffen werden, sind gebührenfrei.

7. Maßnahmen, die aufgrund eines Amtshilfeersuchens getroffen werden, sind für die ersuchende Aufsichtsbehörde gebührenfrei.

Änderungsantrag  161

Vorschlag für eine Verordnung

Artikel 55 – Absatz 8

Vorschlag der Kommission

Geänderter Text

8. Wird eine ersuchte Aufsichtsbehörde nicht binnen eines Monats auf das Amtshilfeersuchen einer anderen Aufsichtsbehörde hin tätig, so ist die ersuchende Aufsichtsbehörde befugt, einstweilige Maßnahmen im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 51 Absatz 1 zu ergreifen und die Angelegenheit dem Europäischen Datenschutzausschuss gemäß dem Verfahren von Artikel 57 vorzulegen.

8. Wird eine ersuchte Aufsichtsbehörde nicht binnen eines Monats auf das Amtshilfeersuchen einer anderen Aufsichtsbehörde hin tätig, so ist die ersuchende Aufsichtsbehörde befugt, einstweilige Maßnahmen im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 51 Absatz 1 zu ergreifen und die Angelegenheit dem Europäischen Datenschutzausschuss gemäß dem Verfahren von Artikel 57 vorzulegen. Die ersuchende Aufsichtsbehörde kann einstweilige Maßnahmen nach Artikel 53 im Hoheitsgebiet ihres Mitgliedstaats ergreifen, wenn aufgrund der noch nicht abgeschlossenen Hilfeleistung eine endgültige Maßnahme noch nicht getroffen werden kann.

Änderungsantrag  162

Vorschlag für eine Verordnung

Artikel 55 – Absatz 9

Vorschlag der Kommission

Geänderter Text

9. Die Aufsichtsbehörde legt fest, wie lange diese einstweilige Maßnahme gültig ist. Dieser Zeitraum darf drei Monate nicht überschreiten. Die Aufsichtsbehörde setzt den Europäischen Datenschutzausschuss und die Kommission unverzüglich unter Angabe aller Gründe von diesen Maßnahmen in Kenntnis.

9. Die Aufsichtsbehörde legt fest, wie lange diese einstweilige Maßnahme gültig ist. Dieser Zeitraum darf drei Monate nicht überschreiten. Die Aufsichtsbehörde setzt den Europäischen Datenschutzausschuss und die Kommission von diesen Maßnahmen unverzüglich unter Angabe aller Gründe gemäß dem in Artikel 57 vorgesehenen Verfahren in Kenntnis.

Änderungsantrag  163

Vorschlag für eine Verordnung

Artikel 55 – Absatz 10

Vorschlag der Kommission

Geänderter Text

10. Die Kommission kann Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Europäischen Datenschutzausschuss, insbesondere das in Absatz 6 genannte standardisierte Format, festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

10. Der Europäische Datenschutzausschuss kann Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Europäischen Datenschutzausschuss, insbesondere das in Absatz 6 genannte standardisierte Format, festlegen.

Änderungsantrag  164

Vorschlag für eine Verordnung

Artikel 56 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. In Fällen, in denen voraussichtlich Personen in mehreren Mitgliedstaaten von Verarbeitungsvorgängen betroffen sind, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen untersuchungsspezifischen Aufgaben oder den gemeinsamen Maßnahmen teilzunehmen. Die zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den betreffenden gemeinsamen untersuchungsspezifischen Aufgaben oder gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme.

2. In Fällen, in denen der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten verfügt oder in denen voraussichtlich Personen in mehreren Mitgliedstaaten von Verarbeitungsvorgängen betroffen sind, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen untersuchungsspezifischen Aufgaben oder den gemeinsamen Maßnahmen teilzunehmen. Die federführende Aufsichtsbehörde gemäß Artikel 54a bezieht die Aufsichtsbehörde jedes dieser Mitgliedstaaten in die betreffenden gemeinsamen untersuchungsspezifischen Aufgaben oder gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme. Die federführende Aufsichtsbehörde fungiert als zentrale Kontaktstelle für den für die Verarbeitung Verantwortlichen bzw. den Auftragsverarbeiter.

Änderungsantrag  165

Vorschlag für eine Verordnung

Artikel 57

Vorschlag der Kommission

Geänderter Text

Kohärenzverfahren

Kohärenzverfahren

Zu den in Artikel 46 Absatz 1 genannten Zwecken arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und mit der Kommission zusammen.

Zu den in Artikel 46 Absatz 1 genannten Zwecken arbeiten die Aufsichtsbehörden sowohl in allgemeinen Fragen als auch in Einzelfällen gemäß den Vorschriften des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und mit der Kommission zusammen.

Änderungsantrag  166

Vorschlag für eine Verordnung

Artikel 58

Vorschlag der Kommission

Geänderter Text

Stellungnahme des Europäischen Datenschutzausschusses

Kohärenz in Angelegenheiten mit allgemeiner Geltung

1. Bevor eine Aufsichtsbehörde eine Maßnahme nach Absatz 2 erlässt, übermittelt sie die geplante Maßnahme dem Europäischen Datenschutzausschuss und der Kommission.

1. Bevor eine Aufsichtsbehörde eine Maßnahme nach Absatz 2 erlässt, übermittelt sie die geplante Maßnahme dem Europäischen Datenschutzausschuss und der Kommission.

2. Die in Absatz 1 genannte Verpflichtung gilt für Maßnahmen, die Rechtswirkung entfalten sollen und

2. Die in Absatz 1 genannte Verpflichtung gilt für Maßnahmen, die Rechtswirkung entfalten sollen und

a) sich auf Verarbeitungstätigkeiten beziehen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen in mehreren Mitgliedstaaten oder mit der Beobachtung des Verhaltens dieser Personen im Zusammenhang stehen, oder

 

b) den freien Verkehr personenbezogener Daten in der Union wesentlich beeinträchtigen können oder

 

c) der Annahme einer Liste der Verarbeitungsvorgänge dienen, die der vorherigen Zurateziehung gemäß Artikel 34 Absatz 5 unterliegen oder

 

d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 42 Absatz 2 Buchstabe c dienen oder

d) der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 42 Absatz 2 Buchstabe c dienen, oder

e) der Genehmigung von Vertragsklauseln gemäß Artikel 42 Absatz 2 Buchstabe d dienen oder

e) der Genehmigung von Vertragsklauseln gemäß Artikel 42 Absatz 2 Buchstabe d dienen, oder

f) der Annahme verbindlicher unternehmensinterner Vorschriften im Sinne von Artikel 43 dienen.

f) der Annahme verbindlicher unternehmensinterner Vorschriften im Sinne von Artikel 43 dienen.

3. Jede Aufsichtsbehörde und der Europäische Datenschutzausschuss können beantragen, dass eine Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird, insbesondere, wenn eine Aufsichtsbehörde die in Absatz 2 genannte geplante Maßnahme nicht vorlegt oder den Verpflichtungen zur Amtshilfe gemäß Artikel 55 oder zu gemeinsamen Maßnahmen gemäß Artikel 56 nicht nachkommt.

3. Jede Aufsichtsbehörde und der Europäische Datenschutzausschuss können beantragen, dass eine Angelegenheit mit allgemeiner Geltung im Rahmen des Kohärenzverfahrens behandelt wird, insbesondere, wenn eine Aufsichtsbehörde die in Absatz 2 genannte geplante Maßnahme nicht vorlegt oder den Verpflichtungen zur Amtshilfe gemäß Artikel 55 oder zu gemeinsamen Maßnahmen gemäß Artikel 56 nicht nachkommt.

4. Um die ordnungsgemäße und kohärente Anwendung dieser Verordnung sicherzustellen, kann die Kommission beantragen, dass eine Sache im Rahmen des Kohärenzverfahrens behandelt wird.

4. Um die ordnungsgemäße und kohärente Anwendung dieser Verordnung sicherzustellen, kann die Kommission beantragen, dass eine Angelegenheit mit allgemeiner Geltung im Rahmen des Kohärenzverfahrens behandelt wird.

5. Die Aufsichtsbehörden und die Kommission übermitteln auf elektronischem Wege unter Verwendung eines standardisierten Formats zweckdienliche Informationen, darunter je nach Fall eine kurze Darstellung des Sachverhalts, die geplante Maßnahme und die Gründe, warum eine solche Maßnahme ergriffen werden muss.

5. Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich auf elektronischem Wege unter Verwendung eines standardisierten Formats zweckdienliche Informationen, darunter je nach Fall eine kurze Darstellung des Sachverhalts, die geplante Maßnahme und die Gründe, warum eine solche Maßnahme ergriffen werden muss.

6. Der Vorsitz des Europäischen Datenschutzausschusses unterrichtet unverzüglich auf elektronischem Wege unter Verwendung eines standardisierten Formats die Mitglieder des Datenschutzausschusses und die Kommission über zweckdienliche Informationen, die ihm zugegangen sind. Soweit erforderlich stellt der Vorsitz des Europäischen Datenschutzausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung.

6. Der Vorsitz des Europäischen Datenschutzausschusses unterrichtet unverzüglich auf elektronischem Wege unter Verwendung eines standardisierten Formats die Mitglieder des Datenschutzausschusses und die Kommission über zweckdienliche Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Europäischen Datenschutzausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung.

 

6a. Der Europäische Datenschutzausschuss gibt eine Stellungnahme zu Angelegenheiten, mit denen er gemäß Absatz 2 befasst wird, ab.

7. Wenn der Europäische Datenschutzausschuss dies mit der einfachen Mehrheit seiner Mitglieder entscheidet oder eine Aufsichtsbehörde oder die Kommission dies binnen einer Woche nach Übermittlung der zweckdienlichen Informationen nach Absatz 5 beantragen, gibt der Europäische Datenschutzausschuss eine Stellungnahme zu der Angelegenheit ab. Die Stellungnahme wird binnen einem Monat mit der einfachen Mehrheit der Mitglieder des Europäischen Datenschutzausschusses angenommen. Der Vorsitz des Europäischen Datenschutzausschusses unterrichtet je nach Fall die in Absatz 1 oder Absatz 3 genannte Aufsichtsbehörde, die Kommission und die gemäß Artikel 51 zuständige Aufsichtsbehörde unverzüglich über die Stellungnahme und veröffentlicht sie.

7. Der Europäische Datenschutzausschuss kann mit einfacher Mehrheit entscheiden, ob er eine Stellungnahme zu einer gemäß Absatze 3 und 4 vorgelegten Angelegenheit abgibt, wobei zu berücksichtigen ist,

 

a) ob die Angelegenheit neue Elemente umfasst, wobei rechtliche oder sachliche Entwicklungen berücksichtigt werden, insbesondere in der Informationstechnologie und in Anbetracht des Fortschritts in der Informationsgesellschaft; und

 

b) ob der Europäische Datenschutzausschuss bereits eine Stellungnahme zu der gleichen Angelegenheit abgegeben hat.

8. Die in Absatz 1 genannte Aufsichtsbehörde und die gemäß Artikel 51 zuständige Aufsichtsbehörde tragen der Stellungnahme des Europäischen Datenschutzausschusses Rechnung und teilen dessen Vorsitz und der Kommission binnen zwei Wochen nach ihrer Unterrichtung über die Stellungnahme elektronisch unter Verwendung eines standardisierten Formats mit, ob sie die geplante Maßnahme beibehält oder ändert; gegebenenfalls übermittelt sie die geänderte geplante Maßnahme.

8. Der Europäische Datenschutzausschuss nimmt Stellungnahmen gemäß Artikel 6a und 7 mit der einfachen Mehrheit seiner Mitglieder an. Diese Stellungnahmen werden veröffentlicht.

Änderungsantrag  167

Vorschlag für eine Verordnung

Artikel 58 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 58a

 

Kohärenz in Einzelfällen

 

1. Vor dem Ergreifen von Maßnahmen, die im Sinne von Artikel 54a Rechtswirkung entfalten sollen, teilt die federführende Behörde alle zweckdienlichen Informationen und legt den Entwurf der Maßnahme allen anderen zuständigen Behörden vor. Die federführende Behörde darf keine Maßnahme ergreifen, wenn eine zuständige Behörde innerhalb von drei Wochen ernsthafte Einwände gegen die Maßnahme anzeigt.

 

2. Hat eine zuständige Behörde ernsthafte Einwände gegen den Entwurf einer Maßnahme der federführenden Behörde angezeigt oder hat die federführende Behörde keinen Entwurf einer Maßnahme gemäß Absatz 1 vorlegt oder kommt sie den Verpflichtungen zur Amtshilfe gemäß Artikel 55 oder zu gemeinsamen Maßnahmen gemäß Artikel 56 nicht nach, wird die Angelegenheit vom Europäischen Datenschutzausschuss geprüft.

 

3. Die federführende Behörde und/oder andere beteiligte zuständige Behörden und die Kommission übermitteln dem Europäischen Datenschutzausschuss unverzüglich auf elektronischem Wege unter Verwendung eines standardisierten Formats zweckdienliche Informationen, darunter je nach Fall eine kurze Darstellung des Sachverhalts, die geplante Maßnahme, die Gründe, warum eine solche Maßnahme ergriffen werden muss, die Einwände gegen sie und die Auffassung anderer betroffener Aufsichtsbehörden.

 

4. Der Europäische Datenschutzausschuss prüft die Angelegenheit, wobei die Auswirkungen der geplanten Maßnahme auf die Grundrechte und Freiheiten der betroffenen Personen berücksichtigt werden, und entscheidet mit der einfachen Mehrheit seiner Mitglieder, ob eine Stellungnahme zu der Angelegenheit innerhalb von zwei Wochen nach Eingang der zweckdienlichen Informationen nach Absatz 3 abgegeben wird.

 

5. Entscheidet der Europäische Datenschutzausschuss, eine Stellungnahme abzugeben, wird diese innerhalb von sechs Wochen abgegeben und veröffentlicht.

 

6. Die federführende Behörde trägt der Stellungnahme des Europäischen Datenschutzausschusses größtmögliche Rechnung und teilt dessen Vorsitz und der Kommission binnen zwei Wochen nach ihrer Unterrichtung über die Stellungnahme durch den Vorsitz des Europäischen Datenschutzausschusses elektronisch mit, ob sie die geplante Maßnahme beibehält oder ändert; gegebenenfalls übermittelt unter Verwendung eines standardisierten Formats die geänderte geplante Maßnahme. Wenn die federführende Behörde beabsichtigt, der Stellungnahme des Europäischen Datenschutzausschusses nicht Folge zu leisten, begründet sie dies.

 

7. In Fällen, in denen der Europäische Datenschutzausschuss nach wie vor Einwände gegen die Maßnahme der Aufsichtsbehörde gemäß Absatz 5 erhebt, kann er innerhalb eines Monats mit Zweidrittelmehrheit eine Maßnahme beschließen, die für die Aufsichtsbehörde bindend ist.

Änderungsantrag  168

Vorschlag für eine Verordnung

Artikel 59

Vorschlag der Kommission

Geänderter Text

Artikel 59

entfällt

Stellungnahme der Kommission

 

1. Binnen zehn Wochen, nachdem eine Angelegenheit nach Artikel 58 vorgebracht wurde, oder spätestens binnen sechs Wochen im Fall des Artikels 61, kann die Kommission hierzu eine Stellungnahme abgeben, um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung sicherzustellen.

 

2. Hat die Kommission eine Stellungnahme gemäß Absatz 1 angenommen, so trägt die betroffene Aufsichtsbehörde dieser so weit wie möglich Rechnung und teilt der Kommission und dem Europäischen Datenschutzausschuss mit, ob sie ihre geplante Maßnahme beizubehalten oder abzuändern beabsichtigt.

 

3. Während des in Absatz 1 genannten Zeitraums erlässt die Aufsichtsbehörde nicht die geplante Maßnahme.

 

4. Beabsichtigt die Aufsichtsbehörde, der Stellungnahme der Kommission nicht zu folgen, teilt sie dies der Kommission und dem Europäischen Datenschutzausschuss innerhalb des in Absatz 1 genannten Zeitraums mit und begründet dies. In diesem Fall darf die geplante Maßnahme während eines weiteren Monats nicht angenommen werden.

 

Änderungsantrag  169

Vorschlag für eine Verordnung

Artikel 60

Vorschlag der Kommission

Geänderter Text

Artikel 60

entfällt

Aussetzung einer geplanten Maßnahme

 

1. Binnen einem Monat nach der Mitteilung nach Artikel 59 Absatz 4 kann die Kommission, wenn sie ernsthaft bezweifelt, dass die geplante Maßnahme die ordnungsgemäße Anwendung dieser Verordnung sicherstellt, oder befürchtet, dass sie zu einer uneinheitlichen Anwendung der Verordnung führt, unter Berücksichtigung der Stellungnahme des Europäischen Datenschutzausschusses gemäß Artikel 58 Absatz 7 oder Artikel 61 Absatz 2 einen begründeten Beschluss erlassen, mit dem die Aufsichtsbehörde aufgefordert wird, die Annahme der geplanten Maßnahme auszusetzen, sofern dies erforderlich ist, um

 

a) voneinander abweichende Meinungen der Aufsichtsbehörde und des Europäischen Datenschutzausschusses miteinander in Einklang zu bringen, falls dies möglich erscheint oder

 

b) eine Maßnahme gemäß Artikel 62 Absatz 1 Buchstabe zu erlassen.

 

2. Die Kommission legt fest, wie lange die Maßnahme ausgesetzt wird, wobei die Aussetzung 12 Wochen nicht überschreiten darf.

 

3. Während des in Absatz 2 genannten Zeitraums darf die Aufsichtsbehörde die geplante Maßnahme nicht annehmen.

 

Änderungsantrag  170

Vorschlag für eine Verordnung

Artikel 60 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 60a

 

Unterrichtung des Europäischen Parlaments und des Rats

 

Die Kommission unterrichtet das Europäische Parlament und den Rat regelmäßig, mindestens halbjährlich auf Grundlage eines Berichts des Vorsitzes des Europäischen Datenschutzausschusses über die im Rahmen des Kohärenzmechanismus behandelten Angelegenheiten und zeigt dabei die von Kommission und Europäischen Datenschutzausschuss gezogenen Schlussfolgerungen zur Gewährleistung der einheitlichen Durchführung und Anwendung dieser Verordnung auf.

Änderungsantrag  171

Vorschlag für eine Verordnung

Artikel 61 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Unter außergewöhnlichen Umständen kann eine Aufsichtsbehörde abweichend vom Verfahren nach Artikel 58 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer treffen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um die Interessen von betroffenen Personen, vor allem, wenn die Durchsetzung ihrer Rechte durch eine Veränderung der bestehenden Lage erheblich behindert zu werden droht, zu schützen, um größere Nachteile abzuwenden oder aus anderen Gründen. Die Aufsichtsbehörde setzt den Europäischen Datenschutzausschuss und die Kommission unverzüglich unter Angabe aller Gründe von diesen Maßnahmen in Kenntnis.

1. Unter außergewöhnlichen Umständen kann eine Aufsichtsbehörde abweichend vom Verfahren nach Artikel 58a sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer treffen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um die Interessen von betroffenen Personen, vor allem, wenn die Durchsetzung ihrer Rechte durch eine Veränderung der bestehenden Lage erheblich behindert zu werden droht, zu schützen, um größere Nachteile abzuwenden oder aus anderen Gründen. Die Aufsichtsbehörde setzt den Europäischen Datenschutzausschuss und die Kommission unverzüglich unter Angabe aller Gründe von diesen Maßnahmen in Kenntnis.

Änderungsantrag  172

Vorschlag für eine Verordnung

Artikel 61 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4. Abweichend von Artikel 58 Absatz 7 wird die Stellungnahme im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen durch einfache Mehrheit der Mitglieder des Europäischen Datenschutzausschusses angenommen.

4. Die Stellungnahme im Dringlichkeitsverfahren nach den Absätzen 2 und 3 wird binnen zwei Wochen durch einfache Mehrheit der Mitglieder des Europäischen Datenschutzausschusses angenommen.

Änderungsantrag  173

Vorschlag für eine Verordnung

Artikel 62

Vorschlag der Kommission

Geänderter Text

Durchführungsrechtsakte

Durchführungsrechtsakte

1. Die Kommission kann zu folgenden Zwecken Durchführungsrechtsakte erlassen:

1. Die Kommission kann, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, zu folgenden Zwecken Durchführungsrechtsakte mit allgemeiner Geltung erlassen:

a) Beschluss über die ordnungsgemäße Anwendung dieser Verordnung gemäß ihren Zielen und Anforderungen im Hinblick auf Angelegenheiten, die ihr gemäß Artikel 58 oder Artikel 61 von einer Aufsichtsbehörde übermittelt wurden, zu denen gemäß Artikel 60 Absatz 1 ein begründeter Beschluss erlassen wurde oder zu denen eine Aufsichtsbehörde keine geplante Maßnahme übermittelt und mitgeteilt hat, dass sie der Stellungnahme der Kommission gemäß Artikel 59 nicht zu folgen beabsichtigt,

 

b) Beschluss innerhalb des in Artikel 59 Absatz 1 genannten Zeitraums darüber, ob Standard-Datenschutzklauseln nach Artikel 58 Absatz 2 Buchstabe d allgemeine Gültigkeit zuerkannt wird,

b) Beschluss darüber, ob Standard-Datenschutzklauseln nach Artikel 42 Absatz 2 Buchstabe d allgemeine Gültigkeit zuerkannt wird,

c) Festlegung der Form und der Verfahren für die Anwendung des in diesem Abschnitt beschriebenen Kohärenzverfahrens,

 

d) Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Europäischen Datenschutzausschuss, insbesondere des standardisierten Formats nach Artikel 58 Absätze 5, 6 und 8.

d) Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Europäischen Datenschutzausschuss, insbesondere des standardisierten Formats nach Artikel 58 Absätze 5, 6 und 8.

Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

 

2. In hinreichend begründeten Fällen äußerster Dringlichkeit im Zusammenhang mit den Interessen betroffener Personen gemäß Absatz 1 Buchstabe a erlässt die Kommission gemäß dem Verfahren von Artikel 87 Absatz 3 sofort geltende Durchführungsrechtsakte. Diese gelten für einen Zeitraum von höchstens 12 Monaten.

 

3. Unabhängig davon, ob die Kommission eine Maßnahme nach Maßgabe dieses Abschnitts erlassen hat, kann sie auf der Grundlage der Verträge andere Maßnahmen erlassen.

3. Unabhängig davon, ob die Kommission eine Maßnahme nach Maßgabe dieses Abschnitts erlassen hat, kann sie auf der Grundlage der Verträge andere Maßnahmen erlassen.

Änderungsantrag  174

Vorschlag für eine Verordnung

Artikel 63 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Nimmt eine Aufsichtsbehörde für eine geplante Maßnahme entgegen Artikel 58 Absätze 1 bis 5 nicht das Kohärenzverfahren in Anspruch, so ist die Maßnahme der Aufsichtsbehörde nicht rechtsgültig und durchsetzbar.

2. Nimmt eine Aufsichtsbehörde für eine geplante Maßnahme entgegen Artikel 58 Absätze 1 und 2 nicht das Kohärenzverfahren in Anspruch oder nimmt sie eine Maßnahme trotz der Anzeige von ernsthafte n Einwänden gemäß Artikel 58a Absatz 1 an, so ist die Maßnahme der Aufsichtsbehörde nicht rechtsgültig und durchsetzbar.

Änderungsantrag  175

Vorschlag für eine Verordnung

Artikel 66

Vorschlag der Kommission

Geänderter Text

Aufgaben des Europäischen Datenschutzausschusses

Aufgaben des Europäischen Datenschutzausschusses

1. Der Europäische Datenschutzausschuss stellt sicher, dass diese Verordnung einheitlich angewandt wird. Zu diesem Zweck geht der Europäische Datenschutzausschuss von sich aus oder auf Ersuchen der Kommission insbesondere folgenden Tätigkeiten nach:

1. Der Europäische Datenschutzausschuss stellt sicher, dass diese Verordnung einheitlich angewandt wird. Zu diesem Zweck geht der Europäische Datenschutzausschuss von sich aus oder auf Ersuchen des Europäischen Parlaments, des Rates oder der Kommission insbesondere folgenden Tätigkeiten nach:

a) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch etwaige Vorschläge zur Änderung dieser Verordnung;

a) Beratung der europäischen Organe in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch etwaige Vorschläge zur Änderung dieser Verordnung;

b) von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission vorgenommene Prüfung von die Anwendung dieser Verordnung betreffenden Fragen und Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;

b) von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen des Europäischen Parlaments, des Rates oder der Kommission vorgenommene Prüfung von die Anwendung dieser Verordnung betreffenden Fragen und Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung, einschließlich der Ausübung von Durchsetzungsbefugnissen;

c) Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

c) Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

d) Abgabe von Stellungnahmen zu Beschlussentwürfen von Aufsichtsbehörden gemäß dem in Artikel 57 genannten Kohärenzverfahren;

d) Abgabe von Stellungnahmen zu Beschlussentwürfen von Aufsichtsbehörden gemäß dem in Artikel 57 genannten Kohärenzverfahren;

 

da) Abgabe eine Stellungnahme darüber, welche Behörde die federführende Behörde gemäß Artikel 54a Absatz 3 sein sollte;

e) Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austausches von Informationen und Praktiken zwischen den Aufsichtsbehörden;

e) Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austausches von Informationen und Praktiken zwischen den Aufsichtsbehörden, einschließlich der Koordinierung gemeinsamer Operationen und anderer gemeinsamer Aktivitäten, wenn der Ausschuss auf Ersuchen einer oder mehrerer Aufsichtsbehörden eine entsprechende Entscheidung trifft;

f) Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit Aufsichtsstellen internationaler Organisationen;

f) Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit Aufsichtsstellen internationaler Organisationen;

g) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praktiken mit Datenschutzaufsichtsbehörden in aller Welt.

g) Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praktiken mit Datenschutzaufsichtsbehörden in aller Welt.

 

ga) Abgabe seiner Stellungnahme für die Kommission bei der Vorbereitung von delegierten Rechtsakten und Durchführungsrechtsakten auf der Grundlage dieser Verordnung;

 

gb) Abgabe seiner Stellungnahme zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 38 Absatz 4;

 

gc) Abgabe seiner Stellungnahme zu den Kriterien und Anforderungen für das datenschutzspezifische Zertifizierungsverfahren gemäß Artikel 39 Absatz 3.

 

gd) Pflege eines öffentlichen elektronischen Registers über gültige und ungültige Zertifikate gemäß Artikel 39 Absatz 1h.

 

ge) nachentsprechendem Antrag Unterstützung der einzelstaatlichen Aufsichtsbehörden;

 

gf) Erstellen und Veröffentlichung einer Liste der Verarbeitungsvorgänge, die Gegenstand der vorherigen Konsultation nach Artikel 34 sind;

 

gg) Pflege eines Registers über Sanktionen, die von den zuständigen Aufsichtsbehörden gegen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verhängt wurden.

2. Die Kommission kann, wenn sie den Europäischen Datenschutzausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen.

2. Das Europäische Parlament, der Rat oder die Kommission können, wenn sie den Europäischen Datenschutzausschuss um Rat ersuchen, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen.

3. Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an die Kommission und an den in Artikel 87 genannten Ausschuss weiter und veröffentlicht sie.

3. Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an das Europäische Parlament, den Rat und die Kommission sowie an den in Artikel 87 genannten Ausschuss weiter und veröffentlicht sie.

4. Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die vom Europäischen Datenschutzausschuss herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

4. Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die vom Europäischen Datenschutzausschuss herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

 

4a. Der Europäische Datenschutzausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 72 macht der Datenschutzausschuss die Ergebnisse des Anhörungsverfahrens der Öffentlichkeit zugänglich.

 

4b. Der Europäische Datenschutzausschuss wird beauftragt, Leitlinien, Empfehlungen und bewährte Praktiken nach Maßgabe von Absatz 1 Buchstabe b in Bezug auf die Festlegung gemeinsamer Verfahren zu veröffentlichen, um gemeinsame Verfahren für den Erhalt und die Untersuchung von Informationen über die mutmaßliche rechtswidrige Verarbeitung sowie die Sicherung der Vertraulichkeit von Informationen und den Schutz der Quellen von Informationen; festzulegen.

Änderungsantrag  176

Vorschlag für eine Verordnung

Artikel 67 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Der Europäische Datenschutzausschuss informiert die Kommission regelmäßig und zeitnah über die Ergebnisse seiner Tätigkeiten. Er erstellt einen jährlichen Bericht über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Union und in Drittländern.

1. Der Europäische Datenschutzausschuss informiert das Europäische Parlament, den Rat und die Kommission regelmäßig und zeitnah über die Ergebnisse seiner Tätigkeiten. Er erstellt mindestens alle zwei Jahre einen Bericht über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Union und in Drittländern.

Der Bericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 66 Absatz 1 Buchstabe c genannten Leitlinien, Empfehlungen und bewährten Praktiken.

Der Bericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 66 Absatz 1 Buchstabe c genannten Leitlinien, Empfehlungen und bewährten Praktiken.

Änderungsantrag  177

Vorschlag für eine Verordnung

Artikel 68 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Der Europäische Datenschutzausschuss trifft seine Beschlüsse mit der einfachen Mehrheit seiner Mitglieder.

1. Der Europäische Datenschutzausschuss trifft seine Beschlüsse mit der einfachen Mehrheit seiner Mitglieder, sofern in seiner Geschäftsordnung nichts anderes vorgesehen ist.

Änderungsantrag  178

Vorschlag für eine Verordnung

Artikel 69 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Der Europäische Datenschutzausschuss wählt aus dem Kreis seiner Mitglieder einen Vorsitzenden und zwei stellvertretende Vorsitzende. Der Europäische Datenschutzbeauftragte, bekleidet, sofern er nicht zum Vorsitzenden gewählt wurde, einen der beiden Stellvertreterposten.

1. Der Europäische Datenschutzausschuss wählt aus dem Kreis seiner Mitglieder einen Vorsitzenden und mindestens zwei stellvertretende Vorsitzende.

Änderungsantrag  179

Vorschlag für eine Verordnung

Artikel 69 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a. Die Stelle des Vorsitzes ist eine Vollzeitstelle.

Änderungsantrag  180

Vorschlag für eine Verordnung

Artikel 71 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Das Sekretariat leistet dem Europäischen Datenschutzausschuss unter Leitung von dessen Vorsitzendem analytische, administrative und logistische Unterstützung.

2. Das Sekretariat leistet dem Europäischen Datenschutzausschuss unter Leitung von dessen Vorsitzendem rechtliche, analytische, administrative und logistische Unterstützung.

Änderungsantrag  181

Vorschlag für eine Verordnung

Artikel 72 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Beratungen des Europäischen Datenschutzausschusses sind vertraulich.

1. Die Beratungen des Europäischen Datenschutzausschusses können, soweit notwendig, vertraulich sein, falls in der Geschäftsordnung nichts anderes vorgesehen ist. Die Tagesordnungen der Sitzungen des Europäischen Datenschutzausschusses werden öffentlich zugänglich gemacht.

Änderungsantrag  182

Vorschlag für eine Verordnung

Artikel 73

Vorschlag der Kommission

Geänderter Text

Recht auf Beschwerde bei einer Aufsichtsbehörde

Recht auf Beschwerde bei einer Aufsichtsbehörde

1. Jede betroffene Person hat unbeschadet eines anderweitigen administrativen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht mit dieser Verordnung vereinbar ist.

1. Jede betroffene Person hat unbeschadet eines anderweitigen administrativen oder gerichtlichen Rechtsbehelfs und des Kohärenzverfahrens das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht mit dieser Verordnung vereinbar ist.

2. Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, haben das Recht, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Verordnung zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden.

2. Einrichtungen, Organisationen oder Verbände, die im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, haben das Recht, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Verordnung zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden.

3. Unabhängig von der Beschwerde einer betroffenen Person haben Einrichtungen, Organisationen oder Verbände im Sinne des Absatzes 2 das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde, wenn sie der Ansicht sind, dass der Schutz personenbezogener Daten verletzt wurde.

3. Unabhängig von der Beschwerde einer betroffenen Person haben Einrichtungen, Organisationen oder Verbände im Sinne des Absatzes 2 das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde, wenn sie der Ansicht sind, dass diese Verordnung verletzt wurde.

Änderungsantrag  183

Vorschlag für eine Verordnung

Artikel 74

Vorschlag der Kommission

Geänderter Text

Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

1. Jede natürliche oder juristische Person hat das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde.

1. Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen administrativen oder außergerichtlichen Rechtsbehelfs das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde.

2. Jede betroffene Person hat das Recht auf einen gerichtlichen Rechtsbehelf, um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 52 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

2. Jede betroffene Person hat unbeschadet eines anderweitigen administrativen oder außergerichtlichen Rechtsbehelfs das Recht auf einen gerichtlichen Rechtsbehelf, um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 52 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

3. Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

3. Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

4. Eine betroffene Person, die von einer Entscheidung einer Aufsichtsbehörde betroffen ist, die ihren Sitz in einem anderen Mitgliedstaat hat als dem, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, kann die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen, in ihrem Namen gegen die zuständige Aufsichtsbehörde in dem anderen Mitgliedstaat Klage zu erheben.

4. Eine betroffene Person, die von einer Entscheidung einer Aufsichtsbehörde betroffen ist, die ihren Sitz in einem anderen Mitgliedstaat hat als dem, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, kann unbeschadet des Kohärenzverfahrens die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen, in ihrem Namen gegen die zuständige Aufsichtsbehörde in dem anderen Mitgliedstaat Klage zu erheben.

5. Die endgültigen Entscheidungen der Gerichte im Sinne dieses Artikels werden von den Mitgliedstaaten vollstreckt.

5. Die endgültigen Entscheidungen der Gerichte im Sinne dieses Artikels werden von den Mitgliedstaaten vollstreckt.

Änderungsantrag  184

Vorschlag für eine Verordnung

Artikel 75 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Für Klagen gegen einen für die Verarbeitung Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, es sei denn, es handelt sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

2. Für Klagen gegen einen für die Verarbeitung Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, es sei denn, es handelt sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde der Union oder eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Änderungsantrag  185

Vorschlag für eine Verordnung

Artikel 76 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 73 Absatz 2 haben das Recht, die in Artikel 74 und 75 genannten Rechte im Namen einer oder mehrerer betroffenen Personen wahrzunehmen.

1. Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 73 Absatz 2 haben das Recht, die in Artikel 74, 75 und 77 genannten Rechte wahrzunehmen, wenn sie von einer oder mehreren betroffenen Personen beauftragt werden.

Änderungsantrag  186

Vorschlag für eine Verordnung

Artikel 77 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.

1. Jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen mit dieser Verordnung nicht zu vereinbarenden Handlung ein Schaden, auch immaterieller Schaden, entstanden ist, hat das Recht, von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter Schadensersatz zu verlangen.

Änderungsantrag  187

Vorschlag für eine Verordnung

Artikel 77 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Ist mehr als ein für die Verarbeitung Verantwortlicher oder mehr als ein Auftragsverarbeiter an der Verarbeitung beteiligt, haftet jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter gesamtschuldnerisch für den gesamten Schaden.

2. Ist mehr als ein für die Verarbeitung Verantwortlicher oder mehr als ein Auftragsverarbeiter an der Verarbeitung beteiligt, haftet jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter gesamtschuldnerisch für den gesamten Schaden, sofern nicht eine geeignete schriftliche Vereinbarung gemäß Artikel 24 zwischen ihnen existiert, die die Verantwortlichkeiten festlegt.

Änderungsantrag  188

Vorschlag für eine Verordnung

Artikel 79

Vorschlag der Kommission

Geänderter Text

Verwaltungsrechtliche Sanktionen

Verwaltungsrechtliche Sanktionen

1. Jede Aufsichtsbehörde ist befugt, nach Maßgabe dieses Artikels verwaltungsrechtliche Sanktionen zu verhängen.

1. Jede Aufsichtsbehörde ist befugt, nach Maßgabe dieses Artikels verwaltungsrechtliche Sanktionen zu verhängen. Die Aufsichtsbehörden arbeiten gemäß Artikel 46 und 57 zusammen, um ein harmonisiertes Niveau der Sanktionen innerhalb der Union zu gewährleisten.

2. Die verwaltungsrechtlichen Sanktionen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Höhe der Geldbuße bemisst sich nach der Art, Schwere und Dauer des Verstoßes, seinem vorsätzlichen oder fahrlässigen Charakter, dem Grad der Verantwortung der natürlichen oder juristischen Person und früheren Verstößen dieser Person, den nach Artikel 23 eingeführten technischen und organisatorischen Maßnahmen und Verfahren und dem Grad der Zusammenarbeit mit der Aufsichtsbehörde zur Abstellung des Verstoßes.

2. Die verwaltungsrechtlichen Sanktionen müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

 

2a. Die Aufsichtsbehörde verhängt gegen jeden, der seinen in dieser Verordnung festgelegten Pflichten nicht nachkommt, mindestens eine der folgenden Sanktionen:

 

a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes;

 

b) regelmäßige Überprüfungen betreffend den Datenschutz;

 

c) eine Geldbuße, bis zu 100 000 000 EUR oder im Fall eines Unternehmens bis zu 5 % seines weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

 

2b. Ist der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter im Besitz eines europäischen Datenschutzsiegels gemäß Artikel 39, so wird nur bei Vorsatz oder Fahrlässigkeit eine Geldbuße nach Absatz 2a Buchstabe c verhängt.

 

2c. Bei Verhängung einer Ordnungsstrafe werden folgende Faktoren berücksichtigt:

 

a) die Art, Schwere und Dauer des Verstoßes;

 

b) der vorsätzliche oder fahrlässige Charakter des Verstoßes,

 

c) der Grad der Verantwortung der natürlichen oder juristischen Person und frühere Verstöße dieser Person,

 

d) der Wiederholungscharakter des Verstoßes,

 

e) der Umfang der Zusammenarbeit mit der Aufsichtsbehörde zur Wiedergutmachung des Verstoßes und zur Minderung seiner möglichen negativen Auswirkungen,

 

f) die spezifischen Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,

 

g) der Umfang des Schadens, auch des immateriellen Schadens, für die betroffenen Personen,

 

h) die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

 

i) direkt oder indirekt aus dem Verstoß entstandene beabsichtigte oder erlangte finanzielle Vorteile oder vermiedene Verluste,

 

j) die technischen und organisatorischen Maßnahmen und Verfahren gemäß

 

i) Artikel 23 (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen);

 

ii) Artikel 30 (Sicherheit der Verarbeitung);

 

iii) Artikel 33 (Datenschutz-Folgenabschätzung);

 

iv) Artikel 33a (Überprüfung der Einhaltung der Datenschutzbestimmungen);

 

v) Artikel 35 (Benennung eines Datenschutzbeauftragten);

 

k) die Weigerung, mit der Aufsichtsbehörde zusammen zu arbeiten oder die Behinderung von ihr gemäß Artikel 53 durchgeführter Nachprüfungen, Überprüfungen und Kontrollen,

 

l) jegliche anderen erschwerenden oder mildernden Umstände im Einzelfall.

3. Handelt es sich um einen ersten, unabsichtlichen Verstoß gegen diese Verordnung, kann anstatt einer Sanktion eine schriftliche Verwarnung erfolgen in Fällen, in denen

 

a) eine natürliche Person personenbezogene Daten ohne eigenwirtschaftliches Interesse verarbeitet oder

 

b) ein Unternehmen oder eine Organisation mit weniger als 250 Beschäftigten personenbezogene Daten nur als Nebentätigkeit zusätzlich zu den Haupttätigkeiten verarbeitet.

 

4. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 250.000 EUR oder im Fall eines Unternehmens bis in Höhe von 0,5 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

 

a) keine Vorkehrungen für Anträge betroffener Personen gemäß Artikel 12 Absätze 1 und 2 trifft oder den Betroffenen nicht unverzüglich oder nicht dem verlangten Format entsprechend antwortet;

 

b) unter Verstoß gegen Artikel 12 Absatz 4 eine Gebühr für die Auskunft oder die Beantwortung von Anträgen betroffener Personen verlangt.

 

5. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 500 000 EUR oder im Fall eines Unternehmens bis in Höhe von 1 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

 

a) der betroffenen Person die Auskünfte gemäß Artikel 11, Artikel 12 Absatz 3 und Artikel 14 nicht oder nicht vollständig oder in nicht hinreichend transparenter Weise erteilt;

 

b) der betroffenen Person keine Auskunft gemäß Artikel 15 erteilt, personenbezogene Daten nicht gemäß Artikel 16 berichtigt oder einen Empfänger nicht gemäß Artikel 13 benachrichtigt;

 

c) das Recht auf Vergessenwerden oder auf Löschung nicht beachtet, keine Vorkehrungen trifft, um die Einhaltung der Fristen zu gewährleisten, oder nicht alle erforderlichen Schritte unternimmt, um Dritte von einem Antrag der betroffenen Person auf Löschung von Links zu personenbezogenen Daten sowie Kopien oder Replikationen dieser Daten gemäß Artikel 17 zu benachrichtigen;

 

d) keine Kopie der personenbezogenen Daten in elektronischem Format bereitstellt oder die betroffene Person unter Verstoß gegen Artikel 18 daran hindert, personenbezogene Daten auf eine andere Anwendung zu übertragen;

 

e) die jeweilige Verantwortung der für die Verarbeitung Mitverantwortlichen nicht oder nicht hinreichend gemäß Artikel 24 bestimmt hat;

 

f) die Dokumentation gemäß Artikel 28, Artikel 31 Absatz 4 und Artikel 44 Absatz 3 nicht oder nicht hinreichend gewährleistet;

 

g) in Fällen, in denen keine besonderen Kategorien von Daten verarbeitet werden, die Vorschriften im Hinblick auf die freie Meinungsäußerung gemäß Artikel 80, die Datenverarbeitung im Beschäftigungskontext gemäß Artikel 82 oder die Bedingungen für die Verarbeitung zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83 nicht beachtet.

 

6. Die Aufsichtsbehörde verhängt eine Geldbuße bis zu 1 000 000 EUR oder im Fall eines Unternehmens bis in Höhe von 2 % seines weltweiten Jahresumsatzes gegen jeden, der vorsätzlich oder fahrlässig

 

a) personenbezogene Daten ohne oder ohne ausreichende Rechtsgrundlage verarbeitet oder die Bedingungen für die Einwilligung gemäß den Artikeln 6, 7 und 8 nicht beachtet;

 

b) unter Verstoß gegen die Artikel 9 und 81 besondere Kategorien von Daten verarbeitet;

 

c) das Recht auf Widerspruch gemäß Artikel 19 oder eine damit verbundene Bedingung nicht beachtet;

 

d) die Bedingungen gemäß Artikel 20 in Bezug auf Maßnahmen, die auf Profiling basieren, nicht beachtet;

 

e) keine internen Datenschutzstrategien festlegt oder keine geeigneten Maßnahmen gemäß den Artikeln 22, 23 und 30 anwendet, um die Beachtung der Datenschutzvorschriften sicherzustellen und nachzuweisen;

 

f) keinen Vertreter gemäß Artikel 25 benennt;

 

g) unter Verstoß gegen die mit der Datenverarbeitung im Namen eines für die Verarbeitung Verantwortlichen verbundenen Pflichten gemäß den Artikeln 26 und 27 personenbezogene Daten verarbeitet oder deren Verarbeitung anordnet;

 

h) die Aufsichtsbehörde bei einer Verletzung des Schutzes personenbezogener Daten nicht alarmiert oder sie oder die betroffene Person gemäß den Artikeln 31 und 32 nicht oder nicht rechtzeitig oder nicht vollständig von einer solchen Verletzung benachrichtigt;

 

i) keine Datenschutz-Folgenabschätzung nach Artikel 33 vornimmt oder personenbezogene Daten entgegen Artikel 34 ohne vorherige Genehmigung oder ohne Zurateziehung der Aufsichtsbehörde verarbeitet;

 

j) keinen Datenschutzbeauftragten nach Artikel 35 benennt oder nicht die Voraussetzungen für die Erfüllung seiner Aufgaben gemäß Artikel 35, 36 und 37 schafft;

 

k) ein Datenschutzsiegel oder -zeichen im Sinne des Artikels 39 missbraucht;

 

l) eine mangels eines Angemessenheitsbeschlusses oder mangels geeigneter Garantien oder einer Ausnahme gemäß den Artikeln 40 bis 44 unzulässige Datenübermittlung in ein Drittland oder an eine internationale Organisation vornimmt oder anordnet;

 

m) einer Anweisung oder einem vorübergehenden oder endgültigen Verarbeitungsverbot oder einer Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 53 Absatz 1 nicht Folge leistet;

 

n) entgegen den Pflichten gemäß Artikel 28 Absatz 3, Artikel 29, Artikel 34 Absatz 6 und Artikel 53 Absatz 2 die Aufsichtsbehörde nicht unterstützt, nicht mit ihr zusammenarbeitet, ihre keine einschlägigen Auskünfte erteilt oder keinen Zugang zu seinen Räumlichkeiten gewährt;

 

o) die Vorschriften über die Wahrung des Berufsgeheimnisses gemäß Artikel 84 nicht einhält.

 

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Beträge der in den Absätzen 4, 5 und 6 genannten Geldbußen unter Berücksichtigung der in Absatz 2 aufgeführten Kriterien zu aktualisieren.

7. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die absoluten Beträge der in Absatz 2a genannten Geldbußen unter Berücksichtigung der in den Absätzen 2 und 2c aufgeführten Kriterien und Umstände zu aktualisieren.

Änderungsantrag  189

Vorschlag für eine Verordnung

Artikel 80 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen von den allgemeinen Grundsätzen des Kapitels II, von den Rechten der betroffenen Person in Kapitel III, von den Bestimmungen über den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter in Kapitel IV, von der Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen in Kapitel V, von den Vorschriften über die Aufsichtsbehörden in Kapitel VI sowie von den Vorschriften über Zusammenarbeit und Kohärenz in Kapitel VII vor, um das Recht auf Schutz der Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen.

1. Die Mitgliedstaaten sehen, wann immer dies notwendig ist, Abweichungen oder Ausnahmen von den allgemeinen Grundsätzen des Kapitels II, von den Rechten der betroffenen Person in Kapitel III, von den Bestimmungen über den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter in Kapitel IV, von der Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen in Kapitel V, von den Vorschriften über die Aufsichtsbehörden in Kapitel VI, von den Vorschriften über Zusammenarbeit und Kohärenz in Kapitel VII sowie von den Vorschriften über besondere Datenverarbeitungssituationen in Kapitel IX vor, um das Recht auf Schutz der Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften nach Maßgabe der Charta der Grundrechte der Europäischen Union in Einklang zu bringen.

Änderungsantrag  190

Vorschlag für eine Verordnung

Artikel 80 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 80a

 

Zugang zu Dokumenten

 

1. Personenbezogene Daten in Dokumenten einer Behörde oder einer öffentlichen Einrichtung können von dieser Behörde oder Einrichtung gemäß unionsrechtlichen oder mitgliedstaatlichen Vorschriften über den Zugang der Öffentlichkeit zu amtlichen Dokumenten offen gelegt werden, die das Recht auf den Schutz personenbezogener Daten mit dem Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten in Einklang bringen.

 

2. Jeder Mitgliedstaat teilt der Kommission bis spätestens zu dem in Artikel 91 Absatz 2 genannten Zeitpunkt die Rechtsvorschriften mit, die er nach Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis.

Änderungsantrag  191

Vorschlag für eine Verordnung

Artikel 81

Vorschlag der Kommission

Geänderter Text

Verarbeitung personenbezogener Gesundheitsdaten

Verarbeitung personenbezogener Gesundheitsdaten

1. Die Verarbeitung personenbezogener Gesundheitsdaten erfolgt in den Grenzen dieser Verordnung nach Maßgabe von Artikel 9 Absatz 2 Buchstabe h auf der Grundlage des Unionsrechts oder des mitgliedstaatlichen Rechts, das geeignete, besondere Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht; sie muss notwendig sein

1. Die Verarbeitung personenbezogener Gesundheitsdaten erfolgt in Übereinstimmung mit den Bestimmungen dieser Verordnung und insbesondere mit Artikel 9 Absatz 2 Buchstabe h auf der Grundlage des Unionsrechts oder des mitgliedstaatlichen Rechts, das geeignete, einheitliche und besondere Maßnahmen zum Schutz der Interessen und der Grundrechte der betroffenen Person vorsieht; sofern diese notwendig und verhältnismäßig sind und dessen Auswirkungen für die betroffene Person vorhersehbar sein müssen:

a) für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten, sofern die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal erfolgt oder durch sonstige Personen, die nach mitgliedstaatlichem Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, einer entsprechenden Geheimhaltungspflicht unterliegen;

a) für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten, sofern die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal erfolgt oder durch sonstige Personen, die nach mitgliedstaatlichem Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, einer entsprechenden Geheimhaltungspflicht unterliegen;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit unter anderem zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards unter anderem für Arzneimittel oder Medizinprodukte oder

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit unter anderem zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards unter anderem für Arzneimittel oder Medizinprodukte und wenn die Verarbeitung dieser Daten durch eine Person erfolgt, die der Verschwiegenheitspflicht unterliegt; oder

c) aus anderen Gründen des öffentlichen Interesses in Bereichen wie der sozialen Sicherheit, insbesondere um die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sicherzustellen.

c) aus anderen Gründen des öffentlichen Interesses in Bereichen wie der sozialen Sicherheit, insbesondere um die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen und die Bereitstellung von Gesundheitsleistungen sicherzustellen. Diese Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass personenbezogene Daten zu anderen Zwecken verarbeitet werden, es sei denn, die betroffene Person stimmt ihr zu oder die Verarbeitung erfolgt auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats.

 

1a. Wenn die Zwecke gemäß Absatz 1 Buchstabe a bis c ohne die Verwendung personenbezogener Daten erreicht werden können, werden solche Daten für diese Zwecke nicht verarbeitet, es sei denn, die betroffene Person stimmt ihr zu oder die Verarbeitung erfolgt auf der Grundlage des Rechts eines Mitgliedstaats.

 

1b. In Fällen, in denen die Einwilligung der betroffenen Person zur Verarbeitung medizinischer Daten für den ausschließlichen Zwecke der Forschung zu Fragen der öffentlichen Gesundheit erforderlich ist, kann die Einwilligung für eine oder mehrere spezifische und ähnliche Forschungen gegeben werden. Die betroffene Person kann ihre Einwilligung jedoch jederzeit zu widerrufen.

 

1c. Für die Einwilligung in die Teilnahme an wissenschaftlicher Forschung im Zusammenhang mit klinischen Studien finden die einschlägigen Vorschriften der Richtlinie 2001/20/EG des Europäischen Parlaments und des Rates1 Anwendung.

2. Die Verarbeitung personenbezogener Gesundheitsdaten, die zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung unter anderem zur Erstellung von Patientenregistern zur Verbesserung der Diagnose sowie zur Unterscheidung zwischen ähnlichen Krankheitsarten und zur Vorbereitung von Studien zu Therapiezwecken erforderlich ist, unterliegt den Bedingungen und Garantien gemäß Artikel 83.

2. Die Verarbeitung personenbezogener Gesundheitsdaten, die zu historischen oder statistischen Zwecken oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist, ist nur mit Einwilligung der betroffenen Person erlaubt und unterliegt den Bedingungen und Garantien gemäß Artikel 83.

 

2a. Im Hinblick auf Forschung, die einem großen öffentlichen Interesse dient, können in den Rechtsvorschriften der Mitgliedstaaten Ausnahmen von dem Erfordernis der Einwilligung im Bereich der Forschung gemäß Absatz 2 vorgesehen werden, wenn es unmöglich ist, diese Forschung auf andere Weise durchzuführen. Die betreffenden Daten sind zu anonymisieren, oder, falls dies für die Zwecke der Forschung nicht möglich ist, gemäß den höchsten technischen Standards zu pseudonymisieren, und es sind sämtliche notwendigen Maßnahmen zu ergreifen, um unbefugte Rückschlüsse auf die Identität der betroffenen Personen zu verhindern. Die betroffene Person hat jedoch das Recht, ihre Einwilligung jederzeit gemäß Artikel 19 zu widerrufen.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit im Sinne des Absatzes 1 Buchstabe b näher auszuführen und um die Kriterien und Anforderungen in Bezug auf die Garantien für die Verarbeitung personenbezogener Daten für die in Absatz 1 genannten Zwecke festzulegen.

3. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, um die Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit im Sinne des Absatzes 1 Buchstabe b und des großen öffentlichen Interesse im Bereich der Forschung im Sinne des Absatzes 2a näher auszuführen.

 

3a. Jeder Mitgliedstaat teilt der Kommission bis spätestens zu dem in Artikel 91 Absatz 2 genannten Zeitpunkt die Rechtsvorschriften mit, die er nach Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis.