Index 
 Zurück 
 Vor 
 Vollständiger Text 
Verfahren : 2012/0010(COD)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : A7-0403/2013

Eingereichte Texte :

A7-0403/2013

Aussprachen :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Abstimmungen :

PV 12/03/2014 - 8.12

Angenommene Texte :

P7_TA(2014)0219

Angenommene Texte
PDF 797kWORD 315k
Mittwoch, 12. März 2014 - Straßburg Endgültige Ausgabe
Verarbeitung personenbezogener Daten zum Zwecke der Verhütung von Straftaten ***I
P7_TA(2014)0219A7-0403/2013
Entschließung
 Konsolidierter Text

Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)) (Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

–  in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2012)0010),

–  gestützt auf Artikel 294 Absatz 2 und Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7‑0024/2012),

–  gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–  in Kenntnis der vom deutschen Bundesrat und vom schwedischen Reichstag im Rahmen des Protokolls Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit vorgelegten begründeten Stellungnahmen, in denen geltend gemacht wird, dass der Entwurf eines Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,

–  in Kenntnis der Stellungnahme des Europäischen Datenschutzbeauftragten vom 7. März 2012(1) ,

–  in Kenntnis der Stellungnahme der Agentur der Europäischen Union für Grundrechte vom 1. Oktober 2012,

–  gestützt auf Artikel 55 seiner Geschäftsordnung,

–  in Kenntnis des Berichts des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und der Stellungnahme des Rechtsausschusses (A7-0403/2013),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

(1) ABl. C 192 vom 30.6.2012, S. 7.


Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2014 im Hinblick auf den Erlass der Richtlinie 2014/.../EU des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr
P7_TC1-COD(2012)0010

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Datenschutzbeauftragten,(1)

gemäß dem ordentlichen Gesetzgebungsverfahren(2) ,

in Erwägung nachstehender Gründe:

(1)  Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union („Charta“) und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union besagen, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Artikel 8 Absatz 2 der Charta schreibt vor, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. [Abänd. 1]

(2)  Die Verarbeitung personenbezogener Daten steht im Dienste des Menschen; die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten daher gewährleisten, dass ungeachtet der Staatsangehörigkeit oder des Aufenthaltsorts der betreffenden Person deren Grundrechte und Grundfreiheiten und insbesondere deren Anspruch auf Schutz personenbezogener Daten gewahrt bleiben. Die Datenverarbeitung sollte zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts beitragen.

(3)  Der rasche technologische Fortschritt und die Globalisierung stellen den Datenschutz vor neue Herausforderungen. Datenerhebung und Datenaustausch haben massive Ausmaße angenommen. Die Technik macht es möglich, dass die zuständigen Behörden in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.

(4)  Dies setzt voraus, dass der Datenverkehr, soweit erforderlich und verhältnismäßig, zwischen den zuständigen Behörden innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen erleichtert werden und dabei gleichzeitig ein hohes Maß an Datenschutz gewährleistet wird. Hierzu bedarf es solider und stärker aufeinander abgestimmter Datenschutzbestimmungen in der Union, die konsequent durchgesetzt werden. [Abänd. 2]

(5)  Richtlinie 95/46/EG des Europäischen Parlaments und des Rates(3) gilt für jegliche Verarbeitung personenbezogener Daten in den Mitgliedstaaten sowohl im öffentlichen als auch im privaten Bereich. Ausgenommen ist jedoch die „Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen“, beispielsweise im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit.

(6)  Für den Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit gilt der Rahmenbeschluss 2008/977/JI des Rates (4) . Der Anwendungsbereich dieses Rahmenbeschlusses beschränkt sich auf die Verarbeitung personenbezogener Daten, die zwischen Mitgliedstaaten weitergegeben oder bereitgestellt werden.

(7)  Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf muss dafür gesorgt werden, dass die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung in allen Mitgliedstaaten gleichermaßen geschützt werden. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit kohärent und einheitlich angewandt werden. Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert nicht nur eine Stärkung der Rechte der betroffenen Personen und eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sondern auch gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten. [Abänd. 3]

(8)  Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sieht den Erlass von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher ihrer Daten durch das Europäische Parlament und den Rat vor. [Abänd. 4]

(9)  Auf dieser Grundlage sind in der Verordnung EU Nr. .../2014 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) allgemeine Bestimmungen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr personenbezogener Daten in der Union niedergelegt.

(10)  In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund des spezifischen Charakters dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Datenverkehr zu erlassen.

(11)  Daher sollte eine spezifische Richtlinie verabschiedet werden, die den Besonderheiten dieses Bereichs Rechnung trägt und Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung enthält. [Abänd. 5]

(12)  Um zu gewährleisten, dass jeder in der Union auf der Grundlage unionsweit durchsetzbarer Rechte das gleiche Maß an Schutz genießt und Unterschiede, die den Austausch personenbezogener Daten zwischen den zuständigen Behörden behindern könnten, beseitigt werden, sollte die Richtlinie harmonisierte Vorschriften für den Schutz personenbezogener Daten und den freien Datenverkehr im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit festlegen.

(13)  Diese Richtlinie erlaubt bei der Anwendung ihrer Bestimmungen die Berücksichtigung des Grundsatzes des Zugangs der Öffentlichkeit zu amtlichen Dokumenten.

(14)  Der durch diese Richtlinie gewährte Schutz sollte für die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten.

(15)  Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, insbesondere im Bereich der nationalen Sicherheit, oder für Daten gelten, die von den Organen, gelten. Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (5) und spezielle für die Agenturen, Einrichtungen, Ämtern und Agenturen oder Ämter der Europäischen Union verarbeitet geltende Rechtsinstrumente sollten mit dieser Verordnung in Einklang gebracht und im Einklang mit dieser Verordnung angewendet werden. [Abänd. 6]

(16)  Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen zur Identifizierung oder zum Herausgreifen der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann. Diese Richtlinie sollte keine Anwendung finden auf anonyme Daten, d. h. Daten, die unmittelbar oder mittelbar, allein oder in Kombination mit zugehörigen Daten keiner natürlichen Person zugeordnet werden können. In Anbetracht der Bedeutung der Entwicklungen, die im Rahmen der Informationsgesellschaft stattfinden, und in Anbetracht der zur Erfassung, Übertragung, Modifikation, Aufzeichnung, Speicherung oder Kommunikation von Standortdaten von natürlichen Personen verwendeten Methoden, die zu unterschiedlichen Zwecken, etwa zur Überwachung oder zur Erstellung von Profilen, eingesetzt werden können, sollte diese Richtlinie Verfahren zur Verarbeitung solcher personenbezogener Daten abdecken. [Abänd. 7]

(16a)  Jede Verarbeitung personenbezogener Daten muss nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter Form gegenüber den betroffenen Personen erfolgen. Insbesondere sollten die besonderen Zwecke, zu denen die Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erfassung der personenbezogenen Daten feststehen. Die erfassten personenbezogenen Daten sollten dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung der personenbezogenen Daten notwendige Minimum beschränkt sein. Zu diesem Zweck ist es insbesondere notwendig, die gesammelte Datenmenge sowie den Zeitraum der Datenspeicherung auf ein erforderliches Mindestmaß zu begrenzen. Personenbezogene Daten sollten nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht werden kann. Es sollten alle vertretbaren Schritte unternommen werden, damit unzutreffende oder unvollständige personenbezogene Daten berichtigt oder gelöscht werden. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, sollte der für die Verarbeitung Verantwortliche Fristen für deren Löschung oder regelmäßige Überprüfung vorsehen. [Abänd. 8]

(17)  Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die sich auf den Gesundheitszustand einer betroffenen Person beziehen, außerdem Informationen über die Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die betreffende Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer einer Gesundheitsleistung für die betroffene Person sowie Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.

(18)  Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenen Personen nach Treu und Glauben sowie nach Recht und Gesetz erfolgen. Vor allem sollten die jeweiligen Zwecke der Datenverarbeitung eindeutig festgelegt sein. [Abänd. 9]

(19)  Zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten müssen die zuständigen Behörden personenbezogene Daten, die im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat erhoben wurden, auch speichern und in einem anderen Kontext verarbeiten können, um sich ein Bild der kriminellen Erscheinungen und Trends machen, Erkenntnisse über Netzwerke der organisierten Kriminalität sammeln und Verbindungen zwischen verschiedenen aufgedeckten Straftaten herstellen zu können. [Abänd. 10]

(20)  Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Personenbezogene Daten sollten dem Zweck angemessen und sachlich relevant sowie im Verhältnis zu den Zwecken der Datenverarbeitung nicht exzessiv sein. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige oder unvollständige personenbezogene Daten berichtigt oder gelöscht werden. [Abänd. 11]

(20a)  Die bloße Tatsache, dass sich zwei Zwecke auf die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung beziehen, muss nicht unbedingt bedeuten, dass diese miteinander vereinbar sind. Allerdings gibt es Fälle, in denen die Weiterverarbeitung zu unvereinbaren Zwecken gegebenenfalls möglich sein sollte, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen, zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit erforderlich ist. Die Mitgliedstaaten sollten daher in der Lage sein, einzelstaatliche Rechtsvorschriften zu erlassen, in denen solche Ausnahmen im strikt notwendigen Umfang vorgesehen sind. Diese einzelstaatlichen Rechtsvorschriften sollten angemessene Garantien enthalten. [Abänd. 12]

(21)  Der Grundsatz der sachlichen Richtigkeit der Daten sollte unter Berücksichtigung von Art und Zweck der jeweiligen Verarbeitung angewandt werden. Aussagen, die personenbezogene Daten enthalten, basieren gerade in Gerichtsverfahren auf der subjektiven Wahrnehmung von Personen und sind nicht immer nachprüfbar. Infolgedessen sollte sich der Grundsatz der sachlichen Richtigkeit nicht auf die Richtigkeit einer Aussage beziehen, sondern lediglich auf die Tatsache, dass eine bestimmte Aussage gemacht worden ist.

(22)  Bei der Auslegung und Anwendung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sollte den Besonderheiten dieses Bereichs und dessen spezifischen Zielen Rechnung getragen werden. [Abänd. 13]

(23)  Bei der Verarbeitung personenbezogener Daten im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geht es naturgemäß um betroffene Personen verschiedener Kategorien. Daher sollte so weit wie möglich klar zwischen den personenbezogenen Daten der einzelnen Kategorien betroffener Personen unterschieden werden wie Verdächtigte, verurteilte Straftäter, Opfer und Dritte, beispielsweise Zeugen, Personen, die über einschlägige Informationen verfügen, oder Personen, die mit Verdächtigten oder verurteilten Straftätern in Kontakt oder in Verbindung stehen. Die Mitgliedstaaten sollten spezielle Regelungen über die Auswirkungen dieser Einteilung in Kategorien festlegen und dabei die unterschiedlichen Zwecke, zu denen Daten erhoben werden, berücksichtigen und spezifische Garantien im Hinblick auf Personen, die nicht verurteilte Straftäter sind oder gegen die kein Straftatverdacht vorliegt, vorsehen. [Abänd. 14]

(24)  Die personenbezogenen Daten sollten so weit wie möglich nach ihrer Richtigkeit und Zuverlässigkeit unterschieden werden. Fakten sollten von persönlichen Einschätzungen unterschieden werden, um den Schutz des Betroffenen und gleichzeitig auch die Qualität und Zuverlässigkeit der von den zuständigen Behörden verarbeiteten Informationen zu gewährleisten.

(25)  Die Verarbeitung personenbezogener Daten sollte nur dann als rechtmäßig gelten und zulässig sein , wenn sie zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen, oder zur Wahrnehmung einer Aufgabe, die eine zuständige Behörde im öffentlichen Interesse aufgrund des Gesetzes oder zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person ausführt, oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr von Unionsrecht oder mitgliedstaatlichem Recht erforderlich ist, das eindeutige und detaillierte Bestimmungen mindestens im Hinblick auf die Ziele, die personenbezogenen Daten und die besonderen Zwecke und Mittel enthalten sowie den für die öffentliche Sicherheit erforderlich ist Verarbeitung Verantwortlichen, die einzuhaltenden Verfahren, die Anwendung und Grenzen des Ermessensspielraums der zuständigen Behörden hinsichtlich der Verarbeitungstätigkeit bestimmen sollte . [Abänd. 15]

(25a)  Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Die weitere Verarbeitung durch die zuständigen Behörden zu einem Zweck, der in den Geltungsbereich dieser Richtlinie fällt und der nicht mit dem ursprünglichen Zweck der Erhebung vereinbar ist, sollte nur in bestimmten Fällen, in denen die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt und die auf Unionsrecht oder mitgliedstaatlichem Recht basiert, oder zur Wahrung wesentlicher Interessen der betroffenen Personen oder einer anderen Person oder zur Abwehr einer unmittelbaren oder ernsthaften Gefahr für die öffentliche Sicherheit genehmigt werden. Die Tatsache, dass Daten zu Strafverfolgungszwecken verarbeitet werden, bedeutet nicht zwangsläufig, dass diese Zwecke mit dem ursprünglichen Zweck ihrer Erhebung vereinbar sind. Das Konzept der Vereinbarkeit der Nutzung ist restriktiv auszulegen. [Abänd. 16]

(25b)  Die Verarbeitung personenbezogener Daten unter Verstoß gegen einzelstaatliche Bestimmungen, die nach Maßgabe dieser Richtlinie erlassen wurden, sollte eingestellt werden. [Abänd. 17]

(26)  Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte besonders sensibel und anfällig für eine Verletzung von Grundrechten oder der Privatsphäre besonders sensibel sind, wie zum Beispiel genetische Daten, bedürfen eines besonderen Schutzes. Solche Daten sollten nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsvorschrift, die geeignete konkret erforderlich ist, um auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene Garantien für die rechtmäßigen Interessen zur Wahrung der Grundrechte und berechtigten der betroffenen Person enthält , ausdrücklich erlaubt ist, vorsieht , eine im öffentlichen Interesse liegende Aufgabe zu erfüllen, oder die Verarbeitung zur Wahrung lebenswichtiger wesentlicher Interessen der betroffenen Person oder die Verarbeitung einer anderen Person erforderlich ist oder sich auf Daten bezieht , die die betroffene Person offenkundig öffentlich gemacht hat, bezieht . Sensible personenbezogene Daten sollten nur verarbeitet werden, wenn sie andere bereits für Strafverfolgungszwecke verarbeitete personenbezogene Daten ergänzen. Jede Ausnahme des Verbots der Verarbeitung sensibler Daten sollte restriktiv ausgelegt werden und nicht zu wiederkehrender, umfassender und struktureller Verarbeitung personenbezogener Daten führen . [Abänd. 18]

(26a)  Die Verarbeitung genetischer Daten sollte nur erlaubt sein, wenn im Verlauf einer strafrechtlichen Ermittlungen oder eines Gerichtsverfahrens eine genetische Verbindung auftritt. Genetische Daten sollten zum Zwecke solcher Ermittlungen und Verfahren nur so lange wie unbedingt nötig gespeichert werden, wobei die Mitgliedstaaten aber eine längere Speicherfrist gemäß den in dieser Richtlinie enthaltenden Bedingungen vorsehen können. [Abänd. 19]

(27)  Eine natürliche Person sollte das Recht haben, keiner Maßnahme unterworfen zu werden, die allein auf automatischer teilweise oder vollständig auf Profiling im Wege der automatischen Datenverarbeitung basiert, wenn dadurch eine nachteilige Rechtsfolge für die betroffene . Die Verarbeitung , die gegenüber dieser Person entsteht rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt , sollte verboten sein , es sei denn, sie ist gesetzlich erlaubt und mit geeigneten Garantien für die rechtmäßigen Grundrechte und berechtigten Interessen der betroffenen Person einschließlich des Rechts auf Bereitstellung aussagekräftiger Angaben über die dem Profiling zugrunde liegende Methode verbunden. Eine solche Datenverarbeitung sollte unter keinen Umständen spezielle Datenkategorien enthalten oder erzeugen oder auf deren Grundlage diskriminieren. [Abänd. 20]

(28)  Damit die betroffene Person ihre Rechte wahrnehmen kann, sollten die Informationen für sie leicht zugänglich und verständlich, also unter anderem klar und einfach abgefasst sein.Diese Informationen sollten auf die Bedürfnisse der betroffenen Person angepasst sein, insbesondere wenn die Informationen spezifisch an Kinder gerichtet sind. [Abänd. 21]

(29)  Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr durch diese Richtlinie gewährten Rechte wahrzunehmen, etwa dafür, wie sie kostenfrei Auskunft über die Daten erlangen oder deren Berichtigung oder Löschung fordern kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, ohne unangemessene Verzögerung unverzüglich und innerhalb eines Monats nach Eingang des Antrags auf das Ansuchen Ersuchen der betroffenen Person zu antworten. Im Falle der automatischen Verarbeitung personenbezogener Daten sollte der für die Verarbeitung Verantwortliche dafür sorgen, dass die Maßnahme elektronisch beantragt werden kann. [Abänd. 22]

(30)  Der Grundsatz von Treu und Glauben sowie Transparenz bei der Verarbeitung verlangt, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, seine Rechtsgrundlage, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Darüber hinaus sollte die betroffene Person über ein eventuell erfolgendes Profiling und dessen beabsichtigte Wirkungen informiert werden. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen die Verweigerung der Daten hat. [Abänd. 23]

(31)  Die Unterrichtung einer betroffenen Person darüber, dass sie betreffende personenbezogene Daten verarbeitet werden, sollte zum Zeitpunkt der Erhebung erfolgen oder, falls die Daten nicht bei der betroffenen Person erhoben werden, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

(32)  Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, haben und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht Recht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden und wer die Empfänger der Daten sind, auch wenn es sich um Empfänger in Drittländern handelt, sowie auf verständliche Informationen über die Logik einer automatisierten Datenverarbeitung, gegebenenfalls die wesentlichen und angestrebten Auswirkungen und ein Beschwerderecht bei der Aufsichtsbehörde sowie deren Kontaktdaten . Die betroffenen Personen sollten eine Kopie ihrer personenbezogenen Daten, die einer Verarbeitung unterzogen werden, erhalten können. [Abänd. 24]

(33)  Den Mitgliedstaaten sollte gestattet sein, Rechtsvorschriften zu erlassen, mit denen die Information der betroffenen Person oder die Auskunft über ihre personenbezogenen Daten in einem solchen Umfang und so lange zeitweilig oder dauerhaft zurückgestellt oder eingeschränkt wird, wie diese teilweise oder vollständige Einschränkung dieser Rechte in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den Grundrechten sowie den berechtigten Interessen der betroffenen Person Rechnung getragen wurde, wenn dadurch gewährleistet wird, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen und Verfahren nicht behindert, die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder die Strafvollstreckung nicht gefährdet, die öffentliche und die nationale Sicherheit oder die betroffene Person oder die Rechte und Freiheiten anderer geschützt werden. Der für die Verarbeitung Verantwortliche sollte durch eine konkrete und individuelle Untersuchung in jedem Einzelfall entscheiden, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang gilt. [Abänd. 25]

(34)  Eine Verweigerung oder Einschränkung der Auskunft sollte der betroffenen Person unter Angabe der sachlichen oder rechtlichen Gründe hierfür schriftlich mitgeteilt werden.

(34a)  Jede Einschränkung der Rechte der betroffenen Person muss mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, präzisiert durch die Rechtsprechung des Europäischen Gerichtshofs und des Europäischen Gerichtshofs für Menschenrechte, vereinbar sein, und insbesondere den Wesensgehalt dieser Rechte und Freiheiten achten. [Abänd. 26]

(35)  Erlassen Mitgliedstaaten Rechtsvorschriften, mit denen das Auskunftsrecht vollständig oder teilweise eingeschränkt wird, sollte die betroffene Person die zuständige nationale Aufsichtsbehörde ersuchen können, die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die betroffene Person sollte über dieses Recht unterrichtet werden. Nimmt die Aufsichtsbehörde im Namen der betroffenen Person das Auskunftsrecht wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat. Die Aufsichtsbehörde sollte die betroffene Person zudem über ihr Recht auf Rechtsbehelf in Kenntnis setzen. [Abänd. 27]

(36)  Jede Person sollte das Recht auf Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie das Recht auf Löschung besitzen, wenn die Verarbeitung ihrer Daten unter Verstoß gegen die Grundprinzipien Bestimmungen dieser Richtlinie erfolgt. Diese Verbesserung, Vervollständigung oder Löschung sollte den Empfängern, denen die Daten übermittelt wurden, und den Dritten, von denen die falschen Daten stammten, mitgeteilt werden. Der für die Verarbeitung Verantwortliche sollte auch von jeglicher Weiterverbreitung dieser Daten Abstand nehmen. Werden personenbezogene Daten im Zusammenhang mit strafrechtlichen Ermittlungen oder einem Strafverfahren verarbeitet, erfolgen Berichtigung, Information, Auskunft, Löschung oder Einschränkung der Verarbeitung nach Maßgabe des einzelstaatlichen Strafprozessrechts. [Abänd. 28]

(37)  Es sollten umfassende Bestimmungen über die Verantwortung und die Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Namen erfolgende Verarbeitung personenbezogener Daten festgelegt werden. Vor allem sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen und verpflichtet sein , nachweisen zu können, , dass die jede Verarbeitung nach den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt ist. [Abänd. 29]

(38)  Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Richtlinie erfüllt werden. Um zu gewährleisten, dass die nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfüllt werden, sollte der für die Verarbeitung Verantwortliche Strategien festlegen und geeignete Maßnahmen ergreifen, die den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen entsprechen.

(39)  Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuteilung der Verantwortlichkeiten durch diese Richtlinie, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, -bedingungen und ‑mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird. Die betroffene Person sollte das Recht haben, ihre Rechte gemäß dieser Richtlinie in Bezug auf und gegen jeden der gemeinsam für die Verarbeitung Verantwortlichen wahrzunehmen. [Abänd. 30]

(40)  Verarbeitungsvorgänge sollten zur Kontrolle der Einhaltung der Richtlinie von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter dokumentiert werden. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anforderung seine dokumentarischen Unterlagen vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrolliert werden können.

(40a)  Jede Verarbeitung personenbezogener Daten sollte zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten aufgezeichnet werden. Diese Aufzeichnung sollte der Aufsichtsbehörde zum Zwecke der Überwachung der Einhaltung der in dieser Richtlinie enthaltenen Vorschriften auf Anforderung vorgelegt werden. [Abänd. 31]

(40b)  Eine Datenschutz-Folgenabschätzung, die sich insbesondere mit den Maßnahmen, Garantien und Verfahren befasst, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Richtlinie nachgewiesen werden sollen, sollte durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter durchgeführt werden, wenn Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können. Datenschutz-Folgenabschätzungen sollten im Hinblick auf Systeme und Verfahren im Rahmen von Verarbeitungsvorgängen für personenbezogene Daten durchgeführt werden, nicht jedoch in Einzelfällen. [Abänd. 32]

(41)  Um einen wirksamen Schutz der Rechte und Freiheiten der betroffenen Personen durch Präventivmaßnahmen zu gewährleisten, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in bestimmten Fällen vor der Verarbeitung die Aufsichtsbehörde zu Rate ziehen. Darüber hinaus sollte die Aufsichtsbehörde dann, wenn Verarbeitungsvorgänge aller Wahrscheinlichkeit nach hohe konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, in der Lage sein, risikobehaftete Verarbeitungsvorgänge, die nicht mit dieser Richtlinie vereinbar sind, noch vor Beginn des jeweiligen Vorgangs zu unterbinden und geeignete Vorschläge zu unterbreiten, wie solche Mängel beseitigt werden könnten. Eine solche Konsultation kann auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des einzelstaatlichen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt. [Abänd. 33]

(41a)  Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sollte die technologische Neutralität gefördert werden. [Abänd. 34]

(42)  Eine Verletzung des Schutzes personenbezogener Daten kann Schäden, beispielsweise eine Rufschädigung der betroffenen Person, hervorrufen, wenn nicht rechtzeitig und angemessen reagiert wird, zu beträchtlichen wirtschaftlichen Verlusten und sozialen Schäden für die betroffene Person, beispielsweise Identitätsbetrug, führen . Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die zuständige nationale Behörde unverzüglich in Kenntnis setzen. Natürliche Personen, deren personenbezogene Daten oder Privatsphäre durch eine Datenschutzverletzung beeinträchtigt werden könnten, sollten ohne unangemessene Verzögerung unverzüglich benachrichtigt werden, so dass sie die notwendigen Vorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person nachteilig erachtet werden, wenn sie in Verbindung mit der Verarbeitung personenbezogener Daten zum Beispiel in Identitätsdiebstahl oder Betrug, einer körperlichen Schädigung, erheblichen Demütigung oder einer Rufschädigung bestehen können. Die Benachrichtigung sollte Informationen über die vom Betreiber nach der Verletzung ergriffenen Maßnahmen sowie Empfehlungen für die betroffenen Nutzer oder Personen enthalten. Benachrichtigungen an die betroffenen Personen sollten so früh wie möglich und in enger Zusammenarbeit mit der Aufsichtsbehörde sowie unter Beachtung der von ihr erstellten Leitlinien ergehen. [Abänd. 35]

(43)  Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung einer Verletzung des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Schutzvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Missbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der zuständigen Behörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in unnötiger Weise behindert würde.

(44)  Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sollte eine Person benennen, die ihn dabei unterstützt, die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu überwachen. Mehrere Dienststellen der zuständigen und nachzuweisen . Handeln mehrere zuständige Behörden unter der Aufsicht einer zentralen Behörde können gemeinsam , sollte zumindest diese zentrale Behörde einen Datenschutzbeauftragten bestellen . Der Datenschutzbeauftragte muss seinen Auftrag und seine Aufgaben unabhängig und wirksam wahrnehmen können, was vor allem durch die Festlegung von Vorschriften zur Vermeidung von Interessenkonflikten mit anderen Aufgaben des Datenschutzbeauftragten sichergestellt werden soll . [Abänd. 36]

(45)  Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn dies diese spezifische Übermittlung für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt. Daten dürfen übermittelt werden, wenn die Kommission durch Beschluss festgestellt hat, dass das betreffende Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet, oder wenn geeignete Garantien bestehen oder wenn geeignete Garantien im Rahmen eines rechtsverbindlichen Instruments bestehen . Daten, die an die zuständigen Behörden in Drittländern übermittelt werden, sollten nicht zu anderen Zwecken als denjenigen, zu denen sie übermittelt wurden, weiterverarbeitet werden . [Abänd. 37]

(45a)  Die Datenweitergabe durch die zuständigen Behörden oder internationalen Organisationen, denen personenbezogene Daten übermittelt wurden, sollte nur dann erlaubt sein, wenn die Weitergabe zu demselben spezifischen Zweck wie die ursprüngliche Übermittlung notwendig ist und es sich bei dem zweiten Empfänger ebenfalls um eine zuständige öffentliche Behörde handelt. Weitergaben sollten nicht für allgemeine Strafverfolgungszwecke erlaubt sein. Die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, sollte der Weitergabe zugestimmt haben. [Abänd. 38]

(46)  Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer, bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten und somit in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, für Rechtssicherheit und eine einheitliche Rechtsanwendung in der gesamten Union sorgen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung in diese Länder übermittelt werden.

(47)  In Übereinstimmung mit den Grundwerten der Union, insbesondere dem Schutz der Menschenrechte, sollte die Kommission bei der Bewertung eines Drittlands berücksichtigen, inwieweit dort die Rechtsstaatlichkeit geachtet wird, Zugang zur Justiz möglich ist und die internationalen Menschenrechtsbestimmungen eingehalten werden.

(48)  Die Kommission sollte gleichfalls feststellen können, dass ein Drittland, ein Gebiet oder Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bietet. Folglich sollte in diesem Fall die Übermittlung personenbezogener Daten in dieses Drittland verboten werden, es sei denn, die Daten werden auf der Grundlage einer internationalen Übereinkunft, geeigneter Garantien oder einer Ausnahmeregelung übermittelt. Es sollten Verfahren für Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. Ungeachtet eines entsprechenden Kommissionsbeschlusses sollte jedoch die Möglichkeit bestehen, Daten auf der Grundlage geeigneter Garantien, die im Rahmen rechtsverbindlicher Instrumente bestehen, oder einer in dieser Richtlinie geregelten Ausnahme zu übermitteln. [Abänd. 39]

(49)  Datenübermittlungen, die nicht auf der Grundlage eines Angemessenheitsbeschlusses erfolgen, sollten nur dann zulässig sein, wenn in einem rechtsverbindlichen Instrument geeignete Garantien festgelegt sind, die den Schutz personenbezogener Daten gewährleisten, oder wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Datenübermittlung oder bei der Kategorie von Datenübermittlungen eine Rolle spielen, und auf der Grundlage dieser Beurteilung zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen. In Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, sollten Ausnahmen erlaubt sein, wenn dies notwendig ist zur Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen Person, wenn dies nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, notwendig ist oder wenn dies zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands oder in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen unerlässlich ist [Abänd. 40] .

(49a)  In Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, sollten Ausnahmen erlaubt sein, wenn dies notwendig ist zur Wahrung wesentlicher Interessen der betroffenen oder einer anderen Person, wenn dies nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zum Schutz berechtigter Interessen notwendig ist oder wenn dies zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands oder in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen unerlässlich ist. Diese Ausnahmen sollten restriktiv ausgelegt werden und zudem die wiederkehrende, umfassende und strukturelle Übermittlung personenbezogener Daten sowie die pauschale Übermittlung von Daten ausschließen, die auf unbedingt notwendige Daten beschränkt sein sollte. Darüber hinaus sollte die Entscheidung über eine Datenübermittlung von entsprechend Bevollmächtigten getroffen werden, die Übermittlung muss dokumentiert werden, und die Dokumentation muss zum Zwecke der Überprüfung der Rechtmäßigkeit der Übermittlung der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. [Abänd. 41]

(50)  Wenn personenbezogene Daten in ein anderes Land übermittelt werden, kann dies dazu führen, dass die betroffene Person weniger Möglichkeiten hat, ihre Datenschutzrechte wahrzunehmen und sich gegen eine unrechtmäßige Nutzung oder Weitergabe ihrer Daten zu schützen. Ebenso kann es vorkommen, dass Aufsichtsbehörden Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats haben. Ihre Bemühungen um grenzübergreifende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse und durch nicht übereinstimmende rechtliche Regelungen behindert werden. Die Zusammenarbeit zwischen den Datenschutzbehörden muss daher gefördert werden, um ihnen den Informationsaustausch mit Aufsichtsbehörden in anderen Ländern zu erleichtern.

(51)  Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgaben völlig unabhängig erfüllen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Aufsichtsbehörden sollten die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander und mit der Kommission . [Abänd. 42]

(52)  Die Mitgliedstaaten können einer bereits gemäß der Verordnung (EU) Nr. …./2012 in den Mitgliedstaaten errichteten Aufsichtsbehörde die Verantwortung für die Aufgaben übertragen, die von den nach Maßgabe dieser Richtlinie einzurichtenden nationalen Aufsichtsbehörden auszuführen sind.

(53)  Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde einrichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur einschließlich technischer Mittel, Erfahrung und Kompetenz ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen Aufsichtsbehörden in der Union, notwendig und angemessen sind. [Abänd. 43]

(54)  Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats auf der Grundlage einer Konsultation des Parlaments ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihren Status enthalten. [Abänd. 44]

(55)  Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt. Diese Ausnahme sollte allerdings begrenzt werden auf rein justizielle Tätigkeiten in Gerichtssachen und sich nicht auf andere Tätigkeiten beziehen, mit denen Richter nach nationalem Recht betraut werden können.

(56)  Um die einheitliche Überwachung und Durchsetzung dieser Richtlinie in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und Befugnisse haben, unter anderem – insbesondere im Fall von Beschwerden natürlicher Personen – wirksame Untersuchungsbefugnisse, das Recht auf Zugang zu allen für die Erfüllung aller Aufsichtspflichten erforderlichen personenbezogenen Daten und Informationen, das Recht auf Zugang zu allen Räumlichkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters einschließlich des Materials für die Datenverarbeitung sowie rechtsverbindliche Interventions-, Beschluss- und Sanktionsbefugnisse sowie die Befugnis, Gerichtsverfahren anzustrengen. [Abänd. 45]

(57)  Zu den Aufgaben der Aufsichtsbehörde sollte die Bearbeitung und Untersuchung von Beschwerden betroffener Personen gehören. Die Untersuchung aufgrund einer Beschwerde sollte vorbehaltlich einer gerichtlichen Nachprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb einer angemessenen Frist über den Stand und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden.

(58)  Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und einander Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet ist. Die Aufsichtsbehörden sollten zur Teilnahme an gemeinsamen Aktionen bereit sein. Die ersuchte Aufsichtsbehörde sollte verpflichtet sein, auf die Anfrage innerhalb einer vorgeschriebenen Frist zu antworten. [Abänd. 46]

(59)  Der auf der Grundlage der Verordnung (EU) Nr. …/2012 …/2013 eingerichtete Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung dieser Richtlinie in der Union beitragen, die Kommission Organe der Union beraten und , die Zusammenarbeit der Aufsichtsbehörden in der Union fördern und bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten auf der Grundlage dieser Richtlinie der Kommission gegenüber seine Stellungnahme abgeben . [Abänd. 47]

(60)  Jede betroffene Person, die sich in ihren Rechten verletzt sieht, die ihr aufgrund dieser Richtlinie zustehen, sollte das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen gerichtlichen Rechtsbehelf haben, wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird oder wenn sie nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.

(61)  Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von dieser Person hierzu bevollmächtigt wurden, oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde. [Abänd. 48]

(62)  Jede natürliche oder juristische Person sollte das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde haben. Für Verfahren gegen eine Aufsichtsbehörde sollten die Gerichte des Mitgliedstaats zuständig sein, in dem die Aufsichtsbehörde ihren Sitz hat.

(63)  Die Mitgliedstaaten sollten sicherstellen, dass effiziente Klagemöglichkeiten vorhanden sind, mit denen rasch Maßnahmen zur Abstellung oder Verhinderung eines Verstoßes gegen diese Richtlinie erwirkt werden können.

(64)  Schäden, auch immaterielle Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, der von seiner Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt. [Abänd. 49]

(65)  Gegen jede natürliche oder juristische – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Richtlinie verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zur Anwendung der Sanktionen treffen.

(65a)  Die Übermittlung personenbezogener Daten an andere Behörden oder Privatpersonen in der Union ist untersagt, es sei denn, die Übermittlung entspricht den gesetzlichen Bestimmungen, der Empfänger ist in einem Mitgliedstaat ansässig, keine berechtigten konkreten Interessen der betroffenen Person stehen der Übermittlung entgegen, und die Übermittlung ist aus Sicht des für die Verarbeitung Verantwortlichen, der die Daten übermittelt, für die Erfüllung einer ihm rechtmäßig zugewiesenen Aufgabe, zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner notwendig. Der für die Verarbeitung Verantwortliche sollte den Empfänger auf den Zweck der Verarbeitung und die Aufsichtsbehörde auf die Übermittlung hinweisen. Der Empfänger sollte darüber hinaus auf Verarbeitungsbeschränkungen hingewiesen werden und sicherstellen, dass diese Beschränkungen eingehalten werden. [Abänd. 50]

(66)  Um die Zielvorgaben dieser Richtlinie zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Insbesondere sollten für die Meldung einer weitere konkrete Festlegung der Kriterien und Bedingungen für Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, für die Kriterien und Bedingungen der Verletzung des Schutzes von personenbezogenen Daten an die Aufsichtsbehörde und in Bezug auf die Angemessenheit des Datenschutzniveaus eines Drittlandes, eines Gebiets oder eines Verarbeitungssektors dieses Drittlands oder einer internationalen Organisation delegierte Rechtsakte erlassen werden. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen, insbesondere mit dem Europäischen Datenschutzausschuss, durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen sollte die Kommission gewährleisten , dass das Europäische die einschlägigen Dokumente dem Europäischen Parlament und der Rat die entsprechenden Dokumente gleichzeitig dem Rat zeitgleich , rechtzeitig und in geeigneter Form erhalten Weise übermittelt werden . [Abänd. 51]

(67)  Der Kommission sollten Durchführungsbefugnisse übertragen werden, um bezüglich der Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, der Sicherheit der Verarbeitung, insbesondere in Bezug auf Verschlüsselungsstandards, und der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie der Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation einheitliche Bedingungen für die Umsetzung dieser Richtlinie zu gewährleisten. Diese Befugnisse sollten nach Maßgabe der Verordnung im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren, Rates (6) ausgeübt werden. [Abänd. 52]

(68)  Maßnahmen, die die Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter betreffen sowie die Sicherheit der Verarbeitung, und die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation betreffen, sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt. [Abänd. 53]

(69)  Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, sofort geltende Durchführungsrechtsakte erlassen. [Abänd. 54]

(70)  Da die Ziele dieser Richtlinie, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus. Die Mitgliedstaaten können höhere Standards als die in dieser Richtlinie festgelegten vorsehen. [Abänd. 55]

(71)  Der Rahmenbeschluss 2008/977/JI sollte durch diese Richtlinie aufgehoben werden.

(72)  Die besonderen Bestimmungen für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, sollten bestehen bleiben. Die Da Artikel 8 der Grundrechtecharta und Artikel 16 AEUV vorschreiben, dass das Grundrecht auf Schutz personenbezogener Daten in der Union einheitlich und homogen angewendet werden sollte, sollte die Kommission innerhalb von zwei Jahren nach Inkrafttreten dieser Richtlinie sollte das Verhältnis zwischen dieser Richtlinie und den vor ihrem Erlass angenommenen Rechtsakten, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, daraufhin prüfen, inwieweit die besonderen Bestimmungen und sollte zudem zweckmäßige Vorschläge hinsichtlich der Festlegung einheitlicher und homogener Regeln für die Verarbeitung personenbezogener Daten durch zuständige Behörden oder des Zugangs der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den europäischen Verträgen errichteten Informationssystemen sowie der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen innerhalb des Geltungsbereichs dieser Rechtsakte an diese Richtlinie angepasst werden müssen erarbeiten . [Abänd. 56]

(73)  Damit personenbezogene Daten in der Union umfassend und in gleicher Weise geschützt werden, sollten die von der Union oder den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen Übereinkünfte im Sinne dieser Richtlinie geändert werden. [Abänd. 57]

(74)  Diese Richtlinie lässt die Vorschriften zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie nach Maßgabe der Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates(7) unberührt.

(75)  Nach Protokoll 21 Artikel 6a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts sind die Bestimmungen dieser Richtlinie für das Vereinigte Königreich und Irland nicht bindend, wenn das Vereinigte Königreich und Irland nicht durch Unionsvorschriften gebunden sind, die Formen der justiziellen Zusammenarbeit in Strafsachen oder der polizeilichen Zusammenarbeit regeln, in deren Rahmen die auf der Grundlage des Artikels 16 des Vertrags über die Arbeitsweise der Europäischen Union festgelegten Vorschriften eingehalten werden müssen.

(76)  Nach den Artikeln 2 und 2a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position Dänemarks gilt diese Richtlinie nicht für Dänemark und ist Dänemark gegenüber nicht anwendbar. Da diese Richtlinie auf dem Schengen-Besitzstand auf der Grundlage des Dritten Teils Titel V des Vertrags über die Arbeitsweise der Europäischen Union aufbaut, beschließt Dänemark gemäß Artikel 4 dieses Protokolls innerhalb von sechs Monaten nach Erlass dieser Richtlinie, ob es die Richtlinie in innerstaatliches Recht umsetzt. [Abänd. 58]

(77)  Für Island und Norwegen stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der Letztgenannten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands(8) dar.

(78)  Für die Schweiz stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands(9) dar.

(79)  Für Lichtenstein stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands(10) dar.

(80)  Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens, dem Recht auf Schutz personenbezogener Daten sowie dem Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren. Die Einschränkungen dieser Rechte stehen im Einklang mit Artikel 52 Absatz 1 der Charta, da sie erforderlich sind, um den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und der Freiheiten anderer zu entsprechen.

(81)  Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten vom 28. September 2011(11) haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen einzelstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

(82)  Diese Richtlinie sollte die Mitgliedstaaten nicht daran hindern, die Bestimmungen über die Ausübung der Rechte der betroffenen Person auf Unterrichtung, Auskunft, Berichtigung, Löschung und Beschränkung ihrer im Rahmen eines Strafverfahrens verarbeiteten personenbezogenen Daten sowie mögliche Beschränkungen dieser Rechte in ihr einzelstaatliches Strafprozessrecht umzusetzen –

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Ziele

(1)  Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder und der Strafvollstreckung sowie Bedingungen im Hinblick auf den freien Verkehr personenbezogener Daten .

(2)  Gemäß dieser Richtlinie stellen die Mitgliedstaaten Folgendes sicher:

a)  Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere Gewährleistung ihres Rechts auf Schutz ihrer personenbezogener Daten und ihrer Privatsphäre, und

b)  Sicherstellung, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

(2a)  Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie. [Abänd. 59]

Artikel 2

Anwendungsbereich

(1)  Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.

(2)  Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(3)  Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)  im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit, .

b)  durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union. [Abänd. 60]

Artikel 3

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

(1)  „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung zu einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

(2)  „personenbezogene Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen , die sich auf eine betroffene direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer eindeutigen Kennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen oder geschlechtlichen Identität dieser Person beziehen sind ;

(2a)  „pseudonymisierte Daten“ personenbezogene Daten, die ohne Heranziehung zusätzlicher Informationen keiner spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die die Nichtzuordnung gewährleisten;

(3)  „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Löschen oder Vernichten der Daten sowie die Beschränkung des Zugriffs auf Daten;

(3a)  „Profiling“ jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen;

(4)  „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

(5)  „Datei“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder aufgeschlüsselt nach funktionalen oder geografischen Gesichtspunkten geführt wird;

(6)  „für die Verarbeitung Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten durch einzelstaatliches mitgliedstaatliches oder Unionsrecht vorgegeben, kann das einzelstaatliche oder das Unionsrecht den können der für die Verarbeitung Verantwortlichen Verantwortliche beziehungsweise die spezifischen Modalitäten für seine Benennung bestimmen nach mitgliedstaatlichem oder Unionsrecht bestimmt werden ;

(7)  „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(8)  „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

(9)  „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur die Vernichtung, zum Verlust, zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten die unbefugte Weitergabe von beziehungsweise zum unbefugten der unbefugte Zugang zu personenbezogenen Daten führt , die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(10)  „genetische Daten“ Daten jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(11)  „biometrische Daten“ personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(12)  „Gesundheitsdaten“ Informationen personenbezogene Daten , die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(13)  „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(14)  „zuständige Behörde“ jede Behörde, die für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist;

(15)  „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 39 eingerichtete staatliche Stelle. [Abänd. 61]

KAPITEL II

GRUNDSÄTZE

Artikel 4

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten

a)   auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und auf rechtmäßige in einer für die betroffene Person nachvollziehbaren und überprüfbaren Weise verarbeitet werden;

b)  für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen;

c)  im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant und nicht exzessiv sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sind, wobei sie nur verarbeitet werden dürfen, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können ;

d)  sachlich richtig und, wenn nötig, auf dem neuesten Stand sind; , wobei alle angemessenen Maßnahmen müssen getroffen werden müssen , damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

e)  nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;

f)  unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet und nachweisen kann ;

fa)  in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, ihre Rechte gemäß den Artikeln 10 bis 17 wahrzunehmen;

fb)  in einer Weise verarbeitet werden, die vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen schützt;

fc)  ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben verarbeitet werden. [Abänd. 62]

Artikel 4a

Zugang zu Daten, die ursprünglich zu anderen Zwecken als den in Artikel 1 Absatz 1 genannten verarbeitet wurden

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass zuständige Behörden nur dann Zugang zu Daten, die ursprünglich zu anderen Zwecken als den in Artikel 1 Absatz 1 genannten verarbeitet wurden, haben, wenn sie gemäß Unionsrecht oder dem Recht der Mitgliedstaaten über eine ausdrückliche Befugnis verfügen, die die Voraussetzungen gemäß Artikel 7 Absatz 1a erfüllen muss, und tragen zudem dafür Sorge, dass:

a)  der Zugang ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben genehmigt wird, wenn in einem spezifischen Fall hinreichende Gründe für die Annahme vorliegen, dass die Verarbeitung der personenbezogenen Daten maßgeblich zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Strafvollstreckung beiträgt;

b)  Zugangsanfragen schriftlich erfolgen und auf die rechtliche Grundlage der Anfrage Bezug nehmen müssen;

c)  die schriftliche Anfrage dokumentiert werden muss; und

d)  geeignete Garantien eingeführt werden, um dafür zu sorgen, dass Grundrechte und ‑freiheiten in Bezug auf die Verarbeitung personenbezogener Daten geschützt werden. Die Garantien gelten unbeschadet und in Ergänzung zu den spezifischen Zugangsbedingungen zu personenbezogenen Daten wie etwa einer richterlichen Genehmigung gemäß dem Recht der Mitgliedstaaten.

(2)  der Zugang zu personenbezogenen Daten, die von nicht-öffentlichen Stellen oder anderen öffentlichen Behörden verwaltet werden, wird nur für die Ermittlung und Verfolgung von Straftaten gemäß den vom Unionsrecht oder dem Recht der Mitgliedstaaten festgelegten Anforderungen der Notwendigkeit und der Verhältnismäßigkeit gewährt, wobei Artikel 7a uneingeschränkt einzuhalten ist; [Abänd. 63]

Artikel 4b

Fristen für die Speicherung und Überprüfung

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten, die nach Maßgabe dieser Richtlinie verarbeitet wurden, von den zuständigen Behörden gelöscht werden, wenn sie nicht länger für den Zweck, den die ursprüngliche Verarbeitung erfüllen sollte, erforderlich sind.

(2)  Die Mitgliedstaaten tragen dafür Sorge, dass die zuständigen Behörden Mechanismen einführen, durch die sichergestellt wird, dass gemäß Artikel 4 Fristen für die Löschung sowie die regelmäßige Überprüfung der Notwendigkeit der Speicherung von personenbezogenen Daten einschließlich Speicherfristen für die unterschiedlichen Kategorien personenbezogener Daten gesetzt werden. Es werden Verfahrensregeln aufgestellt um sicherzustellen, dass diese Fristen und Zeiträume der regelmäßigen Überprüfung eingehalten werden. [Abänd. 64]

Artikel 5

Unterscheidung verschiedener Verschiedene Kategorien von betroffenen Personen

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass die zuständigen Behörden für die in Artikel 1 Absatz 1 genannten Zwecke personenbezogene Daten folgender unterschiedlicher Kategorien von betroffenen Personen verarbeiten können und der für die Verarbeitung Verantwortliche so weit wie möglich zwischen den personenbezogenen Daten verschiedener Kategorien von betroffenen Personen diesen klar unterscheidet, darunter :

a)  Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden;

b)  verurteilte Straftäter Personen, die eine Straftat begangen haben ;

c)  Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten; und

d)  Dritte bei einer Straftat, wie Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim anschließenden Strafverfahren als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den unter Buchstaben a und b genannten Personen in Kontakt oder in Verbindung stehen sowie

e)  Personen, die keiner dieser Kategorien zugerechnet werden können.

(2)  Personenbezogene Daten anderer betroffener Personen als der unter Absatz 1 genannten Personen dürfen nur verarbeitet werden:

a)  sofern dies im Rahmen der Untersuchung oder Verfolgung einer bestimmten Straftat notwendig ist, um die Relevanz der Daten für eine der in Absatz 1 angegebenen Kategorien zu bewerten; oder

b)  wenn eine solche Verarbeitung für gezielte Präventivzwecke oder für die Zwecke einer kriminalistischen Analyse unabdingbar ist, sofern und solange dieser Zweck rechtmäßig, klar definiert und spezifisch ist und die Verarbeitung streng darauf beschränkt ist, die Relevanz der Daten für eine der in Absatz 1 angegebenen Kategorien zu bewerten. Dies wird regelmäßig – mindestens alle sechs Monate – überprüft. Jede weitere Verwendung ist untersagt.

(3)  Die Mitgliedstaaten sorgen dafür, dass zusätzliche Beschränkungen und Garantien gemäß mitgliedstaatlichem Recht auf die Weiterverarbeitung personenbezogener Daten in Bezug auf die in Absatz 1 Buchstabe c und d genannten betroffenen Personen Anwendung finden. [Abänd. 65]

Artikel 6

Unterscheidung der personenbezogenen Daten nach Richtigkeit und Zuverlässigkeit

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass die zu verarbeitenden Datenkategorien so weit wie möglich nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden werden der zu verarbeitenden personenbezogenen Daten gewährleistet ist .

(2)  Die Mitgliedstaaten tragen dafür Sorge, dass bei personenbezogenen Daten so weit wie möglich entsprechend ihrer Richtigkeit und Zuverlässigkeit zwischen solchen unterschieden werden wird , die auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen.

(2a)  Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. Zu diesem Zweck prüfen die zuständigen Behörden die Qualität der personenbezogenen Daten vor deren Übermittlung oder Bereitstellung. Bei jeder Übermittlung von Daten werden nach Möglichkeit Informationen beigefügt, die es dem Empfängermitgliedstaat gestatten, die Richtigkeit, Vollständigkeit, Aktualität und die Zuverlässigkeit der Daten zu beurteilen. Personenbezogene Daten werden nicht ohne ein entsprechendes Ersuchen einer zuständigen Behörde übermittelt, insbesondere wenn es sich um Daten handelt, die ursprünglich von nicht-öffentlichen Stellen verwaltet wurden.

(2b)  Wird festgestellt, dass unrichtige Daten übermittelt worden sind oder Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. Dieser ist verpflichtet, die Daten unverzüglich gemäß Absatz 1 und Artikel 15 zu berichtigen oder gemäß Artikel 16 zu löschen. [Abänd. 66]

Artikel 7

Rechtmäßigkeit der Verarbeitung

(1)  Die Mitgliedstaaten legen fest, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn und soweit die Verarbeitung sich auf das Recht der Union oder der Mitgliedstaaten zu den in Artikel 1 Absatz 1 genannten Zwecken stützt und zu folgenden Zwecken notwendig ist:

a)  zur Wahrnehmung einer gesetzlichen Aufgabe, die eine zuständige Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken oder ausführt,

b)  zur Erfüllung einer gesetzlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt,

c)  zur Wahrung lebenswichtiger grundlegender Interessen der betroffenen Person oder einer anderen Person oder

d)  zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit.

(1a)  Das Recht der Mitgliedstaaten, das die Verarbeitung personenbezogener Daten innerhalb des Geltungsbereichs dieser Richtlinie regelt, muss ausdrückliche und detaillierte Bestimmungen mit mindestens folgenden Angaben enthalten:

a)  den Verarbeitungszielen;

b)  den zu verarbeitenden personenbezogenen Daten;

c)  den konkreten Zwecken und Mitteln der Verarbeitung;

d)  der Ernennung des für die Verarbeitung Verantwortlichen, oder der spezifischen Kriterien für die Ernennung des für die Verarbeitung Verantwortlichen;

e)  den Kategorien entsprechend bevollmächtigter Mitarbeiter der zuständigen Behörden für die Verarbeitung der personenbezogenen Daten;

f)  dem bei der Verarbeitung einzuhaltende Verfahren;

g)  den möglichen Verwendungszwecken der personenbezogenen Daten;

h)  den Grenzen des Ermessensspielraums der zuständigen Behörden hinsichtlich der Verarbeitungstätigkeit. [Abänd. 67]

Artikel 7a

Weiterverarbeitung zu unvereinbaren Zwecken

(1)  Die Mitgliedstaaten sorgen dafür, dass personenbezogene Daten nur dann für einen anderen als die in Artikel 1 Absatz 1 genannten Zwecke, der unvereinbar ist mit den Zwecken, zu denen die Daten ursprünglich erhoben worden sind, weiter verarbeitet werden, wenn und soweit:

a)  der Zweck in einer demokratischen Gesellschaft unbedingt erforderlich und verhältnismäßig ist und im Unionsrecht oder im mitgliedstaatlichen Recht für einen rechtmäßigen, klar definierten und spezifischen Zweck vorgesehen ist,

b)  die Verarbeitung streng auf die notwendige Zeit für den spezifischen Datenverarbeitungsvorgang begrenzt wird,

c)  eine weitere Verwendung für andere Zwecke untersagt ist.

Vor einer Verarbeitung konsultiert der Mitgliedstaat die zuständige nationale Aufsichtsbehörde und führt eine Datenschutz-Folgenabschätzung durch.

(2)  Neben den Anforderungen gemäß Artikel 7 Absatz 1a muss mitgliedstaatliches Recht in Bezug auf die Genehmigung einer Weiterverarbeitung im Sinne von Absatz 1 ausdrückliche und detaillierte Bestimmungen mit mindestens folgenden Angaben enthalten:

a)  die spezifischen Zwecke und Mittel der konkreten Verarbeitung;

b)  dass der Zugang ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben genehmigt wird, wenn in einem spezifischen Fall hinreichende Gründe für die Annahme vorliegen, dass die Verarbeitung der personenbezogenen Daten maßgeblich zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Strafvollstreckung beiträgt; und

c)  dass geeignete Garantien eingeführt werden, um dafür zu sorgen, dass Grundrechte und ‑freiheiten in Bezug auf die Verarbeitung personenbezogener Daten geschützt werden.

Die Mitgliedstaaten können vorsehen, dass der Zugang zu personenbezogenen Daten an zusätzliche Bedingungen, beispielsweise eine richterliche Genehmigung, in Übereinstimmung mit ihrem innerstaatlichen Recht geknüpft ist.

(3)  Die Mitgliedstaaten können eine Weiterverarbeitung personenbezogener Daten für historische, statistische oder wissenschaftliche Zwecke genehmigen, vorausgesetzt, sie legen angemessene Garantien fest, beispielsweise die Anonymisierung der Daten. [Abänd. 68]

Artikel 8

Verarbeitung besonderer Kategorien von personenbezogenen Daten

(1)  Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, Religion oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sexuelle Orientierung oder geschlechtliche Identität, die Zugehörigkeit zu und Aktivitäten in Gewerkschaften hervorgehen, sowie von genetischen Daten oder die Gesundheit oder das Sexualleben betreffenden Daten.

(2)  Absatz 1 gilt nicht in folgenden Fällen:

a)  Die Verarbeitung ist durch eine Vorschrift gestattet unbedingt notwendig und verhältnismäßig für die Erfüllung einer Aufgabe , die geeignete Garantien im öffentlichen Interesse von den zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken, auf der Grundlage von Unionsrecht oder mitgliedstaatlichem Recht ausgeführt wird, das spezifische und angemessene Maßnahmen vorsieht, um die Wahrung der berechtigten Interessen der betroffenen Personen zu garantieren, einschließlich einer spezifischen Genehmigung einer Justizbehörde, wenn dies im innerstaatlichen Recht vorgesehen ist ; oder ;

b)  die Verarbeitung ist zur Wahrung lebenswichtiger wesentlicher Interessen der betroffenen Person oder einer anderen Person erforderlich oder

c)  die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, sofern diese im Einzelfall für den betreffenden Zweck relevant und unbedingt notwendig sind . [Abänd. 69]

Artikel 8a

Verarbeitung genetischer Daten zum Zwecke einer strafrechtlichen Ermittlung oder eines Gerichtsverfahrens

(1)  Die Mitgliedstaaten sehen vor, dass genetische Daten nur zur Feststellung einer genetischen Verbindung im Rahmen der Beweiserhebung zur Verhinderung einer Gefahr für die öffentliche Sicherheit oder zur Verhinderung der Verübung einer konkreten Straftat verarbeitet werden dürfen. Genetische Daten dürfen nicht zur Feststellung anderer Merkmale, die unter Umständen eine genetische Verbindung aufweisen, verarbeitet werden.

(2)  Die Mitgliedstaaten sehen vor, dass genetische Daten oder aus der Analyse dieser Daten gewonnene Informationen nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist und wenn die betroffene Person schwere Straftaten gegen das Leben, die Unversehrtheit oder Sicherheit von Personen begangen hat, wobei die Daten und Informationen strikten Speicherfristen, die im mitgliedstaatlichen Recht festzulegen sind, unterliegen.

(3)  Die Mitgliedstaaten stellen sicher, dass genetische Daten oder aus der Analyse dieser Daten gewonnene Informationen nur für längere Zeiträume gespeichert werden, wenn die genetischen Daten keiner Einzelperson zugeordnet werden können, insbesondere wenn die Daten an einem Tatort sichergestellt wurden. [Abänd. 70]

Artikel 9

Auf Profiling und automatischer Datenverarbeitung basierende Maßnahmen

(1)  Die Mitgliedstaaten legen fest, dass Maßnahmen, die eine nachteilige Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die ausschließlich vollständig oder teilweise aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, verboten sind, es sei denn, dies ist durch ein Gesetz erlaubt, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

(2)  Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Aspekte der betroffenen Person darf sich nicht ausschließlich auf die in Artikel 8 genannten besonderen Kategorien personenbezogener Daten stützen.

(2a)  Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke des Herausgreifens einer betroffenen Person ohne anfänglichen Verdacht, dass die betroffene Person eine Straftat begangen hat oder begehen wird, ist nur dann rechtmäßig, sofern dies für die Untersuchung einer schweren Straftat oder die Verhütung einer eindeutigen, unmittelbaren und durch faktische Hinweise belegten Gefahr für die öffentliche Sicherheit, die Existenz des Staates oder das Leben von Personen unbedingt notwendig ist.

(2b)  Ein Profiling, das beabsichtigt oder unbeabsichtigt zur Folge hat, dass Menschen aufgrund von Rasse, ethnischer Herkunft, politischer Überzeugung, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, Geschlecht oder sexueller Orientierung diskriminiert werden, oder das beabsichtigt oder unbeabsichtigt zu Maßnahmen führt, die eine solche Wirkung haben, ist in allen Fällen untersagt. [Abänd. 71]

Artikel 9a

Allgemeine Grundsätze für die Rechte der betroffenen Person

(1)  Die Mitgliedstaaten sorgen dafür, dass die Grundlage des Datenschutzes klare und eindeutige Rechte der betroffenen Person bilden, die von dem für die Verarbeitung Verantwortlichen zu achten sind. Mit dieser Richtlinie sollen diese Rechte gestärkt, geklärt, gewährleistet und erforderlichenfalls kodifiziert werden.

(2)  Die Mitgliedstaaten sorgen dafür, dass zu diesen Rechten unter anderem die Bereitstellung klarer und leicht verständlicher Informationen über die Verarbeitung ihrer personenbezogenen Daten, das Recht auf Zugang zu ihren personenbezogenen Daten, auf Berichtigung und Löschung ihrer personenbezogenen Daten, das Recht auf Erhalt von Daten, das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde und Klageerhebung sowie das Recht auf Ersatz von Schäden, die aus rechtswidriger Verarbeitung entstehen, gehören. Die Ausübung dieser Rechte darf grundsätzlich mit keinen Kosten verbunden sein. Der für die Verarbeitung Verantwortliche hat die Anträge der betroffenen Personen innerhalb einer angemessenen Frist zu bearbeiten. [Abänd. 72]

KAPITEL III

RECHTE DER BETROFFENEN PERSON

Artikel 10

Modalitäten für die Ausübung der Rechte der betroffenen Person

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle vertretbaren Schritte unternimmt, um in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte prägnante, nachvollziehbare, klare und für jedermann leicht zugängliche Strategien zu verfolgen verfolgt .

(2)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen Sprache, insbesondere dann, wenn sich die Informationen an ein Kind richten, zur Verfügung stellt.

(3)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle zumutbaren Schritte unternimmt, um Verfahren für die Bereitstellung der Informationen gemäß Artikel 11 und für die Ausübung der den betroffenen Personen gemäß den Artikeln 12 bis 17 zustehenden Rechte einzuführen einführt . Im Falle der automatischen Verarbeitung personenbezogener Daten sorgt der für die Verarbeitung Verantwortliche dafür, dass die Anträge elektronisch gestellt werden können .

(4)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene unangemessene Verzögerung und spätestens innerhalb eines Monats nach Antragseingang von den Maßnahmen in Kenntnis setzt, die im Zusammenhang mit etwaigen Anträgen getroffen wurden. Die Unterrichtung hat schriftlich zu erfolgen. Erfolgt die Antragstellung in elektronischer Form, so hat die Unterrichtung in elektronischer Form zu erfolgen.

(5)  Die Mitgliedstaaten legen fest, dass die Unterrichtung und jegliche im Zusammenhang mit einem Antrag nach den Absätzen 3 und 4 getroffene Maßnahme des für die Verarbeitung Verantwortlichen kostenfrei ist. Bei missbräuchlichen offenkundig unverhältnismäßigen Anträgen, und besonders im Fall ihrer Häufung oder ihres zu großen Umfangs oder Volumens, kann der für die Verarbeitung Verantwortliche angemessenes ein Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Durchführung der beantragten Maßnahme verlangen oder die beantragte Maßnahme unterlassen berücksichtigt werden . In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast offenkundig unverhältnismäßigen für den missbräuchlichen Charakter des Antrags.

(5a)  . Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann. Wurde die Aufsichtsbehörde auf Antrag der betroffenen Person tätig, unterrichtet sie die betroffene Person über die durchgeführten Überprüfungen. [Abänd. 73]

Artikel 11

Information der betroffenen Person

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle geeigneten Maßnahmen ergreift, um einer Person, von der personenbezogene Daten erhoben werden, zumindest Folgendes mitzuteilen mitteilt :

a)  den Namen sowie die Kontaktdaten des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten,

b)  die Rechtsgrundlage und die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind,

c)  die Speicherfrist,

d)  das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

e)  das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde gemäß Artikel 39 sowie deren Kontaktdaten,

f)  die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen, und die Angabe , wer nach dem Recht des betreffenden Drittlandes oder den Regeln der betreffenden internationalen Organisation befugt ist, auf die Daten zuzugreifen, das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, oder im Falle der in Artikel 35 oder 36 genannten Übermittlungen die Mittel, um eine Kopie der angemessenen Garantien, die für die Übermittlung verwendet wurden, zu erhalten ,

fa)  falls der für die Verarbeitung Verantwortliche Daten gemäß Artikel 9 Absatz 1 verarbeitet, Informationen über die Verarbeitung für die in Artikel 9 Absatz 1 beschriebene Maßnahme sowie die beabsichtigte Wirkung dieser Verarbeitung auf die betroffene Person, Angaben über die dem Profiling zugrunde liegende Methode und das Recht auf persönliche Prüfung,

fb)  Informationen in Bezug auf zum Schutz personenbezogener Daten vorgenommene Sicherheitsmaßnahmen, [Abänd. 74]

g)  sonstige Informationen, soweit diese die unter Berücksichtigung der spezifischen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2)  Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder freiwillig ist und welche mögliche Folgen die Zurückhaltung der Daten hätte.

(3)  Der für die Verarbeitung Verantwortliche erteilt die Auskünfte gemäß Absatz 1

a)  zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder

b)  im Fall, die Daten werden nicht bei der betroffenen Person erhoben, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

(4)  Die Mitgliedstaaten dürfen Rechtsvorschriften erlassen, die die Unterrichtung der betroffenen Person im Einzelfall zu folgenden Zwecken in einem solchen Umfang und so lange hinauszögern oder , einschränken oder unterbinden , wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

a)  zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

b)  zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten nicht beeinträchtigt oder dass strafrechtliche Sanktionen vollstreckt werden;

c)  zum Schutz der öffentlichen Sicherheit;

d)  zum Schutz der nationalen Sicherheit;

e)  zum Schutz der Rechte und Freiheiten anderer.

(5)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in jedem Einzelfall im Rahmen einer konkreten und individuellen Untersuchung feststellt, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang aus einem der Gründe gemäß Absatz 4 gilt. Die Mitgliedstaaten können zudem die Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 4 Buchstaben a, b, c und d vollständig oder teilweise zur Anwendung kommt. [Abänd. 74]

Artikel 12

Auskunftsrecht der betroffenen Person

(1)  Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht. Werden personenbezogene Daten verarbeitet, teilt der für die Verarbeitung Verantwortliche Folgendes mit, soweit diese Angaben nicht bereits übermittelt worden sind :

—a)  diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten und, falls zutreffend, verständliche Informationen über die einer automatisierten Verarbeitung zugrunde liegende Methode;

—aa)  die Tragweite der Verarbeitung und die mit ihr angestrebten Auswirkungen, zumindest im Fall der Maßnahmen gemäß Artikel 9;

a)  die Verarbeitungszwecke sowie die Rechtsgrundlage für die Verarbeitung ,

b)  die Kategorien personenbezogener Daten, die verarbeitet werden,

c)  die Empfänger oder Arten von Empfängern , an die die personenbezogenen Daten weitergegeben wurden, speziell bei Empfängern in Drittländern,

d)  die Speicherfrist,

e)  das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

f)  das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

g)  diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten. . Stellt die betroffene Person den Antrag in elektronischer Form, ist sie auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. [Abänd. 75]

(2)  Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu verlangen.

Artikel 13

Einschränkung des Auskunftsrechts

(1)  Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft, abhängig vom konkreten Fall, teilweise oder vollständig einschränken, soweit und solange diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft unbedingt notwendig und verhältnismäßig ist und den Grundrechten sowie den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

a)  zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

b)  zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

c)  zum Schutz der öffentlichen Sicherheit;

d)  zum Schutz der nationalen Sicherheit;

e)  zum Schutz der Rechte und Freiheiten anderer.

(2)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in jedem Einzelfall im Rahmen einer konkreten und individuellen Untersuchung prüft, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang aus einem der Gründe gemäß Absatz 1 gilt. Die Mitgliedstaaten können zudem gesetzlich Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 1 Buchstaben a bis d vollständig oder teilweise zur Anwendung kommt.

(3)  Für die in den Absätzen 1 und 2 genannten Fälle legen die Mitgliedstaaten fest, dass der für die Verarbeitung Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung der Auskunft und die Gründe hierfür beziehungsweise die Einschränkung der Auskunft sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten. Von der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung kann abgesehen werden, wenn dies einem der in Absatz 1 genannten Zwecke zuwiderliefe.

(4)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Überprüfung nach Absatz 2 sowie die Gründe für die Unterlassung Einschränkung der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung dokumentiert. Diese Angaben sind der einzelstaatlichen Aufsichtsbehörde zur Verfügung zu stellen. [Abänd. 76]

Artikel 14

Modalitäten der Wahrnehmung des Auskunftsrechts

(1)  Die Mitgliedstaaten legen fest, dass die betroffene Person besonders in den in Artikel  12 und 13 genannten Fällen jederzeit das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

(2)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

(3)  Nimmt die Aufsichtsbehörde das Recht nach Absatz 1 wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat. Die Aufsichtsbehörde hat zudem die betroffene Person über ihr Recht auf einen Rechtsbehelf zu informieren.

(3a)  Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann.

(3b)  Die Mitgliedstaaten sorgen dafür, dass dem für die Verarbeitung Verantwortlichen angemessenen Fristen zur Verfügung stehen, um auf den Antrag der betroffenen Person in Bezug auf ihr Auskunftsrecht zu antworten. [Abänd. 77]

Artikel 15

Recht auf Berichtigung

(1)  Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Berichtigung oder Vervollständigung von sie betreffenden unzutreffenden oder unvollständigen personenbezogenen Daten in Form einer Vervollständigung oder eines Korrigendums zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Daten, besonders in Form eines Korrigendums, zu verlangen.

(2)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Berichtigung oder Vervollständigung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

(2a)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche jeden Empfänger, der Zugang zu den Daten hat, über die Berichtigung informiert, es sei denn, dies erweist als unmöglich oder bedeutet einen unverhältnismäßigen Aufwand.

(2b)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die Berichtigung von unzutreffenden personenbezogenen Daten den Dritten, von denen die falschen Daten stammten, mitteilt.

(2c)  Die Mitgliedstaaten können festlegen, dass die betroffene Person diese Rechte auch über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann. [Abänd. 78]

Artikel 16

Recht auf Löschung

(1)  Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4 Buchstaben a bis e sowie von Artikel , 6,  7 und 8 dieser Richtlinie vereinbar ist.

(2)  Der für die Verarbeitung Verantwortliche nimmt die Löschung unverzüglich vor. Der für die Verarbeitung Verantwortliche unterlässt auch die Weiterverbreitung dieser Daten.

(3)  Anstatt die personenbezogenen Daten zu löschen, markiert kann der für die Verarbeitung Verantwortliche diese deren Verarbeitung beschränken , wenn

a)  ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

b)  die personenbezogenen Daten für Beweiszwecke oder den Schutz wesentlicher Interessen der betroffenen Person oder einer anderen Person weiter aufbewahrt werden müssen;

c)  die betroffene Person Einspruch gegen die Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert.

(3a)  Unterliegt die Verarbeitung personenbezogener Daten einer Beschränkung gemäß Absatz 3, unterrichtet der für die Verarbeitung Verantwortliche die betroffene Person, bevor er die Beschränkung aufhebt.

(4)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder der Markierung der die Beschränkung Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

(4a)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Empfänger, denen die Daten übermittelt wurden, über die Löschung oder Beschränkung gemäß Absatz 1 informiert, es sei denn, dies erweist als unmöglich oder bedeutet einen unverhältnismäßigen Aufwand. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person über diese Dritten.

(4b)  Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann.i [Abänd. 79]

Artikel 17

Rechte der betroffenen Person in strafrechtlichen Ermittlungen und in Strafverfahren

Die Mitgliedstaaten können vorsehen, dass für die Ausübung der in den Artikeln 11 bis 16 genannten Rechte auf Information, Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung das einzelstaatliche Strafprozessrecht zur Anwendung kommt, wenn es um personenbezogene Daten in einem Gerichtsbeschluss oder einem Gerichtsdokument geht, die in strafrechtlichen Ermittlungen und in Strafverfahren verarbeitet werden.

KAPITEL IV

FÜR DIE VERARBEITUNG VERANTWORTLICHER UND AUFTRAGSVERARBEITER

ABSCHNITT 1

ALLGEMEINE VERPFLICHTUNGEN

Artikel 18

Pflichten des für die Verarbeitung Verantwortlichen

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche sowohl zur Zeit der Festlegung der Mittel der Verarbeitung als auch zur Zeit der Verarbeitung selbst durch geeignete Strategien und Maßnahmen sicherstellt und für jeden Verarbeitungsvorgang in transparenter Art und Weise nachweisen kann , dass personenbezogene Daten in Übereinstimmung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet werden.

(2)  Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

a)  die in Artikel 23 genannte Dokumentation;

aa)  die Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 25a;

b)  die Umsetzung der nach Artikel 26 geltenden Anforderungen in Bezug auf die vorherige Zurateziehung;

c)  die Umsetzung der in Artikel 27 vorgesehenen Vorkehrungen für die Datensicherheit;

d)  die Benennung eines Datenschutzbeauftragten gemäß Artikel 30.

da)  gegebenenfalls Ausarbeitung und Implementierung spezifischer Garantien für die Verarbeitung personenbezogener Daten bei Kindern.

(3)  Der für die Verarbeitung Verantwortliche setzt geeignete Mechanismen zur Überprüfung der Wirksamkeit der in Absatz 1 genannten Maßnahmen ein. Die Überprüfung Angemessenheit und wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies verhältnismäßig ist. [Abänd. 80]

Artikel 19

Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

(1)  Die Mitgliedstaaten legen fest tragen dafür Sorge , dass der für die Verarbeitung Verantwortliche und gegebenenfalls der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der aktuellen technischen Kenntnisse, bewährter internationaler Verfahren und der bei der Durchführung entstehenden Kosten von der Verarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Zwecke und Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreift und Verfahren durchführt, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen der nach Maßgabe dieser Richtlinie erlassenen Vorschriften genügt und die Rechte der betroffenen Person gewahrt werden, insbesondere, was die in Artikel 4 aufgeführten Grundsätze betrifft . Beim Datenschutz durch Technik wird dem gesamten Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung besondere Aufmerksamkeit geschenkt und der Schwerpunkt systematisch auf umfassende Verfahrensgarantien hinsichtlich der Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit und Löschung personenbezogener Daten gelegt. Hat der für die Verarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung gemäß Artikel 25a vorgenommen, werden die entsprechenden Ergebnisse bei der Entwicklung dieser Maßnahmen und Verfahren berücksichtigt .

(2)  Der für die Verarbeitung Verantwortliche setzt Mechanismen ein stellt sicher , durch die sichergestellt wird, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen, vorgehalten oder verbreitet werden, als für diese Zwecke unbedingt nötig ist, und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden . Diese Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und dass die betroffenen Personen in der Lage sind, die Verbreitung ihrer personenbezogenen Daten zu kontrollieren . [Abänd. 81]

Artikel 20

Gemeinsam für die Verarbeitung Verantwortliche

(1)  Die Mitgliedstaaten schreiben vor, dass in allen Fällen, in denen ein für die Verarbeitung Verantwortlicher die Zwecke, die Bedingungen und die Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Stellen und Personen festlegt, diese gemeinsam für die Verarbeitung Verantwortlichen untereinander rechtsverbindlich vereinbaren, wer von ihnen welche der gemäß den nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu erfüllenden Aufgaben, insbesondere in Bezug auf die Verfahren und Mechanismen für die Wahrnehmung der Rechte der betroffenen Person, erfüllt.

(2)  Sofern die betroffenen Person nicht darüber unterrichtet worden ist, wer der gemeinsam für die Verarbeitung Verantwortlichen im Sinne des Absatzes 1 verantwortlich ist, kann die betroffene Person ihre im Rahmen dieser Richtlinie geltenden Rechte in Bezug auf und gegen zwei oder mehrere gemeinsam für die Verarbeitung Verantwortliche ausüben. [Abänd. 82]

Artikel 21

Auftragsverarbeiter

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen und Verfahren so durchgeführt werden, dass die Verarbeitung im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird, insbesondere in Bezug auf die technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen, die die durchzuführende Verarbeitung bestimmen, und dass die Vereinbarkeit mit diesen Vorkehrungen und Maßnahmen sichergestellt wird . [Abänd. 83]

(2)  Die Mitgliedstaaten legen fest, dass die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines Rechtsakts zu erfolgen hat, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem vor allem insbesondere vorgesehen ist, dass der Auftragsverarbeiter, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist,

a)  nur auf Weisung des für die Verarbeitung Verantwortlichen handelt. tätig wird;

b)  nur Mitarbeiter beschäftigt, die ihre Zustimmung zu einer Vertraulichkeitsverpflichtung gegeben haben oder die gesetzlich zur Vertraulichkeit verpflichtet sind;

c)  alle in Artikel 27 genannten erforderlichen Maßnahmen ergreift;

d)  einen anderen Auftragsverarbeiter nur mit Erlaubnis des für die Verarbeitung Verantwortlichen hinzuzieht und den für die Verarbeitung Verantwortlichen von dem Vorhaben, einen anderen Auftragsverarbeiter hinzuzuziehen, rechtzeitig in Kenntnis setzt, um es dem für die Verarbeitung Verantwortlichen zu ermöglichen, Widerspruch zu erheben;

e)  soweit es verarbeitungsbedingt möglich ist, in Absprache mit dem für die Verarbeitung Verantwortlichen die notwendigen technischen und organisatorischen Voraussetzungen dafür schafft, dass der für die Verarbeitung Verantwortliche seine Pflicht erfüllen kann, Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

f)  den für die Verarbeitung Verantwortlichen bei der Einhaltung der in den Artikeln 25 bis 29 genannten Pflichten unterstützt;

g)  nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse zurückgibt, die personenbezogenen Daten auf keine andere Weise weiterverarbeitet und bestehende Kopien löscht, es sei denn, in Rechtsvorschriften der Union oder der Mitgliedstaaten ist die Speicherung der Daten vorgesehen;

h)  dem für die Verarbeitung Verantwortlichen und der Aufsichtsbehörde alle erforderlichen Informationen für die Überprüfung der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt;

i)  den Grundsatz des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen berücksichtigt.

(2a)  Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter dokumentieren schriftlich die Anweisungen des für die Verarbeitung Verantwortlichen und die in Absatz 2 aufgeführten Pflichten des Auftragsverarbeiters.

(3)  Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den in Artikel 20 festgelegten Bestimmungen für gemeinsam für die Verarbeitung Verantwortliche.[Abänd. 83]

Artikel 22

Verarbeitung unter der Aufsicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters

(1)  Die Mitgliedstaaten legen fest, dass Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen oder nur dann verarbeiten dürfen, wenn das Unionsrecht oder das mitgliedstaatliche Recht dies vorschreibt.

(1a)  Wenn der Auftragsverarbeiter in Bezug auf die Zwecke, Mittel oder Methoden der Datenverarbeitung Entscheidungsbefugnis besitzt oder erhält oder wenn er nicht ausschließlich auf Weisung des für die Verarbeitung Verantwortlichen handelt, gilt er als gemeinsam für die Verarbeitung Verantwortlicher gemäß Artikel 20. [Abänd. 84]

Artikel 23

Dokumentation

(1)  Die Mitgliedstaaten legen fest, dass jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren dokumentieren.

(2)  Die Dokumentation enthält mindestens folgende Informationen:

a)  den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters;

aa)  bei gemeinsam für die Verarbeitung Verantwortlichen eine rechtsverbindliche Vereinbarung; eine Liste der Auftragsverarbeiter und der durch diese ausgeführten Aufgaben;

b)  die Verarbeitungszwecke;

ba)  Angaben zu den Teilen der Organisation des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, die mit der Verarbeitung der personenbezogenen Daten zu einem bestimmten Zweck beauftragt wurden;

bb)  eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;

c)  die Empfänger oder Arten von Empfängern der personenbezogenen Daten;

ca)  gegebenenfalls Informationen über die Existenz von Profiling, von auf Profiling basierenden Maßnahmen sowie von Mechanismen, um gegen Profiling Einspruch zu erheben;

cb)  verständliche Informationen über die Gründe einer automatischen Verarbeitung;

d)  Angaben über etwaige Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen. sowie Angaben über den Rechtsgrund für die Übermittlung der Daten; wird eine Übermittlung auf der Grundlage von Artikel 35 oder 36 dieser Richtlinie durchgeführt, ist dafür eine umfassende Erklärung abzugeben;

da)  die Fristen für die Löschung der verschiedenen Datenkategorien;

db)  die Ergebnisse der Prüfung von Maßnahmen gemäß Artikel 18 Absatz 1;

dc)  Angaben über die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind.

(3)  Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die gesamte Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung. [Abänd. 85]

Artikel 24

Aufzeichnung von Vorgängen

(1)  Die Mitgliedstaaten stellen sicher, dass mindestens über folgende Verarbeitungsvorgänge Buch geführt wird: Erhebung, Veränderung, Abfrage, Weitergabe, Kombination oder Löschung. Den Aufzeichnungen über Abfragen und Weiterleitungen müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die personenbezogenen Daten abgefragt oder weitergeleitet hat, sowie die Identität des Empfängers solcher Daten .

(2)  Die Aufzeichnungen dürfen nur zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten sowie zum Zweck der Überprüfung durch den Datenschutzbeauftragten oder die Datenschutzbehörde verwendet werden.

(2a)  Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die Aufzeichnungen der Aufsichtsbehörde auf Anforderung zur Verfügung. [Abänd. 86]

Artikel 25

Zusammenarbeit mit der Aufsichtsbehörde

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf Aufforderung mit der Aufsichtsbehörde bei der Erfüllung von deren Pflichten zusammenarbeiten, indem sie dieser insbesondere die in Artikel 46 Absatz 2 Buchstabe a genannten Informationen übermitteln, die sie zur Erfüllung ihrer Pflichten benötigt und den Zugang gemäß Artikel 46 Absatz 2 Buchstabe b gewähren .

(2)  Auf von der Aufsichtsbehörde im Rahmen der Ausübung ihrer Befugnisse erteilte Anordnungen gemäß Artikel 46 Absatz 1 Buchstaben a und b antworten der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter der Aufsichtsbehörde binnen einer angemessenen, von der Aufsichtsbehörde festgelegten Frist. Ihre Antwort umfasst auch eine Beschreibung der im Anschluss an die Bemerkungen der Aufsichtsbehörde getroffenen Maßnahmen und ihrer Ergebnisse. [Abänd. 87]

Artikel 25a

Datenschutz-Folgenabschätzung

(1)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vor neuen Verarbeitungsvorgängen oder im Fall bereits bestehender Verarbeitungsvorgänge so früh wie möglich eine Abschätzung der Folgen der vorgesehenen Verarbeitungssysteme und –verfahren für den Schutz der personenbezogenen Daten durchführt, wenn die Verarbeitungsvorgänge aufgrund ihrer Natur, ihres Anwendungsbereichs oder ihrer Bestimmungszwecke eine konkrete Gefahr für die Rechte und Freiheiten der betroffenen Personen darstellen können.

(2)  Insbesondere die folgenden Verarbeitungsvorgänge können die in Absatz 1 genannten konkreten Gefahren darstellen:

a)  die Verarbeitung personenbezogener Daten in groß angelegten Ablagesystemen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung;

b)  die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 8, personenbezogener Daten von Kindern sowie von biometrischen Daten und Standortdaten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung;

c)  die Bewertung einzelner personenbezogener Aspekte einer natürlichen Person oder zur Analyse oder Prognose insbesondere des Verhaltens der natürlichen Person, die auf automatischer Verarbeitung basiert und zu Maßnahmen führen kann, die rechtliche Wirkungen auf die Einzelperson haben oder erhebliche Auswirkungen für die Einzelperson nach sich ziehen;

d)  Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Einrichtungen (Videoüberwachung); oder

e)  sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 26 Absatz 1 vorab die Aufsichtsbehörde zu Rate zu ziehen ist.

(3)  Die Abschätzung enthält zumindest Folgendes:

a)  eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;

b)  eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c)  eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Gefahren und die geplanten Abhilfemaßnahmen und Maßnahmen zur Minimierung der Menge der verarbeiteten personenbezogenen Daten;

d)  Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die nach Maßgabe dieser Richtlinie erlassenen Vorschriften eingehalten werden, wobei den Rechten und den berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird;

e)  eine allgemeine Angabe der Fristen für die Löschung der verschiedenen Datenkategorien;

f)  gegebenenfalls eine Liste mit Angaben über geplante Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen sowie bei den in Artikel 36 Absatz 2 genannten Datenübermittlungen ein Beleg dafür, dass geeignete Sicherheitsgarantien vorgesehen wurden;

(4)  Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten benannt hat, ist dieser am Verfahren der Folgenabschätzung zu beteiligen.

(5)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in Bezug auf die geplante Verarbeitung eine öffentliche Konsultation durchführt, ohne den Schutz der öffentlichen Interessen oder die Sicherheit der Verarbeitungsvorgänge zu beeinträchtigen.

(6)  Die Folgenabschätzung ist der Öffentlichkeit leicht zugänglich zu machen, ohne den Schutz der öffentlichen Interessen oder die Sicherheit der Verarbeitungsvorgänge zu beeinträchtigen.

(7)  Der Kommission wird die Befugnis übertragen, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Bedingungen von Verarbeitungsvorgängen, die die in Absatz 1 und 2 genannten Gefahren bergen können, sowie die Anforderungen für eine Abschätzung gemäß Absatz 3, einschließlich der Skalierbarkeit, Überprüfung und Auditierbarkeit, weiter zu spezifizieren. [Abänd. 88]

Artikel 26

Vorherige Zurateziehung der Aufsichtsbehörde

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateien die Aufsichtsbehörde zu Rate zieht, damit die Vereinbarkeit der geplanten Verarbeitung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Gefahren gemindert werden, wenn

a)  in Artikel 8 genannte besondere Kategorien von Daten verarbeitet werden aus einer Datenschutz-Folgenabschätzung nach Artikel 25a hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke erhebliche konkrete Risiken bergen können; oder

b)  wegen der Art der Verarbeitung, insbesondere der Verarbeitung mit neuen Technologien, Mechanismen die Aufsichtsbehörde eine vorherige Zurateziehung bezüglich konkreter Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs oder Verfahren, andernfalls spezifische Risiken ihrer Zwecke konkrete Gefahren für die Grundrechte und Grundfreiheiten der betroffenen Rechte und Freiheiten betroffener Personen, insbesondere für den Schutz ihrer personenbezogener Daten bestehen bergen können , für erforderlich hält .

(1a)  Falls die Aufsichtsbehörde im Rahmen ihrer Befugnisse feststellt, dass die geplante Verarbeitung nicht im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften steht, insbesondere weil die Gefahren unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

(2)  Die Mitgliedstaaten können festlegen legen fest , dass die Aufsichtsbehörde nach Anhörung des Europäischen Datenschutzausschusses eine Liste der Verarbeitungsvorgänge erstellt, die der Pflicht zur vorherigen Zurateziehung nach Absatz 1 Buchstabe b unterliegen.

(2a)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter der Aufsichtsbehörde die Datenschutz-Folgenabschätzung gemäß Artikel 25a vorlegt und ihr auf Aufforderung alle sonstigen Informationen übermittelt, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

(2b)  Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften steht oder die Gefahren unzureichend ermittelt wurden oder eingedämmt werden, unterbreitet sie geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

(2c)  Die Mitgliedstaaten können die Aufsichtsbehörde bei der Ausarbeitung einer von ihren einzelstaatlichen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate ziehen, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Richtlinie sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Gefahren gemindert werden. [Abänd. 89]

ABSCHNITT 2

DATENSICHERHEIT

Artikel 27

Sicherheit der Verarbeitung

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen treffen und Verfahren umsetzt , die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

(2)  Die Mitgliedstaaten legen im Hinblick auf die automatisierte Datenverarbeitung fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreifen, die Folgendes bezwecken:

a)  Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, für Unbefugte (Zugangskontrolle);

b)  Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);

c)  Verhinderung der unbefugten Eingabe von Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);

d)  Verhinderung der Nutzung automatisierter Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);

e)  Gewährleistung, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

f)  Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übermittlungskontrolle);

g)  Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

h)  Verhinderung, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

i)  Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);

j)  Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

ja)  Gewährleistung des Vorhandenseins zusätzlicher Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten gemäß Artikel 8, um ein situationsbezogenes Risikobewusstsein sowie die Fähigkeit sicherzustellen, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten;

(2a)  Die Mitgliedstaaten sehen vor, dass zum Auftragsverarbeiter nur bestimmt werden darf, wer Gewähr dafür bietet, dass er die erforderlichen technischen und organisatorischen Maßnahmen nach Absatz 1 trifft und Weisungen nach Artikel 21 Absatz 2 Buchstabe a beachtet. Die zuständige Behörde hat den Auftragsverarbeiter daraufhin zu überwachen.

(3)  Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen. [Abänd. 90]

Artikel 28

Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung unverzüglich und nach Möglichkeit binnen 24 Stunden nach deren Feststellung melden muss. Falls die Meldung nicht binnen 24 Stunden erfolgt, Im Fall der Verspätung legt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde auf Aufforderung eine Begründung vor.

(2)  Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unmittelbar unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

(3)  Die in Absatz 1 genannte Meldung muss mindestens folgende Informationen enthalten:

a)  eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

b)  Name und Kontaktdaten des in Artikel 30 genannten Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

c)  Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

d)  eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;

e)  eine Beschreibung der Maßnahmen, die der vom für die Verarbeitung Verantwortliche infolge Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten vorgeschlagen oder ergriffen hat und zur Minderung ihrer Auswirkungen .

Können nicht alle Informationen unverzüglich bereitgestellt werden, kann der für die Verarbeitung Verantwortliche die Meldung in einer zweiten Stufe vervollständigen.

(4)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. Die Dokumentation muss umfassend genug sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

(4a)  Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen.

(5)  Die Kommission ist ermächtigt, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Anforderungen für die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten und für die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen. [Abänd. 91]

(6)  Die Kommission kann eine Standardvorlage für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für Meldungen sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

Artikel 29

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

(1)  Die Mitgliedstaaten legen fest tragen dafür Sorge , dass dann, wenn derSchutz der personenbezogenen Daten, der Privatsphäre, der Rechte oder der berechtigten Interessen der betroffenen Person durch eine Verletzung des Schutzes personenbezogener Daten beeinträchtigt werden kann, der für die Verarbeitung Verantwortliche im Anschluss an die Meldung nach Artikel 28 die betroffene Person ohne unangemessene Verzögerung unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigt, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird .

(2)  Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst eine Beschreibung ist umfassend, klar und für jedermann verständlich. Sie beschreibt die Art der Verletzung personenbezogener des Schutzes der personenbezogenen Daten sowie und umfasst mindestens die in Artikel 28 Absatz 3 Buchstaben b und c Buchstaben b, c und d genannten Informationen und Empfehlungen sowie Informationen über die Rechte betroffener Personen einschließlich der Rechtsbehelfe .

(3)  Die Benachrichtigung der betroffenen Person von der Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die keine Zugriffsberechtigung haben.

(3a)  Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht über die Verletzung des Schutzes personenbezogener Daten in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

(4)  Die Benachrichtigung der betroffenen Person kann aus den in Artikel 11 Absatz 4 genannten Gründen aufgeschoben, eingeschränkt oder unterlassen oder werden. [Abänd. 92]

ABSCHNITT 3

DATENSCHUTZBEAUFTRAGTER

Artikel 30

Benennung eines Datenschutzbeauftragten

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten benennt.

(2)  Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 32 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

(2a)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

(2b)  Der Datenschutzbeauftragte wird für einen Zeitraum von mindestens vier Jahren ernannt. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Amtes nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

(2c)  Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, den Datenschutzbeauftragten im Zusammenhang mit allen Fragen bezüglich der Verarbeitung ihrer personenbezogenen Daten zu kontaktieren.

(3)  Der Datenschutzbeauftragte kann unter Berücksichtigung der Struktur der zuständigen Behörde für mehrere Stellen benannt werden.

(3a)  Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Namen und die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde und der Öffentlichkeit mitteilt. [Abänd. 93]

Artikel 31

Stellung des Datenschutzbeauftragten

(1)  Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in die Behandlung aller mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2)  Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte die Mittel erhält, die er zur wirksamen und unabhängigen Erfüllung seiner Pflichten und Aufgaben gemäß Artikel 32 benötigt, und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält.

(2a)  Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und stellt alle Mittel, darunter Mitarbeiter, Räumlichkeiten, Anlagen, fortlaufende Schulungsmaßnahmen und andere Mittel, zur Verfügung, die zur Erfüllung der in Artikel 32 genannten Aufgaben sowie zur Erhaltung des Fachwissens des Datenschutzbeauftragten nötig sind. [Abänd. 94]

Artikel 32

Aufgaben des Datenschutzbeauftragten

Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Datenschutzbeauftragten mit mindestens folgenden Aufgaben betraut:

a)  Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen Pflichten aus den nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere in Bezug auf technische und organisatorische Maßnahmen und Verfahren, sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten;

b)  Überwachung der Umsetzung und Anwendung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der diesbezüglichen Überprüfungen;

c)  Überwachung der Umsetzung und Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere der Anforderungen in Bezug auf den Datenschutz durch Technik oder durch datenschutzfreundliche Voreinstellungen, die Datensicherheit, die Information der betroffenen Personen und deren Anträge im Zusammenhang mit der Wahrnehmung ihrer Rechte aus den vorstehend genannten Vorschriften;

d)  Sicherstellung, dass die in Artikel 23 genannte Dokumentation vorgenommen wird;

e)  Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 28 und 29;

f)  Überwachung der Anwendung der Datenschutz-Folgenabschätzung durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter sowie der Erfüllung der Anforderung der vorherigen Zurateziehung der Aufsichtsbehörde , soweit dies nach Artikel 26 Absatz 1 erforderlich ist;

g)  Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten im Rahmen der Zuständigkeiten des Datenschutzbeauftragten;

h)  Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung sowie gegebenenfalls Zurateziehung der Aufsichtsbehörde auf eigene Initiative.[Abänd. 95]

KAPITEL V

ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN

Artikel 33

Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

1.  Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, einschließlich der Weitergabe an ein anderes Drittland oder eine andere internationale Organisation, nur zulässig ist, wenn

a)  die konkrete Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist und

aa)  die Daten an einen für die Verarbeitung Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde ist, übermittelt werden; und

ab)  der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel festgelegten Bedingungen einschließlich derer für die Weitergabe personenbezogener Daten vom Drittland oder einer internationalen Organisation in ein anderes Drittland oder an eine andere internationale Organisation einhalten; und

b)  der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen anderen nach Maßgabe dieser Richtlinie erlassenen Vorschriften einhalten. ; und

ba)  das Schutzniveau für personenbezogene Daten, das in der Union im Rahmen dieser Richtlinie sichergestellt ist, nicht untergraben wird; und

bb)  die Kommission im Rahmen der in Artikel 34 festgelegten Bedingungen und Verfahren entschieden hat, dass das betreffende Drittland oder die betreffende Organisation für ein angemessenes Schutzniveau sorgt; oder

bc)  in einem rechtsverbindlichen Instrument gemäß Artikel 35 geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind.

2.  Die Mitgliedstaaten sehen vor, dass in Absatz 1 dieses Artikels erwähnte Weitergaben nur möglich sind, wenn zusätzlich zu den in jenem Absatz festgelegten Bedingungen

a)  die Weitergabe zu demselben spezifischen Zweck wie die ursprüngliche Übermittlung notwendig ist und

b)  die zuständige Behörde, die die ursprüngliche Übermittlung vorgenommen hat, die Weitergabe genehmigt. [Abänd. 96]

Artikel 34

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1)  Die Mitgliedstaaten sehen vor, dass personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Kommission gemäß Artikel 41 der Verordnung (EU) Nr. …/2012 oder gemäß Absatz 3 festgestellt hat, dass das betreffende Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner weiteren besonderen Genehmigung.

(2)  Liegt kein Beschluss nach Artikel 41 der Verordnung (EU) Nr. …./2012 vor, prüft die Kommission die Bei der Prüfung der Angemessenheit des Schutzniveaus unter Berücksichtigung berücksichtigt die Kommission

a)  der die Rechtsstaatlichkeit, der , die geltenden allgemeinen und sektorspezifischen Vorschriften ( Rechtsvorschriften, insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht) , die Durchsetzung dieser Vorschriften, die sowie der in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Sicherheitsvorschriften, juristische Präzedenzfälle, sowie der die Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden,

b)  der die Existenz und der die Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften einschließlich hinreichender Sanktionsbefugnisse , für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind, und

c)  der die von dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen, insbesondere rechtlich verbindliche Übereinkommen oder Instrumente in Bezug auf den Schutz personenbezogener Daten .

(3)  Die Kommission kann Der Kommission wird die Befugnis übertragen, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte gemäß Artikel 56 zu erlassen, um innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen festzustellen , dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

(4)  In jedem Durchführungsrechtsakt delegierten Rechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

(4a)  Entwicklungen, die Auswirkungen auf die Erfüllung der in Absatz 2 genannten Elemente in Drittländern und internationalen Organisationen, für die ein delegierter Rechtsakt nach Artikel 3 erlassen wurde, haben könnten, werden von der Kommission kontinuierlich überwacht.

(5)  Die Kommission kann wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen festzustellen , dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 oder – in Fällen, in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren – nach dem Verfahren gemäß Artikel 57 Absatz 3 erlassen.

(6)  Die Mitgliedstaaten stellen sicher, dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Übermittlungen nach Artikel 35 Absatz 1 oder Artikel 36 untersagt wird, wenn die Kommission eine Feststellung im Sinne des Absatzes 5 trifft. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

(7)  Die Kommission veröffentlicht im Amtsblatt der Europäischen Union eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren in diesen Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

(8)  Die Kommission überwacht die Anwendung der in den Absätzen 3 und 5 genannten Durchführungsrechtsakte delegierten Rechtsakte . [Abänd. 97]

Artikel 35

Datenübermittlung auf der Grundlage geeigneter Garantien

(1)  Hat die Kommission keinen Beschluss nach Artikel 34 erlassen oder hat sie festgestellt , sorgen die Mitgliedstaaten dafür, dass ein Drittland beziehungsweise ein Gebiet eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz im Einklang mit Artikel 34 Absatz 5 bietet, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nur dann personenbezogene Daten an einen Empfänger in einem in ein Drittland beziehungsweise ein Gebiet eines Drittlands oder an eine internationale Organisation übermittelt werden dürfen übermitteln , wenn er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.

a)  in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder

b)  der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.

(2)  Die Entscheidung über eine Datenübermittlung nach Absatz 1 Buchstabe b wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Solche Datenübermittlungen müssen dokumentiert werden, und die Dokumentation muss Diese Übermittlungen müssen vor ihrer Durchführung von der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt genehmigt werden. [Abänd. 98]

Artikel 36

Ausnahmen

(1)  Stellt die Kommission gemäß Artikel 34 Absatz 5 fest, dass kein angemessenes Schutzniveau besteht, unterbleibt die Übermittlung personenbezogener Daten an das betreffende Drittland oder an die betreffende internationale Organisation, wenn im konkreten Fall die berechtigten Interessen der betroffenen Person am Ausschluss der Übermittlung das öffentliche Interesse an der Datenübermittlung überwiegen.

(2)  Abweichend von den Artikeln 34 und 35 sehen die Mitgliedstaaten vor, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Übermittlung

a)  zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b)  nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

c)  zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

d)  zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

e)  in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

(2a)  Die Verarbeitung gemäß Absatz 2 muss über eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, verfügen, wobei die Rechtsvorschriften dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer entsprechen, den Wesensgehalt des Rechtes auf Schutz personenbezogener Daten achten und in einem angemessenen Verhältnis zum rechtmäßigen Ziel stehen müssen.

(2b)  Alle Übermittlungen personenbezogener Daten, die auf Grundlage von Ausnahmen veranlasst wurden, müssen hinreichend begründet und auf den unbedingt erforderlichen Umfang beschränkt sein; wiederholte Massenübermittlungen von Daten sind nicht zulässig.

(2c)  Die Entscheidung über eine Datenübermittlung nach Absatz 2 wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Diese Übermittlungen müssen dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übertragung, Informationen über die Empfängerbehörde, Begründung der Übermittlung und übermittelte Daten der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt werden.

Artikel 37

Besondere Bedingungen für die Übermittlung personenbezogener Daten

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden. Des Weiteren muss der für die Verarbeitung Verantwortliche den Empfänger der personenbezogenen Daten über alle vorgenommenen Aktualisierungen, Berichtigungen und Löschungen der Daten in Kenntnis setzen, wobei der Empfänger im Fall nachfolgender Übermittlungen ebenso vorgehen muss. [Abänd. 100]

Artikel 38

Internationale Zusammenarbeit zum Schutz personenbezogener Daten

(1)  In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Mitgliedstaaten geeignete Maßnahmen zur

a)  Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert gewährleistet wird, [Abänd. 101]

b)  gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Mitteilungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,

c)  Einbindung maßgeblich Beteiligter in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,

d)  Förderung des Austausches und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten.

da)  Klärung und Beratung von Zuständigkeitskonflikten mit Drittländern. [Abänd. 102]

(2)  Zu den in Absatz 1 genannten Zwecken ergreift die Kommission geeignete Maßnahmen zur Förderung der Beziehungen zu Drittländern und internationalen Organisationen und insbesondere zu deren Aufsichtsbehörden, wenn sie gemäß Artikel 34 Absatz 3 durch Beschluss festgestellt hat, dass sie einen angemessenen Schutz bieten.

Artikel 38a

Bericht der Kommission

Die Kommission erstattet dem Europäischen Parlament und dem Rat in regelmäßigen Abständen Bericht über die Anwendung von Artikel 33 bis 38. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Hierzu kann die Kommission von den Mitgliedstaaten und den Aufsichtsbehörden Informationen einholen, die unverzüglich zu übermitteln sind. Der Bericht wird veröffentlicht. [Abänd. 103]

KAPITEL VI

UNABHÄNGIGE AUFSICHTSBEHÖRDEN

ABSCHNITT 1

UNABHÄNGIGKEIT

Artikel 39

Aufsichtsbehörde

(1)  Jeder Mitgliedstaat trägt dafür Sorge, dass eine oder mehrere Behörden für die Überwachung der Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zuständig sind und einen Beitrag zu ihrer einheitlichen Anwendung in der Union leisten, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten geschützt und der freie Verkehr dieser Daten in der Union erleichtert wird. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden mit der Kommission sowie der Aufsichtsbehörden untereinander.

(2)  Die Mitgliedstaaten können vorsehen, dass die gemäß der Verordnung (EU) Nr. …./2012 in den Mitgliedstaaten errichtete Aufsichtsbehörde die Verantwortung für die Aufgaben der nach Absatz 1 zu errichtenden Aufsichtsbehörde übernimmt.

(3)  Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die im Interesse einer effektiven Mitwirkung dieser Behörden im Europäischen Datenschutzausschuss als zentrale Kontaktstelle fungiert.

Artikel 40

Unabhängigkeit

(1)  Die Mitgliedstaaten stellen sicher, dass die Aufsichtsbehörde bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse vorbehaltlich der Vorkehrungen für die Zusammenarbeit gemäß Kapitel VII dieser Richtlinie völlig unabhängig handelt. [Abänd. 104]

(2)  Jeder Mitgliedstaat sieht vor, dass die Mitglieder der Aufsichtsbehörde in Ausübung ihres Amts weder um Weisung ersuchen noch Weisungen entgegennehmen und vollständige Unabhängigkeit und Unparteilichkeit bewahren . [Abänd. 105]

(3)  Die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.

(4)  Die Mitglieder der Aufsichtsbehörde handeln nach Ablauf ihrer Amtszeit im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend.

(5)  Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde mit angemessenen personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und mit der erforderlichen Infrastruktur ausgestattet wird, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und aktiven Mitwirkung im Europäischen Datenschutzausschuss effektiv wahrnehmen zu können.

(6)  Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde über eigenes Personal verfügt, das von ihrem Leiter ernannt wird und ihm untersteht.

(7)  Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt. Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde über einen eigenen jährlichen Haushalt verfügt. Die Haushaltspläne werden veröffentlicht.

Artikel 41

Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass die Mitglieder der Aufsichtsbehörde entweder vom Parlament oder von der Regierung des betreffenden Mitgliedstaats ernannt werden.

(2)  Die Mitglieder werden aus einem Kreis von Personen ausgewählt, an deren Unabhängigkeit kein Zweifel besteht, und die nachweislich über die für die Erfüllung ihrer Aufgaben erforderliche Erfahrung und Sachkunde verfügen.

(3)  Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder seiner Enthebung aus dem Amt gemäß Absatz 4.

(4)  Ein Mitglied kann vom zuständigen nationalen Gericht seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder anderer an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn es die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

(5)  Endet die Amtszeit des Mitglieds oder tritt es zurück, übt es sein Amt so lange aus, bis ein neues Mitglied ernannt ist.

Artikel 42

Vorschriften für die Errichtung der Aufsichtsbehörde

Jeder Mitgliedstaat regelt durch Gesetz:

a)  die Errichtung der Aufsichtsbehörde und ihre Stellung gemäß den Artikeln 39 und 40,

b)  die Qualifikation, Erfahrung und fachliche Eignung, die zur Wahrnehmung der Aufgaben eines Mitglieds der Aufsichtsbehörde notwendig ist,

c)  die Vorschriften und Verfahren für die Ernennung der Mitglieder der Aufsichtsbehörde und zur Bestimmung der Handlungen und Tätigkeiten, die mit ihrem Amt unvereinbar sind,

d)  die Amtszeit der Mitglieder der Aufsichtsbehörde, die mindestens vier Jahre beträgt; dies gilt nicht für die erste Amtszeit nach Inkrafttreten dieser Richtlinie, die für einen Teil der Mitglieder kürzer sein kann,

e)  ob die Mitglieder der Aufsichtsbehörde wiederernannt werden können,

f)  die Regelungen und allgemeinen Bedingungen für das Amt eines Mitglieds und die Aufgaben der Bediensteten der Aufsichtsbehörde,

g)  die Regeln und Verfahren für die Beendigung des Amts der Mitglieder der Aufsichtsbehörde, auch für den Fall, dass sie die Voraussetzungen für die Ausübung ihres Amts nicht mehr erfüllen oder eine schwere Verfehlung begangen haben.

Artikel 43

Verschwiegenheitspflicht

Die Mitgliedstaaten sehen vor, dass die Mitglieder und die Bediensteten der Aufsichtsbehörde während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung verpflichtet sind, gemäß den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren und ihre Aufgaben mit der Unabhängigkeit und Transparenz gemäß dieser Richtlinie wahrzunehmen . [Abänd. 106]

ABSCHNITT 2

AUFGABEN UND BEFUGNISSE

Artikel 44

Zuständigkeit

(1)  Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet befugt ist, die ihr nach Maßgabe dieser Richtlinie übertragenen Aufgaben wahrzunehmen und Befugnisse ausübt auszuüben . [Abänd. 107]

(2)  Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde nicht für die Überwachung der von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Verarbeitungen zuständig ist.

Artikel 45

Aufgaben

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass die Aufsichtsbehörde

a)  die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

b)  sich der Beschwerden von betroffenen Personen oder von Verbänden annimm t, die diese Personen gemäß Artikel 50 vertreten und von diesen hierzu ordnungsgemäß bevollmächtigt wurden annimmt , die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

c)  die Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 14 überprüft und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung unterrichtet oder ihr die Gründe mitteilt, aus denen die Überprüfung nicht vorgenommen wurde;

d)  anderen Aufsichtsbehörden Amtshilfe leistet und die einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

e)  Untersuchungen, Inspektionen und Prüfungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet;

f)  relevante Entwicklungen verfolgt, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;

g)  von den Organen und Einrichtungen der Mitgliedstaaten zu Rechts- und Verwaltungsmaßnahmen konsultiert wird, die den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Gegenstand haben;

h)  zu Verarbeitungsvorgängen gemäß Artikel 26 konsultiert wird;

i)  an den Tätigkeiten des Europäischen Datenschutzausschusses mitwirkt.

(2)  Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

(3)  Die Aufsichtsbehörde berät auf Antrag jede betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, und arbeitet zu diesem Zweck gegebenenfalls mit den Aufsichtsbehörden anderer Mitgliedstaaten zusammen.

(4)  Für die in Absatz 1 Buchstabe b genannten Beschwerden stellt die Aufsichtsbehörde ein Beschwerdeformular zur Verfügung, das elektronisch oder auf anderem Wege ausgefüllt werden kann.

(5)  Die Mitgliedstaaten sorgen dafür, dass die Leistungen der Aufsichtsbehörde für die betroffene Person kostenlos sind.

(6)  Bei missbräuchlichen offensichtlich unverhältnismäßigen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine angemessene Gebühr verlangen oder davon absehen, die von der betroffenen Person beantragte Maßnahme zu treffen . Diese Gebühr übersteigt nicht die Kosten der beantragten Maßnahmen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den missbräuchlichen unverhältnismäßigen Charakter des Antrags. [Abänd. 108]

Artikel 46

Befugnisse

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass jede Aufsichtsbehörde insbesondere über folgende Befugnisse verfügt über :

a)  Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller den für die Erfüllung ihrer Aufsichtspflichten erforderlichen Informationen Verarbeitung Verantwortlichen oder den Auftragsverarbeiter auf einen mutmaßlichen Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten hinzuweisen und ihn gegebenenfalls anzuweisen, diesem Verstoß in einer bestimmten Weise abzuhelfen, um den Schutz der betroffenen Person zu verbessern ;

b)  wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, vor der Durchführung der Verarbeitung Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Beschränkung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die nationalen Parlamente oder andere politische Institutionen zu befassen anzuweisen, dem Ersuchen einer betroffenen Person auf Ausübung ihrer im Rahmen dieser Richtlinie geltenden Rechte einschließlich der Rechte gemäß Artikel 12 bis 17, wenn ein solches Ersuchen unter Verletzung der Bestimmungen dieser Verordnung abgelehnt wurde, nachzukommen ;

c)  das Klagerecht den für die Verarbeitung Verantwortlichen oder eine Anzeigebefugnis bei Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften. den Auftragsverarbeiter anzuweisen, Informationen gemäß Artikel 10 Absätze 1 und 2 sowie den Artikeln 11, 28 und 29 zur Verfügung zu stellen;

d)  die Befolgung von Stellungnahmen zur vorherigen Zurateziehung im Sinne von Artikel 26 sicherzustellen;

e)  den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter zu ermahnen oder zu verwarnen,

f)  die Berichtigung, Löschung oder Vernichtung aller Daten, die unter Verletzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet wurden, anzuordnen und solche Maßnahmen Dritten, an die diese Daten weitergegeben wurden, mitzuteilen;

g)  die Verarbeitung vorübergehend oder endgültig zu verbieten;

h)  die Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation zu unterbinden;

i)  die einzelstaatlichen Parlamente, die Regierung oder andere öffentliche Institutionen sowie die Öffentlichkeit über die Sache zu informieren.

(2)  Jede Aufsichtsbehörde kann kraft ihrer Untersuchungsbefugnis vom für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter Folgendes verlangen:

a)  Zugriff auf alle personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufsichtspflicht notwendig sind,

b)  Zugang zu allen Räumlichkeiten einschließlich aller Anlagen und Mittel zur Datenverarbeitung gemäß einzelstaatlichem Recht, wenn es berechtigte Gründe für die Annahme gibt, dass dort Tätigkeiten durchgeführt werden, die die nach Maßgabe dieser Richtlinie erlassenen Vorschriften verletzen, vorbehaltlich einer richterlichen Ermächtigung, soweit diese nach einzelstaatlichem Recht vorgesehen ist.

(3)  Unbeschadet von Artikel 43 tragen die Mitgliedstaaten Sorge, dass keine zusätzlichen Geheimhaltungsanforderungen auf Antrag von Aufsichtsbehörden erlassen werden.

(4)  Die Mitgliedstaaten können zusätzliche Sicherheitsüberprüfungen nach einzelstaatlichem Recht für den Zugang zu Verschlusssachen der Geheimhaltungsstufe EU CONFIDENTIAL oder höher vorsehen. Ist nach dem Recht des Mitgliedstaats der betreffenden Aufsichtsbehörde keine zusätzliche Sicherheitsüberprüfung gefordert, ist dies von allen anderen Mitgliedstaaten anzuerkennen.

(5)  Jede Aufsichtsbehörde ist befugt, Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften bei Justizbehörden zur Anzeige zu bringen und sich an Gerichtsverfahren zu beteiligen, und hat das Recht, gemäß Artikel 53 Absatz 2 vor dem zuständigen Gericht Klage zu erheben.

(6)  Jede Aufsichtsbehörde hat die Befugnis, bei Ordnungswidrigkeiten Sanktionen zu verhängen. [Abänd. 109]

Artikel 46a

Meldung von Verstößen

(1)  Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden Leitlinien des Europäischen Datenschutzausschusses gemäß Artikel 66 Absatz 4b der Verordnung (EU) Nr. ..../2013 berücksichtigen und wirksame Vorkehrungen treffen, um vertrauliche Meldungen über Verletzungen der Verordnung zu fördern.

(2)  Die Mitgliedstaaten sorgen dafür, dass die zuständigen Behörden wirksame Vorkehrungen treffen, um vertrauliche Meldungen über Verletzungen der Verordnung zu fördern. [Abänd. 110]

Artikel 47

Tätigkeitsbericht

Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde mindestens alle zwei Jahre einen Jahresbericht Bericht über ihre Tätigkeit erstellt. Der Bericht wird der Öffentlichkeit, dem entsprechenden Parlament, der Kommission und dem Europäischen Datenschutzbeauftragten Datenschutzausschuss zugänglich gemacht. Er enthält Informationen darüber, inwieweit zuständige Behörden in ihrem Territorium für die Ermittlung und Verfolgung von Straftaten Daten abgerufen haben, die von nicht-öffentlichen Stellen verwaltet werden. [Abänd. 111]

KAPITEL VII

ZUSAMMENARBEIT

Artikel 48

Amtshilfe

(1)  Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden einander Amtshilfe gewähren, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften einheitlich anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf aufsichtsbezogene Maßnahmen und Auskunftsersuchen, beispielsweise Ersuchen um vorherige Konsultation, um Vornahme von Nachprüfungen oder Untersuchungen.

(2)  Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden alle geeigneten Maßnahmen ergreifen, um dem Ersuchen einer anderen Aufsichtsbehörde nachzukommen. Solche Maßnahmen können insbesondere die Übermittlung relevanter Informationen oder Durchsetzungsmaßnahmen umfassen, um die Einstellung oder das Verbot von Verarbeitungsvorgängen, die im Widerspruch zu dieser Richtlinie stehen, ohne Verzögerung und spätestens einen Monat nach Erhalt des Ersuchens zu erreichen.

(2a)  Das Amtshilfeersuchen enthält alle erforderlichen Informationen, darunter Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für die Angelegenheit verwendet, für die sie angefordert wurden.

(2b)  Die Aufsichtsbehörde, an die ein Amtshilfeersuchen gerichtet wird, kann dieses nur ablehnen, wenn

a)  sie für das betreffende Ersuchen nicht zuständig ist, oder

b)  es nicht mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften vereinbar wäre, dem Ersuchen stattzugeben.

(3)  Die Aufsichtsbehörde, an die das Ersuchen gerichtet wurde, informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen.

(3a)  Die Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, auf elektronischem Wege und so schnell wie möglich unter Verwendung eines standardisierten Formats.

(3b)  Maßnahmen, die aufgrund eines Amtshilfeersuchens getroffen werden, sind gebührenfrei. [Abänd. 112]

Artikel 48a

Gemeinsame Maßnahmen

(1)  Um die Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden auszubauen, sorgen die Mitgliedstaaten dafür, dass die Aufsichtsbehörden gemeinsame Durchsetzungsmaßnahmen und andere gemeinsame Einsatzformen durchführen können, an denen bestimmte Mitglieder oder Mitarbeiter der Aufsichtsbehörden anderer Mitgliedstaaten an Einsätzen innerhalb des Hoheitsgebiets eines Mitgliedstaats teilnehmen können.

(2)  Die Mitgliedstaaten legen fest, dass, in Fällen, in denen Verarbeitungsvorgänge Auswirkungen auf betroffene Personen in einem anderen Mitgliedstaat oder in anderen Mitgliedstaaten haben können, die zuständige Aufsichtsbehörde zur Teilnahme an gemeinsamen Einsätzen aufgefordert werden kann. Die zuständige Aufsichtsbehörde kann jede der Aufsichtsbehörden in den verschiedenen Mitgliedstaaten zur Teilnahme an einem bestimmten Einsatz auffordern, und im Falle einer Einladung zur Teilnahme durch eine andere Aufsichtsbehörde, hat sie auf das Ersuchen unverzüglich zu antworten.

(3)  Die Mitgliedstaaten legen die praktischen Aspekte bestimmter gemeinsamer Einsatzformen fest. [Abänd. 113]

Artikel 49

Aufgaben des Europäischen Datenschutzausschusses

(1)  Der mit Verordnung (EU) Nr. …./2012 2013 eingerichtete Europäische Datenschutzausschuss nimmt in Bezug auf Verarbeitungsvorgänge im Anwendungsbereich dieser Richtlinie folgende Aufgaben wahr:

a)  Beratung der Kommission Organe der Union in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

b)  Prüfung auf Ersuchen der Kommission, des Europäischen Parlaments oder des Rates, von sich aus oder auf Antrag eines seiner Mitglieder aller Fragen, die die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften betreffen, sowie Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zur Förderung einer einheitlichen Anwendung dieser Vorschriften, unter anderem zur Anwendung von Durchsetzungsbefugnissen ;

c)  Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

d)  Abgabe einer Stellungnahme für die Kommission zum Schutzniveau in Drittländern oder internationalen Organisationen;

e)  Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austauschs von Informationen und Praktiken zwischen den Aufsichtsbehörden einschließlich der Koordinierung gemeinsamer Einsätze und anderer gemeinsamer Einsatzformen, wenn der Ausschuss auf Ersuchen einer oder mehrerer Aufsichtsbehörden einen entsprechenden Beschluss fasst ;

f)  Förderung von Schulungsprogrammen und Erleichterung des Personalaustauschs zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder internationalen Organisationen;

g)  Förderung des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praktiken mit Datenschutzaufsichtsbehörden in aller Welt.

ga)  Abgabe einer Stellungnahme gegenüber der Kommission bei der Ausarbeitung von delegierten und Durchführungsrechtsakten im Rahmen dieser Richtlinie.

(2)  Die Das Europäische Parlament, der Rat oder die Kommission kann können , wenn sie den Europäischen Datenschutzausschuss um Rat ersucht ersuchen , unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen. [Abänd. 114]

(3)  Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an die Kommission und an den in Artikel 57 Absatz 1 genannten Ausschuss weiter und veröffentlicht sie.

(4)  Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die von ihm herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

KAPITEL VIII

RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

Artikel 50

Recht auf Beschwerde bei einer Aufsichtsbehörde

(1)  Die Mitgliedstaaten sehen vor, dass jede betroffene Person unbeschadet eines anderweitigen administrativen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften vereinbar ist.

(2)  Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen in Bezug auf ihre personenbezogene Daten zum Ziel gesetzt haben im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, das Recht haben, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Richtlinie zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden. Die Einrichtungen, Organisationen oder Verbände bedürfen hierzu einer Vollmacht der betroffenen Person(en). [Abänd. 115]

(3)  Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Absatzes 2 unabhängig von der Beschwerde einer betroffenen Person das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde haben, wenn sie der Ansicht sind, dass der Schutz personenbezogener Daten verletzt wurde.

Artikel 51

Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1)  Die Mitgliedstaaten sehen für jede natürliche oder juristische Person ein Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffend Entscheidungen einer Aufsichtsbehörde vor.

(2)  Jede Die Mitgliedstaaten legen fest, dass jede betroffene Person hat das Recht auf einen gerichtlichen Rechtsbehelf hat , um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 45 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

(3)  Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.

(3a)  Die Mitgliedstaaten sorgen dafür, dass die rechtskräftigen Urteile der in diesem Artikel genannten Gerichte vollstreckt werden. [Abänd. 116]

Artikel 52

Recht auf gerichtlichen Rechtsbehelf gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter

(1)  Jede natürliche Person hat unbeschadet eines verfügbaren administrativen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die Rechte, die ihr aufgrund von nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, infolge einer Verarbeitung ihrer personenbezogenen Daten verletzt wurden, die nicht mit diesen Vorschriften vereinbar ist.

(1a)  Die Mitgliedstaaten sorgen dafür, dass die rechtskräftigen Urteile der in diesem Artikel genannten Gerichte vollstreckt werden. [Abänd. 117]

Artikel 53

Gemeinsame Vorschriften für Gerichtsverfahren

(1)  Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 50 Absatz 2 das Recht haben, die in Artikel 51, 52 und 52 54 genannten Rechte im Namen wahrzunehmen, wenn sie von einer oder mehrerer mehreren betroffenen Personen wahrzunehmen beauftragt werden . [Abänd. 118]

(2)  Jede Die Mitgliedstaaten legen fest, dass jede Aufsichtsbehörde hat das Recht hat , Klage zu erheben, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften durchzusetzen oder um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen. [Abänd. 119]

(3)  Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass den Betroffenen weiterer Schaden entsteht.

Artikel 54

Haftung und Recht auf Schadenersatz

(1)  Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden, einschließlich immaterieller Schäden, entstanden ist, einen Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter hat geltend machen kann . [Abänd. 120]

(2)  Ist mehr als ein für die Verarbeitung Verantwortlicher oder mehr als ein Auftragsverarbeiter an der Verarbeitung beteiligt, haftet jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter gesamtschuldnerisch für den gesamten Schaden.

(3)  Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter kann teilweise oder vollständig von dieser Haftung befreit werden, wenn er nachweist, dass ihm der Umstand, durch den der Schaden eingetreten ist, nicht zur Last gelegt werden kann.

Artikel 55

Sanktionen

Die Mitgliedstaaten legen fest, welche Sanktionen bei einem Verstoß gegen die Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Anwendung erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

KAPITEL VIIIa

Übermittlung personenbezogener Daten an andere Parteien

Artikel 55a

Übermittlung personenbezogener Daten an andere Behörden oder nicht-öffentliche Stellen innerhalb der Union

(1)  Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche keine personenbezogenen Daten an eine natürliche oder juristische Person übermittelt, für die die Vorschriften dieser Richtlinie gelten, oder den Auftragsverarbeiter anweist, diese zu übermitteln, es sei denn,

a)  die Übermittlung ist mit Unionsrecht oder mitgliedstaatlichem Recht vereinbar; und

b)  der Empfänger ist in einem Mitgliedstaat der Europäischen Union ansässig; und

c)  überwiegende schutzwürdige Interessen der betroffenen Person stehen der Übermittlung nicht entgegen; und

d)  die Übermittlung ist in einem konkreten Fall aus Sicht des für die Verarbeitung Verantwortlichen erforderlich

i)  für die Erfüllung einer ihm rechtmäßig zugewiesenen Aufgabe oder

ii)  zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit oder

iii)  zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner.

(2)  Der für die Verarbeitung Verantwortliche setzt den Empfänger über den Zweck, zu dem die personenbezogenen Daten ausschließlich verarbeitet werden können, in Kenntnis.

(3)  Der für die Verarbeitung Verantwortliche setzt die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis.

(4)  Der für die Verarbeitung Verantwortliche setzt den Empfänger von Beschränkungen der Verarbeitung in Kenntnis und stellt sicher, dass diese Beschränkungen eingehalten werden. [Abänd. 121]

KAPITEL IX

DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

Artikel 56

Befugnisübertragung

(1)  Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

(2)  Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

(3)  Die Befugnisübertragung gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

(4)  Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

(5)  Ein delegierter Rechtsakt, der gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei sechs Monaten nach Übermittlung des dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert. [Abänd. 122]

Artikel 56a

Frist für den Erlass delegierter Rechtsakte

(1)  Die Kommission erlässt die delegierten Rechtsakte gemäß Artikel 25a Absatz 7 und Artikel 28 Absatz 5 zum [sechs Monate vor dem in Artikel 62 Absatz 1 genannten Zeitpunkt]. Die Kommission kann die in diesem Absatz genannte Frist um sechs Monate verlängern. [Abänd. 123]

Artikel 57

Ausschussverfahren

(1)  Die Kommission wird von einem Ausschuss unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

(3)  Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5. [Abänd. 124]

KAPITEL X

SCHLUSSBESTIMMUNGEN

Artikel 58

Aufhebung

(1)  Der Rahmenbeschluss 2008/977/JI des Rates wird aufgehoben.

(2)  Verweise auf den aufgehobenen Rahmenbeschluss gelten als Verweise auf diese Richtlinie.

Artikel 59

Verhältnis zu bestehenden Rechtsakten der Union im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Die besonderen Bestimmungen zum Schutz personenbezogener Daten, die zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung von einer zuständigen Behörde verarbeitet werden und die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander sowie den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen im Anwendungsbereich dieser Richtlinie regeln, bleiben von dieser Richtlinie unberührt.

Artikel 60

Verhältnis zu bestehenden internationalen Übereinkünften im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen internationalen Übereinkünfte werden erforderlichenfalls innerhalb von fünf Jahren nach Inkrafttreten dieser Richtlinie geändert.

Artikel 61

Bewertung

(1)  Die Kommission bewertet die , nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, die Anwendung dieser Richtlinie. Sie koordiniert in enger Abstimmung mit den Mitgliedstaaten und schließt auch angekündigte und unangekündigte Besuche ein. Das Europäische Parlament und der Rat werden über die gesamte Dauer dieses Verfahrens unterrichtet und haben Zugang zu den entsprechenden Dokumenten.

(2)  Die Kommission überprüft innerhalb von drei zwei Jahren nach Inkrafttreten dieser Richtlinie andere Rechtsakte der Europäischen Union über die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, insbesondere die auf der Grundlage von Artikel 59 erlassenen Rechtsakte, und unterbreitet geeignete Vorschläge, um festzustellen, inwieweit eine Anpassung an diese Richtlinie erforderlich ist, und um gegebenenfalls eine Änderung dieser Rechtsakte vorzuschlagen, damit ein einheitliches Vorgehen beim Schutz einheitliche und homogene Rechtsvorschriften in Bezug auf die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist zu gewährleisten .

(2a)  Die Kommission legt innerhalb von zwei Jahren nach Inkrafttreten dieser Richtlinie einen geeigneten Vorschlag für die Überarbeitung des Rechtsrahmens für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen vor, um einheitliche und homogene Rechtsvorschriften in Bezug auf das Grundrecht auf den Schutz personenbezogener Daten in der Union sicherzustellen. [Abänd. 125]

(3)  Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig einen Bericht zur Bewertung und Überprüfung dieser Richtlinie vor. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Richtlinie und zur Anpassung anderer Rechtsinstrumente vor. Der Bericht wird veröffentlicht.

Artikel 62

Umsetzung

(1)  Die Mitgliedstaaten erlassen und veröffentlichen spätestens ...(12) die erforderlichen Rechts- und Verwaltungsvorschriften, um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.

Sie wenden diese Vorschriften ab ...* an.

Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

(2)  Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 63

Inkrafttreten und Anwendung

Diese Richtlinie tritt am ersten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 64

Adressaten

Diese ist an die Mitgliedstaaten gerichtet.

Geschehen zu ... am ...

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident Der Präsident

(1)ABl. C 192 vom 30.6.2012, S. 7.
(2) Standpunkt des Europäischen Parlaments vom 12. März 2014.
(3)Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).
(4)Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit verarbeitet werden (ABl. L 350 vom 30.12.2008, S. 60).
(5) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).
(6)Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren ( ABl. L 55 vom 28.2.2011, S. 13) .
(7)Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).
(8)ABl. L 176 vom 10.7.1999, S. 36.
(9)ABl. L 53 vom 27.2.2008, S. 52.
(10)ABl. L 160 vom 18.6.2011, S. 21.
(11) ABl. C 369 vom 17.12.2011, S. 14.
(12) Zwei Jahre nach dem Inkrafttreten dieser Richtlinie.

Letzte Aktualisierung: 21. November 2017Rechtlicher Hinweis