Verfahren : 2012/0010(COD)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : A7-0403/2013

Eingereichte Texte :

A7-0403/2013

Aussprachen :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Abstimmungen :

PV 12/03/2014 - 8.12
Erklärungen zur Abstimmung

Angenommene Texte :

P7_TA(2014)0219

BERICHT     ***I
PDF 1644kWORD 1107k
22.11.2013
PE 501.928v03-00 A7-0403/2013

über den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

Berichterstatter: Dimitrios Droutsas

ÄND.
ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS
 BEGRÜNDUNG
 STELLUNGNAHME des Rechtsausschusses
 VERFAHREN

ENTWURF EINER LEGISLATIVEN ENTSCHLIESSUNG DES EUROPÄISCHEN PARLAMENTS

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

(Ordentliches Gesetzgebungsverfahren: erste Lesung)

Das Europäische Parlament,

–   in Kenntnis des Vorschlags der Kommission an das Europäische Parlament und den Rat (COM(2012)0010),

–   gestützt auf Artikel 294 Absatz 2 sowie Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union, auf deren Grundlage ihm der Vorschlag der Kommission unterbreitet wurde (C7‑0024/2012),

–   gestützt auf Artikel 294 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union,

–   in Kenntnis der begründeten Stellungnahmen, die vom deutschen Bundesrat und vom schwedischen Parlament gemäß dem Protokoll Nr. 2 über die Anwendung der Grundsätze der Subsidiarität und der Verhältnismäßigkeit abgegeben wurden und in denen festgestellt wird, dass der Entwurf des Gesetzgebungsakts nicht mit dem Subsidiaritätsprinzip vereinbar ist,

–   in Kenntnis der Stellungnahme des Europäischen Datenschutzbeauftragten vom 7. März 2012,

–   in Kenntnis der Stellungnahme der Agentur der Europäischen Union für Grundrechte vom 1. Oktober 2012,

–   gestützt auf Artikel 55 seiner Geschäftsordnung,

–   in Kenntnis des Berichts des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres und der Stellungnahme des Rechtsausschusses (A7-0403/2013),

1.  legt den folgenden Standpunkt in erster Lesung fest;

2.  fordert die Kommission auf, es erneut zu befassen, falls sie beabsichtigt, ihren Vorschlag entscheidend zu ändern oder durch einen anderen Text zu ersetzen;

3.  beauftragt seinen Präsidenten, den Standpunkt des Parlaments dem Rat und der Kommission sowie den nationalen Parlamenten zu übermitteln.

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 1

Vorschlag der Kommission

Geänderter Text

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union besagen, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat.

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union besagen, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Artikel 8 Absatz 2 der Charta der Grundrechte der Europäischen Union schreibt vor, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 4

Vorschlag der Kommission

Geänderter Text

(4) Dies setzt voraus, dass der Datenverkehr zwischen den zuständigen Behörden innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen erleichtert werden und dabei gleichzeitig ein hohes Maß an Datenschutz gewährleistet wird. Hierzu bedarf es solider und stärker aufeinander abgestimmter Datenschutzbestimmungen in der Union, die konsequent durchgesetzt werden.

(4) Dies setzt voraus, dass der Datenverkehr, soweit erforderlich und verhältnismäßig, zwischen den zuständigen Behörden innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen erleichtert werden und dabei gleichzeitig ein hohes Maß an Datenschutz gewährleistet wird. Hierzu bedarf es solider und stärker aufeinander abgestimmter Datenschutzbestimmungen in der Union, die konsequent durchgesetzt werden.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7) Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf muss dafür gesorgt werden, dass die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung in allen Mitgliedstaaten gleichermaßen geschützt werden. Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert nicht nur eine Stärkung der Rechte der betroffenen Personen und eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sondern auch gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.

(7) Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf muss dafür gesorgt werden, dass die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung in allen Mitgliedstaaten gleichermaßen geschützt werden. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit kohärent und einheitlich angewandt werden. Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert nicht nur eine Stärkung der Rechte der betroffenen Personen und eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sondern auch gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 8

Vorschlag der Kommission

Geänderter Text

(8) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sieht den Erlass von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten durch das Europäische Parlament und den Rat vor.

(8) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sieht den Erlass von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr ihrer Daten sowie die Privatsphäre durch das Europäische Parlament und den Rat vor.

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 11

Vorschlag der Kommission

Geänderter Text

(11) Daher sollte eine Richtlinie verabschiedet werden, die den Besonderheiten dieses Bereichs Rechnung trägt und Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung enthält.

(11) Daher sollte eine spezifische Richtlinie verabschiedet werden, die den Besonderheiten dieses Bereichs Rechnung trägt und Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung enthält.

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, insbesondere im Bereich der nationalen Sicherheit, oder für Daten gelten, die von den Organen, Einrichtungen, Ämtern und Agenturen der Europäischen Union verarbeitet werden.

(15) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, gelten. Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates1 und spezielle für die Agenturen, Einrichtungen oder Ämter der Europäischen Union geltende Rechtsinstrumente sollten mit dieser Verordnung in Einklang gebracht und im Einklang mit dieser Verordnung angewendet werden.

 

___________________

 

1 Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen zur Identifizierung der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(16) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen zur Identifizierung oder zum Herausgreifen der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann. Diese Richtlinie sollte keine Anwendung finden auf anonyme Daten, d. h. Daten, die unmittelbar oder mittelbar, allein oder in Kombination mit zugehörigen Daten keiner natürlichen Person zugeordnet werden können. In Anbetracht der Bedeutung der Entwicklungen, die im Rahmen der Informationsgesellschaft stattfinden, und in Anbetracht der zur Erfassung, Übertragung, Modifikation, Aufzeichnung, Speicherung oder Kommunikation von Standortdaten von natürlichen Personen verwendeten Methoden, die zu unterschiedlichen Zwecken, etwa zur Überwachung oder zur Erstellung von Profilen, eingesetzt werden können, sollte diese Richtlinie Verfahren zur Verarbeitung solcher personenbezogener Daten abdecken.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 16 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(16a) Jede Verarbeitung personenbezogener Daten muss nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter Form gegenüber den betroffenen Personen erfolgen. Insbesondere sollten die besonderen Zwecke, zu denen die Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erfassung der personenbezogenen Daten feststehen. Die erfassten personenbezogenen Daten sollten dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung der personenbezogenen Daten notwendige Minimum beschränkt sein. Zu diesem Zweck ist es insbesondere notwendig, die gesammelte Datenmenge sowie den Zeitraum der Datenspeicherung auf ein erforderliches Mindestmaß zu begrenzen. Personenbezogene Daten sollten nur verarbeitet werden, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht werden kann. Es sollten alle vertretbaren Schritte unternommen werden, damit unzutreffende oder unvollständige personenbezogene Daten berichtigt oder gelöscht werden. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, sollte der für die Verarbeitung Verantwortliche Fristen für deren Löschung oder regelmäßige Überprüfung vorsehen.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 18

Vorschlag der Kommission

Geänderter Text

(18) Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenen Personen nach Treu und Glauben sowie nach Recht und Gesetz erfolgen. Vor allem sollten die jeweiligen Zwecke der Datenverarbeitung eindeutig festgelegt sein.

entfällt

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 19

Vorschlag der Kommission

Geänderter Text

(19) Zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten müssen die zuständigen Behörden personenbezogene Daten, die im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat erhoben wurden, auch speichern und in einem anderen Kontext verarbeiten können, um sich ein Bild der kriminellen Erscheinungen und Trends machen, Erkenntnisse über Netzwerke der organisierten Kriminalität sammeln und Verbindungen zwischen verschiedenen aufgedeckten Straftaten herstellen zu können.

entfällt

Änderungsantrag  11

Vorschlag für eine Richtlinie

Erwägung 20

Vorschlag der Kommission

Geänderter Text

(20) Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Personenbezogene Daten sollten dem Zweck angemessen und sachlich relevant sowie im Verhältnis zu den Zwecken der Datenverarbeitung nicht exzessiv sein. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige oder unvollständige personenbezogene Daten berichtigt oder gelöscht werden.

entfällt

Änderungsantrag  12

Vorschlag für eine Richtlinie

Erwägung 20 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(20a) Die bloße Tatsache, dass sich zwei Zwecke auf die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung beziehen, muss nicht unbedingt bedeuten, dass diese miteinander vereinbar sind. Allerdings gibt es Fälle, in denen die Weiterverarbeitung zu unvereinbaren Zwecken gegebenenfalls möglich sein sollte, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen, zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit erforderlich ist. Die Mitgliedstaaten sollten daher in der Lage sein, einzelstaatliche Rechtsvorschriften zu erlassen, in denen solche Ausnahmen im strikt notwendigen Umfang vorgesehen sind. Diese einzelstaatlichen Rechtsvorschriften sollten angemessene Garantien enthalten.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Erwägung 22

Vorschlag der Kommission

Geänderter Text

(22) Bei der Auslegung und Anwendung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sollte den Besonderheiten dieses Bereichs und dessen spezifischen Zielen Rechnung getragen werden.

entfällt

Änderungsantrag  14

Vorschlag für eine Richtlinie

Erwägung 23

Vorschlag der Kommission

Geänderter Text

(23) Bei der Verarbeitung personenbezogener Daten im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geht es naturgemäß um betroffene Personen verschiedener Kategorien. Daher sollte so weit wie möglich klar zwischen den personenbezogenen Daten der einzelnen Kategorien betroffener Personen unterschieden werden wie Verdächtigte, verurteilte Straftäter, Opfer und Dritte, beispielsweise Zeugen, Personen, die über einschlägige Informationen verfügen, oder Personen, die mit Verdächtigten oder verurteilten Straftätern in Kontakt oder in Verbindung stehen.

(23) Bei der Verarbeitung personenbezogener Daten im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geht es naturgemäß um betroffene Personen verschiedener Kategorien. Daher sollte so weit wie möglich klar zwischen den personenbezogenen Daten der einzelnen Kategorien betroffener Personen unterschieden werden wie Verdächtigte, verurteilte Straftäter, Opfer und Dritte, beispielsweise Zeugen, Personen, die über einschlägige Informationen verfügen, oder Personen, die mit Verdächtigten oder verurteilten Straftätern in Kontakt oder in Verbindung stehen. Die Mitgliedstaaten sollten spezielle Regelungen über die Auswirkungen dieser Einteilung in Kategorien festlegen und dabei die unterschiedlichen Zwecke, zu denen Daten erhoben werden, berücksichtigen und spezifische Garantien im Hinblick auf Personen, die nicht verurteilte Straftäter sind oder gegen die kein Straftatverdacht vorliegt, vorsehen.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Erwägung 25

Vorschlag der Kommission

Geänderter Text

(25) Die Verarbeitung personenbezogener Daten sollte nur dann als rechtmäßig gelten, wenn sie zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen, zur Wahrnehmung einer Aufgabe, die eine zuständige Behörde im öffentlichen Interesse aufgrund des Gesetzes oder zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person ausführt, oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit erforderlich ist.

(25) Die Verarbeitung personenbezogener Daten sollte nur dann als rechtmäßig gelten und zulässig sein, wenn sie zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen oder zur Wahrnehmung einer Aufgabe, die eine zuständige Behörde im öffentlichen Interesse aufgrund von Unionsrecht oder mitgliedstaatlichem Recht erforderlich ist, das eindeutige und detaillierte Bestimmungen mindestens im Hinblick auf die Ziele, die personenbezogenen Daten und die besonderen Zwecke und Mittel enthalten sowie den für die Verarbeitung Verantwortlichen, die einzuhaltenden Verfahren, die Anwendung und Grenzen des Ermessensspielraums der zuständigen Behörden hinsichtlich der Verarbeitungstätigkeit bestimmen sollte.

Änderungsantrag  16

Vorschlag für eine Richtlinie

Erwägung 25 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(25a) Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Die weitere Verarbeitung durch die zuständigen Behörden zu einem Zweck, der in den Geltungsbereich dieser Richtlinie fällt und der nicht mit dem ursprünglichen Zweck der Erhebung vereinbar ist, sollte nur in bestimmten Fällen, in denen die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der für die Verarbeitung Verantwortliche unterliegt und die auf Unionsrecht oder mitgliedstaatlichem Recht basiert, oder zur Wahrung wesentlicher Interessen der betroffenen Personen oder einer anderen Person oder zur Abwehr einer unmittelbaren oder ernsthaften Gefahr für die öffentliche Sicherheit genehmigt werden. Die Tatsache, dass Daten zu Strafverfolgungszwecken verarbeitet werden, bedeutet nicht zwangsläufig, dass diese Zwecke mit dem ursprünglichen Zweck ihrer Erhebung vereinbar sind. Das Konzept der Vereinbarkeit der Nutzung ist restriktiv auszulegen.

Änderungsantrag  17

Vorschlag für eine Richtlinie

Erwägung 25 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(25b) Die Verarbeitung personenbezogener Daten unter Verstoß gegen einzelstaatliche Bestimmungen, die nach Maßgabe dieser Richtlinie erlassen wurden, sollte eingestellt werden.

Änderungsantrag  18

Vorschlag für eine Richtlinie

Erwägung 26

Vorschlag der Kommission

Geänderter Text

(26) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte oder der Privatsphäre besonders sensibel sind, wie zum Beispiel genetische Daten, bedürfen eines besonderen Schutzes. Solche Daten sollten nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsvorschrift, die geeignete Garantien für die rechtmäßigen Interessen der betroffenen Person enthält, ausdrücklich erlaubt ist, die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist oder sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat.

(26) Personenbezogene Daten, die ihrem Wesen nach besonders sensibel und anfällig für eine Verletzung von Grundrechten oder der Privatsphäre sind, bedürfen eines besonderen Schutzes. Solche Daten sollten nur dann verarbeitet werden, wenn die Verarbeitung konkret erforderlich ist, um auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene Garantien zur Wahrung der Grundrechte und berechtigten Interessen der betroffenen Person vorsieht, eine im öffentlichen Interesse liegende Aufgabe zu erfüllen, oder die Verarbeitung zur Wahrung wesentlicher Interessen der betroffenen Person oder einer anderen Person erforderlich ist oder die Verarbeitung sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, bezieht. Sensible personenbezogene Daten sollten nur verarbeitet werden, wenn sie andere bereits für Strafverfolgungszwecke verarbeitete personenbezogene Daten ergänzen. Jede Ausnahme des Verbots der Verarbeitung sensibler Daten sollte restriktiv ausgelegt werden und nicht zu wiederkehrender, umfassender und struktureller Verarbeitung personenbezogener Daten führen.

Änderungsantrag  19

Vorschlag für eine Richtlinie

Erwägung 26 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(26a) Die Verarbeitung genetischer Daten sollte nur erlaubt sein, wenn im Verlauf einer strafrechtlichen Ermittlungen oder eines Gerichtsverfahrens eine genetische Verbindung auftritt. Genetische Daten sollten zum Zwecke solcher Ermittlungen und Verfahren nur so lange wie unbedingt nötig gespeichert werden, wobei die Mitgliedstaaten aber eine längere Speicherfrist gemäß den in dieser Richtlinie enthaltenden Bedingungen vorsehen können.

Änderungsantrag  20

Vorschlag für eine Richtlinie

Erwägung 27

Vorschlag der Kommission

Geänderter Text

(27) Eine natürliche Person sollte das Recht haben, keiner Maßnahme unterworfen zu werden, die allein auf automatischer Datenverarbeitung basiert, wenn dadurch eine nachteilige Rechtsfolge für die betroffene Person entsteht, es sei denn, sie ist gesetzlich erlaubt und mit geeigneten Garantien für die rechtmäßigen Interessen der betroffenen Person verbunden.

(27) Eine natürliche Person sollte das Recht haben, keiner Maßnahme unterworfen zu werden, die teilweise oder vollständig auf Profiling im Wege der automatischen Datenverarbeitung basiert. Die Verarbeitung, die gegenüber dieser Person rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt, sollte verboten sein, es sei denn, sie ist gesetzlich erlaubt und mit geeigneten Garantien für die Grundrechte und berechtigten Interessen der betroffenen Person einschließlich des Rechts auf Bereitstellung aussagekräftiger Angaben über die dem Profiling zugrunde liegende Methode verbunden. Eine solche Datenverarbeitung sollte unter keinen Umständen spezielle Datenkategorien enthalten oder erzeugen oder auf deren Grundlage diskriminieren.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Erwägung 28

Vorschlag der Kommission

Geänderter Text

(28) Damit die betroffene Person ihre Rechte wahrnehmen kann, sollten die Informationen für sie leicht zugänglich und verständlich, also unter anderem klar und einfach abgefasst sein.

(28) Damit die betroffene Person ihre Rechte wahrnehmen kann, sollten die Informationen für sie leicht zugänglich und verständlich, also unter anderem klar und einfach abgefasst sein. Diese Informationen sollten auf die Bedürfnisse der betroffenen Person angepasst sein, insbesondere wenn die Informationen spezifisch an Kinder gerichtet sind.

Änderungsantrag  22

Vorschlag für eine Richtlinie

Erwägung 29

Vorschlag der Kommission

Geänderter Text

(29) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr durch diese Richtlinie gewährten Rechte wahrzunehmen, etwa dafür, wie sie kostenfrei Auskunft über die Daten erlangen oder deren Berichtigung oder Löschung fordern kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, ohne unangemessene Verzögerung auf das Ansuchen der betroffenen Person zu antworten.

(29) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr durch diese Richtlinie gewährten Rechte wahrzunehmen, etwa dafür, wie sie kostenfrei Auskunft über die Daten erlangen oder deren Berichtigung oder Löschung fordern kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, unverzüglich und innerhalb eines Monats nach Eingang des Antrags auf das Ersuchen der betroffenen Person zu antworten. Im Falle der automatischen Verarbeitung personenbezogener Daten sollte der für die Verarbeitung Verantwortliche dafür sorgen, dass die Maßnahme elektronisch beantragt werden kann.

Änderungsantrag  23

Vorschlag für eine Richtlinie

Erwägung 30

Vorschlag der Kommission

Geänderter Text

(30) Der Grundsatz von Treu und Glauben bei der Verarbeitung verlangt, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen die Verweigerung der Daten hat.

(30) Der Grundsatz von Treu und Glauben sowie Transparenz bei der Verarbeitung verlangt, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, seine Rechtsgrundlage, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Darüber hinaus sollte die betroffene Person über ein eventuell erfolgendes Profiling und dessen beabsichtigte Wirkungen informiert werden. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen die Verweigerung der Daten hat.

Änderungsantrag  24

Vorschlag für eine Richtlinie

Erwägung 32

Vorschlag der Kommission

Geänderter Text

(32) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, haben und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden und wer die Empfänger der Daten sind, auch wenn es sich um Empfänger in Drittländern handelt. Die betroffenen Personen sollten eine Kopie ihrer personenbezogenen Daten, die einer Verarbeitung unterzogen werden, erhalten können.

(32) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, haben und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Recht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden und wer die Empfänger der Daten sind, auch wenn es sich um Empfänger in Drittländern handelt, sowie auf verständliche Informationen über die Logik einer automatisierten Datenverarbeitung, gegebenenfalls die wesentlichen und angestrebten Auswirkungen und ein Beschwerderecht bei der Aufsichtsbehörde sowie deren Kontaktdaten. Die betroffenen Personen sollten eine Kopie ihrer personenbezogenen Daten, die einer Verarbeitung unterzogen werden, erhalten können.

Änderungsantrag  25

Vorschlag für eine Richtlinie

Erwägung 33

Vorschlag der Kommission

Geänderter Text

(33) Den Mitgliedstaaten sollte gestattet sein, Rechtsvorschriften zu erlassen, mit denen die Information der betroffenen Person oder die Auskunft über ihre personenbezogenen Daten in einem solchen Umfang und so lange zeitweilig oder dauerhaft zurückgestellt oder eingeschränkt wird, wie diese teilweise oder vollständige Einschränkung dieser Rechte in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den berechtigten Interessen der betroffenen Person Rechnung getragen wurde, wenn dadurch gewährleistet wird, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen und Verfahren nicht behindert, die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder die Strafvollstreckung nicht gefährdet, die öffentliche und die nationale Sicherheit oder die betroffene Person oder die Rechte und Freiheiten anderer geschützt werden.

(33) Den Mitgliedstaaten sollte gestattet sein, Rechtsvorschriften zu erlassen, mit denen die Information der betroffenen Person oder die Auskunft über ihre personenbezogenen Daten in einem solchen Umfang und so lange zeitweilig oder dauerhaft zurückgestellt oder eingeschränkt wird, wie diese teilweise oder vollständige Einschränkung dieser Rechte in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den Grundrechten sowie den berechtigten Interessen der betroffenen Person Rechnung getragen wurde, wenn dadurch gewährleistet wird, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen und Verfahren nicht behindert, die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder die Strafvollstreckung nicht gefährdet, die öffentliche und die nationale Sicherheit oder die betroffene Person oder die Rechte und Freiheiten anderer geschützt werden. Der für die Verarbeitung Verantwortliche sollte durch eine konkrete und individuelle Untersuchung in jedem Einzelfall entscheiden, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang gilt.

Änderungsantrag  26

Vorschlag für eine Richtlinie

Erwägung 34 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(34a) Jede Einschränkung der Rechte der betroffenen Person muss mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten, präzisiert durch die Rechtsprechung des Europäischen Gerichtshofs und des Europäischen Gerichtshofs für Menschenrechte, vereinbar sein, und insbesondere den Wesensgehalt dieser Rechte und Freiheiten achten.

Änderungsantrag  27

Vorschlag für eine Richtlinie

Erwägung 35

Vorschlag der Kommission

Geänderter Text

(35) Erlassen Mitgliedstaaten Rechtsvorschriften, mit denen das Auskunftsrecht vollständig oder teilweise eingeschränkt wird, sollte die betroffene Person die zuständige nationale Aufsichtsbehörde ersuchen können, die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die betroffene Person sollte über dieses Recht unterrichtet werden. Nimmt die Aufsichtsbehörde im Namen der betroffenen Person das Auskunftsrecht wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat.

(35) Erlassen Mitgliedstaaten Rechtsvorschriften, mit denen das Auskunftsrecht vollständig oder teilweise eingeschränkt wird, sollte die betroffene Person die zuständige nationale Aufsichtsbehörde ersuchen können, die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die betroffene Person sollte über dieses Recht unterrichtet werden. Nimmt die Aufsichtsbehörde im Namen der betroffenen Person das Auskunftsrecht wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat. Die Aufsichtsbehörde sollte die betroffene Person zudem über ihr Recht auf Rechtsbehelf in Kenntnis setzen.

Änderungsantrag  28

Vorschlag für eine Richtlinie

Erwägung 36

Vorschlag der Kommission

Geänderter Text

(36) Jede Person sollte das Recht auf Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie das Recht auf Löschung besitzen, wenn die Verarbeitung ihrer Daten unter Verstoß gegen die Grundprinzipien dieser Richtlinie erfolgt. Werden personenbezogene Daten im Zusammenhang mit strafrechtlichen Ermittlungen oder einem Strafverfahren verarbeitet, erfolgen Berichtigung, Information, Auskunft, Löschung oder Einschränkung der Verarbeitung nach Maßgabe des einzelstaatlichen Strafprozessrechts.

(36) Jede Person sollte das Recht auf Berichtigung sie betreffender unrichtiger oder rechtswidrig verarbeiteter personenbezogener Daten sowie das Recht auf Löschung besitzen, wenn die Verarbeitung ihrer Daten unter Verstoß gegen die Bestimmungen dieser Richtlinie erfolgt. Diese Verbesserung, Vervollständigung oder Löschung sollte den Empfängern, denen die Daten übermittelt wurden, und den Dritten, von denen die falschen Daten stammten, mitgeteilt werden. Der für die Verarbeitung Verantwortliche sollte auch von jeglicher Weiterverbreitung dieser Daten Abstand nehmen. Werden personenbezogene Daten im Zusammenhang mit strafrechtlichen Ermittlungen oder einem Strafverfahren verarbeitet, erfolgen Berichtigung, Information, Auskunft, Löschung oder Einschränkung der Verarbeitung nach Maßgabe des einzelstaatlichen Strafprozessrechts.

Änderungsantrag  29

Vorschlag für eine Richtlinie

Erwägung 37

Vorschlag der Kommission

Geänderter Text

(37)     Es sollten umfassende Bestimmungen über die Verantwortung und die Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Namen erfolgende Verarbeitung personenbezogener Daten festgelegt werden. Vor allem sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass die Verarbeitung nach den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt ist.

(37) Es sollten umfassende Bestimmungen über die Verantwortung und die Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Namen erfolgende Verarbeitung personenbezogener Daten festgelegt werden. Vor allem sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen und verpflichtet sein, nachweisen zu können, dass jede Verarbeitung nach den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt ist.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Erwägung 39

Vorschlag der Kommission

Geänderter Text

(39) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuteilung der Verantwortlichkeiten durch diese Richtlinie, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, ‑bedingungen und ‑mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird.

(39) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuteilung der Verantwortlichkeiten durch diese Richtlinie, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, ‑bedingungen und ‑mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird. Die betroffene Person sollte das Recht haben, ihre Rechte gemäß dieser Richtlinie in Bezug auf und gegen jeden der gemeinsam für die Verarbeitung Verantwortlichen wahrzunehmen.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Erwägung 40 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(40a) Jede Verarbeitung personenbezogener Daten sollte zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten aufgezeichnet werden. Diese Aufzeichnung sollte der Aufsichtsbehörde zum Zwecke der Überwachung der Einhaltung der in dieser Richtlinie enthaltenen Vorschriften auf Anforderung vorgelegt werden.

Änderungsantrag  32

Vorschlag für eine Richtlinie

Erwägung 40 b (neu)

Vorschlag der Kommission

Geänderter Text

 

(40b) Eine Datenschutz-Folgenabschätzung, die sich insbesondere mit den Maßnahmen, Garantien und Verfahren befasst, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Richtlinie nachgewiesen werden sollen, sollte durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter durchgeführt werden, wenn Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen können. Datenschutz-Folgenabschätzungen sollten im Hinblick auf Systeme und Verfahren im Rahmen von Verarbeitungsvorgängen für personenbezogene Daten durchgeführt werden, nicht jedoch in Einzelfällen.

Änderungsantrag  33

Vorschlag für eine Richtlinie

Erwägung 41

Vorschlag der Kommission

Geänderter Text

(41) Um einen wirksamen Schutz der Rechte und Freiheiten der betroffenen Personen durch Präventivmaßnahmen zu gewährleisten, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in bestimmten Fällen vor der Verarbeitung die Aufsichtsbehörde zu Rate ziehen.

(41) Um einen wirksamen Schutz der Rechte und Freiheiten der betroffenen Personen durch Präventivmaßnahmen zu gewährleisten, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in bestimmten Fällen vor der Verarbeitung die Aufsichtsbehörde zu Rate ziehen. Darüber hinaus sollte die Aufsichtsbehörde dann, wenn Verarbeitungsvorgänge aller Wahrscheinlichkeit nach hohe konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, in der Lage sein, risikobehaftete Verarbeitungsvorgänge, die nicht mit dieser Richtlinie vereinbar sind, noch vor Beginn des jeweiligen Vorgangs zu unterbinden und geeignete Vorschläge zu unterbreiten, wie solche Mängel beseitigt werden könnten. Eine solche Konsultation kann auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des einzelstaatlichen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.

Änderungsantrag  34

Vorschlag für eine Richtlinie

Erwägung 41 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(41a) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Festlegung technischer Standards und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung sollte die technologische Neutralität gefördert werden.

Änderungsantrag  35

Vorschlag für eine Richtlinie

Erwägung 42

Vorschlag der Kommission

Geänderter Text

(42) Eine Verletzung des Schutzes personenbezogener Daten kann Schäden, beispielsweise eine Rufschädigung der betroffenen Person, hervorrufen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die zuständige nationale Behörde unverzüglich in Kenntnis setzen. Natürliche Personen, deren personenbezogene Daten oder Privatsphäre durch eine Datenschutzverletzung beeinträchtigt werden könnten, sollten ohne unangemessene Verzögerung benachrichtigt werden, so dass sie die notwendigen Vorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person nachteilig erachtet werden, wenn sie in Verbindung mit der Verarbeitung personenbezogener Daten zum Beispiel in Identitätsdiebstahl oder Betrug, einer körperlichen Schädigung, erheblichen Demütigung oder einer Rufschädigung bestehen können.

(42) Eine Verletzung des Schutzes personenbezogener Daten kann, wenn nicht rechtzeitig und angemessen reagiert wird, zu beträchtlichen wirtschaftlichen Verlusten und sozialen Schäden für die betroffene Person, beispielsweise Identitätsbetrug, führen. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die zuständige nationale Behörde unverzüglich in Kenntnis setzen. Natürliche Personen, deren personenbezogene Daten oder Privatsphäre durch eine Datenschutzverletzung beeinträchtigt werden könnten, sollten unverzüglich benachrichtigt werden, so dass sie die notwendigen Vorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person nachteilig erachtet werden, wenn sie in Verbindung mit der Verarbeitung personenbezogener Daten zum Beispiel in Identitätsdiebstahl oder Betrug, einer körperlichen Schädigung, erheblichen Demütigung oder einer Rufschädigung bestehen können. Die Benachrichtigung sollte Informationen über die vom Betreiber nach der Verletzung ergriffenen Maßnahmen sowie Empfehlungen für die betroffenen Nutzer oder Personen enthalten. Benachrichtigungen an die betroffenen Personen sollten so früh wie möglich und in enger Zusammenarbeit mit der Aufsichtsbehörde sowie unter Beachtung der von ihr erstellten Leitlinien ergehen.

Änderungsantrag  36

Vorschlag für eine Richtlinie

Erwägung 44

Vorschlag der Kommission

Geänderter Text

(44) Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sollte eine Person benennen, die ihn dabei unterstützt, die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu überwachen. Mehrere Dienststellen der zuständigen Behörde können gemeinsam einen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte muss seinen Auftrag und seine Aufgaben unabhängig und wirksam wahrnehmen können.

(44) Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sollte eine Person benennen, die ihn dabei unterstützt, die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu überwachen und nachzuweisen. Handeln mehrere zuständige Behörden unter der Aufsicht einer zentralen Behörde, sollte zumindest diese zentrale Behörde einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte muss seinen Auftrag und seine Aufgaben unabhängig und wirksam wahrnehmen können, was vor allem durch die Festlegung von Vorschriften zur Vermeidung von Interessenkonflikten mit anderen Aufgaben des Datenschutzbeauftragten sichergestellt werden soll.

Änderungsantrag  37

Vorschlag für eine Richtlinie

Erwägung 45

Vorschlag der Kommission

Geänderter Text

(45) Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn dies für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt. Daten dürfen übermittelt werden, wenn die Kommission durch Beschluss festgestellt hat, dass das betreffende Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet, oder wenn geeignete Garantien bestehen.

(45) Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn diese spezifische Übermittlung für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt. Daten dürfen übermittelt werden, wenn die Kommission durch Beschluss festgestellt hat, dass das betreffende Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet, oder wenn geeignete Garantien bestehen oder wenn geeignete Garantien im Rahmen eines rechtsverbindlichen Instruments bestehen. Daten, die an die zuständigen Behörden in Drittländern übermittelt werden, sollten nicht zu anderen Zwecken als denjenigen, zu denen sie übermittelt wurden, weiterverarbeitet werden.

Änderungsantrag  38

Vorschlag für eine Richtlinie

Erwägung 45 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(45a) Die Datenweitergabe durch die zuständigen Behörden oder internationalen Organisationen, denen personenbezogene Daten übermittelt wurden, sollte nur dann erlaubt sein, wenn die Weitergabe zu demselben spezifischen Zweck wie die ursprüngliche Übermittlung notwendig ist und es sich bei dem zweiten Empfänger ebenfalls um eine zuständige öffentliche Behörde handelt. Weitergaben sollten nicht für allgemeine Strafverfolgungszwecke erlaubt sein. Die zuständige Behörde, die die ursprüngliche Übermittlung durchgeführt hat, sollte der Weitergabe zugestimmt haben.

Änderungsantrag  39

Vorschlag für eine Richtlinie

Erwägung 48

Vorschlag der Kommission

Geänderter Text

(48) Die Kommission sollte gleichfalls feststellen können, dass ein Drittland, ein Gebiet oder Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bietet. Folglich sollte in diesem Fall die Übermittlung personenbezogener Daten in dieses Drittland verboten werden, es sei denn, die Daten werden auf der Grundlage einer internationalen Übereinkunft, geeigneter Garantien oder einer Ausnahmeregelung übermittelt. Es sollten Verfahren für Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. Ungeachtet eines entsprechenden Kommissionsbeschlusses sollte jedoch die Möglichkeit bestehen, Daten auf der Grundlage geeigneter Garantien oder einer in dieser Richtlinie geregelten Ausnahme zu übermitteln.

(48) Die Kommission sollte gleichfalls feststellen können, dass ein Drittland, ein Gebiet oder Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bietet. Folglich sollte in diesem Fall die Übermittlung personenbezogener Daten in dieses Drittland verboten werden, es sei denn, die Daten werden auf der Grundlage einer internationalen Übereinkunft, geeigneter Garantien oder einer Ausnahmeregelung übermittelt. Es sollten Verfahren für Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. Ungeachtet eines entsprechenden Kommissionsbeschlusses sollte jedoch die Möglichkeit bestehen, Daten auf der Grundlage geeigneter Garantien, die im Rahmen rechtsverbindlicher Instrumente bestehen, oder einer in dieser Richtlinie geregelten Ausnahme zu übermitteln.

Änderungsantrag  40

Vorschlag für eine Richtlinie

Erwägung 49

Vorschlag der Kommission

Geänderter Text

(49) Datenübermittlungen, die nicht auf der Grundlage eines Angemessenheitsbeschlusses erfolgen, sollten nur dann zulässig sein, wenn in einem rechtsverbindlichen Instrument geeignete Garantien festgelegt sind, die den Schutz personenbezogener Daten gewährleisten, oder wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Datenübermittlung oder bei der Kategorie von Datenübermittlungen eine Rolle spielen, und auf der Grundlage dieser Beurteilung zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen. In Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, sollten Ausnahmen erlaubt sein, wenn dies notwendig ist zur Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen Person, wenn dies nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, notwendig ist oder wenn dies zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands oder in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen unerlässlich ist.

(49) Datenübermittlungen, die nicht auf der Grundlage eines Angemessenheitsbeschlusses erfolgen, sollten nur dann zulässig sein, wenn in einem rechtsverbindlichen Instrument geeignete Garantien festgelegt sind, die den Schutz personenbezogener Daten gewährleisten.

Änderungsantrag  41

Vorschlag für eine Richtlinie

Erwägung 49 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(49a) In Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, sollten Ausnahmen erlaubt sein, wenn dies notwendig ist zur Wahrung wesentlicher Interessen der betroffenen oder einer anderen Person, wenn dies nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zum Schutz berechtigter Interessen notwendig ist oder wenn dies zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands oder in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen unerlässlich ist. Diese Ausnahmen sollten restriktiv ausgelegt werden und zudem die wiederkehrende, umfassende und strukturelle Übermittlung personenbezogener Daten sowie die pauschale Übermittlung von Daten ausschließen, die auf unbedingt notwendige Daten beschränkt sein sollte. Darüber hinaus sollte die Entscheidung über eine Datenübermittlung von entsprechend Bevollmächtigten getroffen werden, die Übermittlung muss dokumentiert werden, und die Dokumentation muss zum Zwecke der Überprüfung der Rechtmäßigkeit der Übermittlung der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

(Ein Teil der Erwägung 49 des Vorschlags der Kommission wurde im Änderungsantrag des Parlaments Erwägung 49a.)

Änderungsantrag  42

Vorschlag für eine Richtlinie

Erwägung 51

Vorschlag der Kommission

Geänderter Text

(51) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgaben völlig unabhängig erfüllen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Aufsichtsbehörden sollten die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander und mit der Kommission.

(51) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgaben völlig unabhängig erfüllen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Aufsichtsbehörden sollten die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander.

Änderungsantrag  43

Vorschlag für eine Richtlinie

Erwägung 53

Vorschlag der Kommission

Geänderter Text

(53) Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde einrichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen Aufsichtsbehörden in der Union, notwendig und angemessen sind.

(53) Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde einrichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur einschließlich technischer Mittel, Erfahrung und Kompetenz ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen Aufsichtsbehörden in der Union, notwendig und angemessen sind.

Änderungsantrag  44

Vorschlag für eine Richtlinie

Erwägung 54

Vorschlag der Kommission

Geänderter Text

(54) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihren Status enthalten.

(54) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats auf der Grundlage einer Konsultation des Parlaments ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihren Status enthalten.

Änderungsantrag  45

Vorschlag für eine Richtlinie

Erwägung 56

Vorschlag der Kommission

Geänderter Text

(56) Um die einheitliche Überwachung und Durchsetzung dieser Richtlinie in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und Befugnisse haben, unter anderem – insbesondere im Fall von Beschwerden natürlicher Personen – Untersuchungsbefugnisse sowie rechtsverbindliche Interventions-, Beschluss- und Sanktionsbefugnisse sowie die Befugnis, Gerichtsverfahren anzustrengen.

(56) Um die einheitliche Überwachung und Durchsetzung dieser Richtlinie in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und Befugnisse haben, unter anderem – insbesondere im Fall von Beschwerden natürlicher Personen – wirksame Untersuchungsbefugnisse, das Recht auf Zugang zu allen für die Erfüllung aller Aufsichtspflichten erforderlichen personenbezogenen Daten und Informationen, das Recht auf Zugang zu allen Räumlichkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters einschließlich der Auflagen für die Datenverarbeitung sowie rechtsverbindliche Interventions‑, Beschluss- und Sanktionsbefugnisse sowie die Befugnis, Gerichtsverfahren anzustrengen.

Änderungsantrag  46

Vorschlag für eine Richtlinie

Erwägung 58

Vorschlag der Kommission

Geänderter Text

(58) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und einander Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet ist.

(58) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und einander Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet ist. Die Aufsichtsbehörden sollten zur Teilnahme an gemeinsamen Aktionen bereit sein. Die ersuchte Aufsichtsbehörde sollte verpflichtet sein, auf die Anfrage innerhalb einer vorgeschriebenen Frist zu antworten.

Änderungsantrag  47

Vorschlag für eine Richtlinie

Erwägung 59

Vorschlag der Kommission

Geänderter Text

(59) Der auf der Grundlage der Verordnung (EU) Nr. …/2012 eingerichtete Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung dieser Richtlinie in der Union beitragen, die Kommission beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern.

(59) Der auf der Grundlage der Verordnung (EU) Nr. …/2013 eingerichtete Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung dieser Richtlinie in der Union beitragen, die Organe der Union beraten, die Zusammenarbeit der Aufsichtsbehörden in der Union fördern und bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten auf der Grundlage dieser Richtlinie der Kommission gegenüber seine Stellungnahme abgeben.

Änderungsantrag  48

Vorschlag für eine Richtlinie

Erwägung 61

Vorschlag der Kommission

Geänderter Text

(61) Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von dieser Person hierzu bevollmächtigt wurden, oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde.

(61) Einrichtungen, Organisationen oder Verbände, die im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von dieser Person hierzu bevollmächtigt wurden, oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde.

Änderungsantrag  49

Vorschlag für eine Richtlinie

Erwägung 64

Vorschlag der Kommission

Geänderter Text

(64) Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, der von seiner Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.

(64) Schäden, auch immaterielle Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, der von seiner Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.

Änderungsantrag  50

Vorschlag für eine Richtlinie

Erwägung 65 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(65a) Die Übermittlung personenbezogener Daten an andere Behörden oder Privatpersonen in der Union ist untersagt, es sei denn, die Übermittlung entspricht den gesetzlichen Bestimmungen, der Empfänger ist in einem Mitgliedstaat ansässig, keine berechtigten konkreten Interessen der betroffenen Person stehen der Übermittlung entgegen, und die Übermittlung ist aus Sicht des für die Verarbeitung Verantwortlichen, der die Daten übermittelt, für die Erfüllung einer ihm rechtmäßig zugewiesenen Aufgabe, zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner notwendig. Der für die Verarbeitung Verantwortliche sollte den Empfänger auf den Zweck der Verarbeitung und die Aufsichtsbehörde auf die Übermittlung hinweisen. Der Empfänger sollte darüber hinaus auf Verarbeitungsbeschränkungen hingewiesen werden und sicherstellen, dass diese Beschränkungen eingehalten werden.

Änderungsantrag  51

Vorschlag für eine Richtlinie

Erwägung 66

Vorschlag der Kommission

Geänderter Text

(66) Um die Zielvorgaben dieser Richtlinie zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Insbesondere sollten für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten an die Aufsichtsbehörde delegierte Rechtsakte erlassen werden. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.

(66) Um die Zielvorgaben dieser Richtlinie zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Insbesondere sollten für die weitere konkrete Festlegung der Kriterien und Bedingungen für Weiterverarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, für die Kriterien und Bedingungen der Verletzung des Schutzes von personenbezogenen Daten und in Bezug auf die Angemessenheit des Datenschutzniveaus eines Drittlandes, eines Gebiets oder eines Verarbeitungssektors dieses Drittlands oder einer internationalen Organisation delegierte Rechtsakte erlassen werden. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen, insbesondere mit dem Europäischen Datenschutzausschuss, durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gewährleisten, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat zeitgleich, rechtzeitig und in geeigneter Weise übermittelt werden.

Änderungsantrag  52

Vorschlag für eine Richtlinie

Erwägung 67

Vorschlag der Kommission

Geänderter Text

(67) Der Kommission sollten Durchführungsbefugnisse übertragen werden, um bezüglich der Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, der Sicherheit der Verarbeitung, insbesondere in Bezug auf Verschlüsselungsstandards, der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie der Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation einheitliche Bedingungen für die Umsetzung dieser Richtlinie zu gewährleisten. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren36, ausgeübt werden.

(67) Der Kommission sollten Durchführungsbefugnisse übertragen werden, um bezüglich der Sicherheit der Verarbeitung, insbesondere in Bezug auf Verschlüsselungsstandards, und der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde, einheitliche Bedingungen für die Umsetzung dieser Richtlinie zu gewährleisten. Diese Befugnisse sollten im Einklang mit der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates36 ausgeübt werden.

_____________

_______________

36 ABl. L 55 vom 28.2.2011, S. 13.

36 Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

Änderungsantrag  53

Vorschlag für eine Richtlinie

Erwägung 68

Vorschlag der Kommission

Geänderter Text

(68) Maßnahmen, die die Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter betreffen sowie die Sicherheit der Verarbeitung, die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

(68) Maßnahmen, die die Sicherheit der Verarbeitung und die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde betreffen, sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

Änderungsantrag  54

Vorschlag für eine Richtlinie

Erwägung 69

Vorschlag der Kommission

Geänderter Text

(69) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, sofort geltende Durchführungsrechtsakte erlassen.

entfällt

Änderungsantrag  55

Vorschlag für eine Richtlinie

Erwägung 70

Vorschlag der Kommission

Geänderter Text

(70) Da die Ziele dieser Richtlinie, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus.

(70) Da die Ziele dieser Richtlinie, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus. Die Mitgliedstaaten können höhere Standards als die in dieser Richtlinie festgelegten vorsehen.

Änderungsantrag  56

Vorschlag für eine Richtlinie

Erwägung 72

Vorschlag der Kommission

Geänderter Text

(72) Die besonderen Bestimmungen für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, sollten bestehen bleiben. Die Kommission sollte das Verhältnis zwischen dieser Richtlinie und den vor ihrem Erlass angenommenen Rechtsakten, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, daraufhin prüfen, inwieweit die besonderen Bestimmungen dieser Rechtsakte an diese Richtlinie angepasst werden müssen.

(72) Die besonderen Bestimmungen für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, sollten bestehen bleiben. Da Artikel 8 der Grundrechtecharta und Artikel 16 AEUV vorschreiben, dass das Grundrecht auf Schutz personenbezogener Daten in der Union einheitlich und homogen angewendet werden sollte, sollte die Kommission innerhalb von zwei Jahren nach Inkrafttreten dieser Richtlinie das Verhältnis zwischen dieser Richtlinie und den vor ihrem Erlass angenommenen Rechtsakten, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den europäischen Verträgen errichteten Informationssystemen regeln, prüfen und sollte zudem zweckmäßige Vorschläge hinsichtlich der Festlegung einheitlicher und homogener Regeln für die Verarbeitung personenbezogener Daten durch zuständige Behörden oder des Zugangs der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den europäischen Verträgen errichteten Informationssystemen sowie der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen innerhalb des Geltungsbereichs dieser Richtlinie erarbeiten.

Änderungsantrag  57

Vorschlag für eine Richtlinie

Erwägung 73

Vorschlag der Kommission

Geänderter Text

(73) Damit personenbezogene Daten in der Union umfassend und in gleicher Weise geschützt werden, sollten die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen Übereinkünfte im Sinne dieser Richtlinie geändert werden.

(73) Damit personenbezogene Daten in der Union umfassend und in gleicher Weise geschützt werden, sollten die von der Union oder den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen Übereinkünfte im Sinne dieser Richtlinie geändert werden.

Änderungsantrag  58

Vorschlag für eine Richtlinie

Erwägung 76

Vorschlag der Kommission

Geänderter Text

(76) Nach den Artikeln 2 und 2a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position Dänemarks gilt diese Richtlinie nicht für Dänemark und ist Dänemark gegenüber nicht anwendbar. Da diese Richtlinie auf dem Schengen-Besitzstand auf der Grundlage des Dritten Teils Titel V des Vertrags über die Arbeitsweise der Europäischen Union aufbaut, beschließt Dänemark gemäß Artikel 4 dieses Protokolls innerhalb von sechs Monaten nach Erlass dieser Richtlinie, ob es die Richtlinie in innerstaatliches Recht umsetzt.

(76) Nach den Artikeln 2 und 2a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position Dänemarks gilt diese Richtlinie nicht für Dänemark und ist Dänemark gegenüber nicht anwendbar.

Änderungsantrag  59

Vorschlag für eine Richtlinie

Artikel 1

Vorschlag der Kommission

Geänderter Text

Gegenstand und Ziele

Gegenstand und Ziele

1. Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung.

1. Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und der Strafvollstreckung sowie Bedingungen im Hinblick auf den freien Verkehr personenbezogener Daten.

2. Gemäß dieser Richtlinie stellen die Mitgliedstaaten Folgendes sicher:

2. Gemäß dieser Richtlinie stellen die Mitgliedstaaten Folgendes sicher:

a) Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere Gewährleistung ihres Rechts auf Schutz personenbezogener Daten und

a) Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere Gewährleistung ihres Rechts auf Schutz ihrer personenbezogener Daten und ihrer Privatsphäre, und

b) Sicherstellung, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

b) Sicherstellung, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

 

2a. Diese Richtlinie hindert die Mitgliedstaaten nicht daran, Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie.

Änderungsantrag  60

Vorschlag für eine Richtlinie

Artikel 2

Vorschlag der Kommission

Geänderter Text

Anwendungsbereich

Anwendungsbereich

1. Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.

1. Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.

2. Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

2. Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

3. Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

3. Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit,

im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt.

b) durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union.

 

Änderungsantrag  61

Vorschlag für eine Richtlinie

Artikel 3

Vorschlag der Kommission

Geänderter Text

Begriffsbestimmungen

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

(1) „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung zu einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

 

(2) „personenbezogene Daten“ alle Informationen, die sich auf eine betroffene Person beziehen;

(2) „personenbezogene Daten“ alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer eindeutigen Kennung oder zu einem oder mehreren spezifischen Elementen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen oder geschlechtlichen Identität dieser Person sind;

 

(2a) „pseudonymisierte Daten“ personenbezogene Daten, die ohne Heranziehung zusätzlicher Informationen keiner spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die die Nichtzuordnung gewährleisten;

(3) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Löschen oder Vernichten der Daten sowie die Beschränkung des Zugriffs auf Daten;

(3) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Löschen oder Vernichten der Daten sowie die Beschränkung des Zugriffs auf Daten;

 

(3a) „Profiling“ jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte, die einen Bezug zu einer natürlichen Person haben, zu bewerten oder insbesondere die Leistungen der betreffenden Person bei der Arbeit, ihre wirtschaftliche Situation, ihren Aufenthaltsort, ihre Gesundheit, ihre persönlichen Vorlieben, ihre Zuverlässigkeit oder ihr Verhalten zu analysieren oder vorauszusagen;

(4) „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

(4) „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

(5) „Datei“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder aufgeschlüsselt nach funktionalen oder geografischen Gesichtspunkten geführt wird;

(5) „Datei“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder aufgeschlüsselt nach funktionalen oder geografischen Gesichtspunkten geführt wird;

(6) „für die Verarbeitung Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten durch einzelstaatliches oder Unionsrecht vorgegeben, kann das einzelstaatliche oder das Unionsrecht den für die Verarbeitung Verantwortlichen beziehungsweise die Modalitäten für seine Benennung bestimmen;

(6) „für die Verarbeitung Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten durch mitgliedstaatliches oder Unionsrecht vorgegeben, können der für die Verarbeitung Verantwortliche beziehungsweise die spezifischen Modalitäten seiner Benennung nach mitgliedstaatlichem oder Unionsrecht bestimmt werden;

(7) „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(7) „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(8) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

(8) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

(9) „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(9) „Verletzung des Schutzes personenbezogener Daten“ die Vernichtung, Verlust, Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder die unbefugte Weitergabe von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(10) „genetische Daten“ Daten jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(10) „genetische Daten“ Daten jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(11) „biometrische Daten“ Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(11) „biometrische Daten“ personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(12) „Gesundheitsdaten“ Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(12) „Gesundheitsdaten“ personenbezogene Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(13) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(13) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(14) „zuständige Behörde“ jede Behörde, die für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist;

(14) „zuständige Behörde“ jede Behörde, die für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist;

(15) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 39 eingerichtete staatliche Stelle.

(15) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 39 eingerichtete staatliche Stelle.

Änderungsantrag  62

Vorschlag für eine Richtlinie

Artikel 4

Vorschlag der Kommission

Geänderter Text

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten

Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten

a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren und überprüfbaren Weise verarbeitet werden;

b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen;

b) für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen;

c) im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant und nicht exzessiv sind;

c) im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sind, wobei sie nur verarbeitet werden dürfen, wenn und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können;

d) sachlich richtig und, wenn nötig, auf dem neuesten Stand sind; alle angemessenen Maßnahmen müssen getroffen werden, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

d) sachlich richtig und auf dem neuesten Stand sind, wobei alle angemessenen Maßnahmen getroffen werden müssen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet und nachweisen kann;

 

fa) in einer Weise verarbeitet werden, die es den betroffenen Personen erlaubt, ihre Rechte gemäß den Artikeln 10 bis 17 wahrzunehmen;

 

fb) in einer Weise verarbeitet werden, die vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen schützt;

 

fc) ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben verarbeitet werden.

Änderungsantrag  63

Vorschlag für eine Richtlinie

Artikel 4 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 4a

 

Zugang zu Daten, die ursprünglich zu anderen Zwecken als den in Artikel 1 Absatz 1 genannten verarbeitet wurden

 

1. Die Mitgliedstaaten tragen dafür Sorge, dass zuständige Behörden nur dann Zugang zu Daten, die ursprünglich zu anderen Zwecken als den in Artikel 1 Absatz 1 genannten verarbeitet wurden, haben, wenn sie gemäß Unionsrecht oder dem Recht der Mitgliedstaaten über eine ausdrückliche Befugnis verfügen, die die Voraussetzungen gemäß Artikel 7 Absatz 1a erfüllen muss, und tragen zudem dafür Sorge, dass:

 

a) der Zugang ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben genehmigt wird, wenn in einem spezifischen Fall hinreichende Gründe für die Annahme vorliegen, dass die Verarbeitung der personenbezogenen Daten maßgeblich zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Strafvollstreckung beiträgt;

 

b) Zugangsanfragen schriftlich erfolgen und auf die rechtliche Grundlage der Anfrage Bezug nehmen müssen;

 

c) die schriftliche Anfrage dokumentiert werden muss; und

 

d) geeignete Garantien eingeführt werden, um dafür zu sorgen, dass Grundrechte und ‑freiheiten in Bezug auf die Verarbeitung personenbezogener Daten geschützt werden. Die Garantien gelten unbeschadet und in Ergänzung zu den spezifischen Zugangsbedingungen zu personenbezogenen Daten wie etwa einer richterlichen Genehmigung gemäß dem Recht der Mitgliedstaaten.

 

2. der Zugang zu personenbezogenen Daten, die von nicht-öffentlichen Stellen oder anderen öffentlichen Behörden verwaltet werden, wird nur für die Ermittlung und Verfolgung von Straftaten gemäß den unionsrechtlichen Anforderungen der Notwendigkeit und der Verhältnismäßigkeit gewährt, die von jedem Mitgliedstaat in seinem innerstaatlichen Recht festzulegen sind, wobei Artikel 7a uneingeschränkt einzuhalten ist;

Änderungsantrag  64

Vorschlag für eine Richtlinie

Artikel 4 b (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 4b

 

Fristen für die Speicherung und Überprüfung

 

1. Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten, die nach Maßgabe dieser Richtlinie verarbeitet wurden, von den zuständigen Behörden gelöscht werden, wenn sie nicht länger für den Zweck, den die ursprüngliche Verarbeitung erfüllen sollte, erforderlich sind.

 

2. Die Mitgliedstaaten tragen dafür Sorge, dass die zuständigen Behörden Mechanismen einführen, durch die sichergestellt wird, dass gemäß Artikel 4 Fristen für die Löschung sowie die regelmäßige Überprüfung der Notwendigkeit der Speicherung von personenbezogenen Daten einschließlich Speicherfristen für die unterschiedlichen Kategorien personenbezogener Daten gesetzt werden. Es werden Verfahrensregeln aufgestellt um sicherzustellen, dass diese Fristen und Zeiträume der regelmäßigen Überprüfung eingehalten werden.

Änderungsantrag  65

Vorschlag für eine Richtlinie

Artikel 5

Vorschlag der Kommission

Geänderter Text

Unterscheidung verschiedener Kategorien von betroffenen Personen

Verschiedene Kategorien von betroffenen Personen

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche so weit wie möglich zwischen den personenbezogenen Daten verschiedener Kategorien von betroffenen Personen klar unterscheidet, darunter:

1. Die Mitgliedstaaten tragen dafür Sorge, dass die zuständigen Behörden für die in Artikel 1 Absatz 1 genannten Zwecke personenbezogene Daten folgender unterschiedlicher Kategorien von betroffenen Personen verarbeiten können und der für die Verarbeitung Verantwortliche zwischen diesen Kategorien klar unterscheidet:

a) Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden;

a) Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden;

b) verurteilte Straftäter;

b) Personen, die eine Straftat begangen haben;

c) Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten;

c) Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten; und

d) Dritte bei einer Straftat, wie Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim anschließenden Strafverfahren als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den unter Buchstaben a und b genannten Personen in Kontakt oder in Verbindung stehen sowie

d) Dritte bei einer Straftat, wie Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim anschließenden Strafverfahren als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den unter Buchstaben a und b genannten Personen in Kontakt oder in Verbindung stehen.

e) Personen, die keiner dieser Kategorien zugerechnet werden können.

 

 

2. Personenbezogene Daten anderer betroffener Personen als der unter Absatz 1 genannten Personen dürfen nur verarbeitet werden:

 

a) sofern dies im Rahmen der Untersuchung oder Verfolgung einer bestimmten Straftat notwendig ist, um die Relevanz der Daten für eine der in Absatz 1 angegebenen Kategorien zu bewerten; oder

 

b) wenn eine solche Verarbeitung für gezielte Präventivzwecke oder für die Zwecke einer kriminalistischen Analyse unabdingbar ist, sofern und solange dieser Zweck rechtmäßig, klar definiert und spezifisch ist und die Verarbeitung streng darauf beschränkt ist, die Relevanz der Daten für eine der in Absatz 1 angegebenen Kategorien zu bewerten. Dies wird regelmäßig – mindestens alle sechs Monate – überprüft. Jede weitere Verwendung ist untersagt.

 

3. Die Mitgliedstaaten sorgen dafür, dass zusätzliche Beschränkungen und Garantien gemäß mitgliedstaatlichem Recht auf die Weiterverarbeitung personenbezogener Daten in Bezug auf die in Absatz 1 Buchstabe c und d genannten betroffenen Personen Anwendung finden.

Änderungsantrag  66

Vorschlag für eine Richtlinie

Artikel 6

Vorschlag der Kommission

Geänderter Text

Unterscheidung der personenbezogenen Daten nach Richtigkeit und Zuverlässigkeit

Unterscheidung der personenbezogenen Daten nach Richtigkeit und Zuverlässigkeit

1. Die Mitgliedstaaten tragen dafür Sorge, dass die zu verarbeitenden Datenkategorien so weit wie möglich nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden werden.

1. Die Mitgliedstaaten tragen dafür Sorge, dass die Richtigkeit und Zuverlässigkeit der zu verarbeitenden personenbezogenen Daten gewährleistet ist.

2. Die Mitgliedstaaten tragen dafür Sorge, dass bei personenbezogenen Daten so weit wie möglich zwischen solchen unterschieden werden, die auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen.

2. Die Mitgliedstaaten tragen dafür Sorge, dass bei personenbezogenen Daten entsprechend ihrer Richtigkeit und Zuverlässigkeit zwischen solchen unterschieden wird, die auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen.

 

2a. Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. Zu diesem Zweck prüfen die zuständigen Behörden die Qualität der personenbezogenen Daten vor deren Übermittlung oder Bereitstellung. Bei jeder Übermittlung von Daten werden nach Möglichkeit Informationen beigefügt, die es dem Empfängermitgliedstaat gestatten, die Richtigkeit, Vollständigkeit, Aktualität und die Zuverlässigkeit der Daten zu beurteilen. Personenbezogene Daten werden nicht ohne ein entsprechendes Ersuchen einer zuständigen Behörde übermittelt, insbesondere wenn es sich um Daten handelt, die ursprünglich von nicht-öffentlichen Stellen verwaltet wurden.

 

2b. Wird festgestellt, dass unrichtige Daten übermittelt worden sind oder Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. Dieser ist verpflichtet, die Daten unverzüglich gemäß Absatz 1 und Artikel 15 zu berichtigen oder gemäß Artikel 16 zu löschen.

Änderungsantrag  67

Vorschlag für eine Richtlinie

Artikel 7

Vorschlag der Kommission

Geänderter Text

Rechtmäßigkeit der Verarbeitung

Rechtmäßigkeit der Verarbeitung

Die Mitgliedstaaten legen fest, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn und soweit die Verarbeitung zu folgenden Zwecken notwendig ist:

1. Die Mitgliedstaaten legen fest, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn und soweit die Verarbeitung sich auf das Recht der Union oder der Mitgliedstaaten zu den in Artikel 1 Absatz 1 genannten Zwecken stützt und zu folgenden Zwecken notwendig ist:

a) zur Wahrnehmung einer gesetzlichen Aufgabe, die eine zuständige Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken ausführt,

a) zur Wahrnehmung einer Aufgabe, die eine zuständige Behörde ausführt, oder

b) zur Erfüllung einer gesetzlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt,

 

c) zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person oder

c) zur Wahrung grundlegender Interessen der betroffenen Person oder einer anderen Person, oder

d) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit.

d) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit.

 

1a. Das Recht der Mitgliedstaaten, das die Verarbeitung personenbezogener Daten innerhalb des Geltungsbereichs dieser Richtlinie regelt, muss ausdrückliche und detaillierte Bestimmungen mit mindestens folgenden Angaben enthalten:

 

a) den Verarbeitungszielen;

 

b) den zu verarbeitenden personenbezogenen Daten;

 

c) den konkreten Zwecken und Mitteln der Verarbeitung;

 

d) der Ernennung des für die Verarbeitung Verantwortlichen, oder der spezifischen Kriterien für die Ernennung des für die Verarbeitung Verantwortlichen;

 

e) den Kategorien entsprechend bevollmächtigter Mitarbeiter der zuständigen Behörden für die Verarbeitung der personenbezogenen Daten;

 

f) dem bei der Verarbeitung einzuhaltende Verfahren;

 

g) den möglichen Verwendungszwecken der personenbezogenen Daten;

 

h) den Grenzen des Ermessensspielraums der zuständigen Behörden hinsichtlich der Verarbeitungstätigkeit.

Änderungsantrag  68

Vorschlag für eine Richtlinie

Artikel 7 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 7a

 

Weiterverarbeitung zu unvereinbaren Zwecken

 

1. Die Mitgliedstaaten sorgen dafür, dass personenbezogene Daten nur dann für einen anderen als die in Artikel 1 Absatz 1 genannten Zwecke, der unvereinbar ist mit den Zwecken, zu denen die Daten ursprünglich erhoben worden sind, weiter verarbeitet werden, wenn und soweit:

 

a) der Zweck in einer demokratischen Gesellschaft unbedingt erforderlich und verhältnismäßig ist und im Unionsrecht oder im mitgliedstaatlichen Recht für einen rechtmäßigen, klar definierten und spezifischen Zweck vorgesehen ist,

 

b) die Verarbeitung streng auf die notwendige Zeit für den spezifischen Datenverarbeitungsvorgang begrenzt wird,

 

c) eine weitere Verwendung für andere Zwecke untersagt ist.

 

Vor einer Verarbeitung konsultiert der Mitgliedstaat den Datenschutzbeauftragten und führt eine Datenschutz-Folgenabschätzung durch.

 

2. Neben den Anforderungen gemäß Artikel 7 Absatz 1a muss mitgliedstaatliches Recht in Bezug auf die Genehmigung einer Weiterverarbeitung im Sinne von Absatz 1 ausdrückliche und detaillierte Bestimmungen mit mindestens folgenden Angaben enthalten:

 

a) die spezifischen Zwecke und Mittel der konkreten Verarbeitung;

 

b) dass der Zugang ausschließlich von entsprechend bevollmächtigten Mitarbeitern der zuständigen Behörden bei der Wahrnehmung ihrer Aufgaben genehmigt wird, wenn in einem spezifischen Fall hinreichende Gründe für die Annahme vorliegen, dass die Verarbeitung der personenbezogenen Daten maßgeblich zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder zur Strafvollstreckung beiträgt; und

 

c) dass geeignete Garantien eingeführt werden, um dafür zu sorgen, dass Grundrechte und ‑freiheiten in Bezug auf die Verarbeitung personenbezogener Daten geschützt werden.

 

Die Mitgliedstaaten können vorsehen, dass der Zugang zu personenbezogenen Daten an zusätzliche Bedingungen, beispielsweise eine richterliche Genehmigung, in Übereinstimmung mit ihrem innerstaatlichen Recht geknüpft ist.

 

3. Die Mitgliedstaaten können eine Weiterverarbeitung personenbezogener Daten für historische, statistische oder wissenschaftliche Zwecke genehmigen, vorausgesetzt, sie legen angemessene Garantien fest, beispielsweise die Anonymisierung der Daten.

Änderungsantrag  69

Vorschlag für eine Richtlinie

Artikel 8

Vorschlag der Kommission

Geänderter Text

Verarbeitung besonderer Kategorien von personenbezogenen Daten

Verarbeitung besonderer Kategorien von personenbezogenen Daten

1. Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, Religion oder Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten oder die Gesundheit oder das Sexualleben betreffenden Daten.

1. Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, Religion oder philosophische Überzeugungen, sexuelle Orientierung oder geschlechtliche Identität, die Zugehörigkeit zu und Aktivitäten in Gewerkschaften hervorgehen, sowie von genetischen Daten oder die Gesundheit oder das Sexualleben betreffenden Daten.

2. Absatz 1 gilt nicht in folgenden Fällen:

2. Absatz 1 gilt nicht in folgenden Fällen:

a) Die Verarbeitung ist durch eine Vorschrift gestattet, die geeignete Garantien vorsieht;

a) die Verarbeitung ist unbedingt notwendig und verhältnismäßig für die Erfüllung einer Aufgabe, die im öffentlichen Interesse von den zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken, auf der Grundlage von Unionsrecht oder mitgliedstaatlichem Recht ausgeführt wird, das spezifische und angemessene Maßnahmen vorsieht, um die Wahrung der berechtigten Interessen der betroffenen Personen zu garantieren, einschließlich einer spezifischen Genehmigung einer Justizbehörde, wenn dies im innerstaatlichen Recht vorgesehen ist; oder

b) die Verarbeitung ist zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich oder

b) die Verarbeitung ist zur Wahrung wesentlicher Interessen der betroffenen Person oder einer anderen Person erforderlich oder

c) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat.

c) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, sofern diese im Einzelfall für den betreffenden Zweck relevant und unbedingt notwendig sind.

Änderungsantrag  70

Vorschlag für eine Richtlinie

Artikel 8 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 8a

 

Verarbeitung genetischer Daten zum Zwecke einer strafrechtlichen Ermittlung oder eines Gerichtsverfahrens

 

1. Die Mitgliedstaaten sehen vor, dass genetische Daten nur zur Feststellung einer genetischen Verbindung im Rahmen der Beweiserhebung zur Verhinderung einer Gefahr für die öffentliche Sicherheit oder zur Verhinderung der Verübung einer konkreten Straftat verarbeitet werden dürfen. Genetische Daten dürfen nicht zur Feststellung anderer Merkmale, die unter Umständen eine genetische Verbindung aufweisen, verarbeitet werden.

 

2. Die Mitgliedstaaten sehen vor, dass genetische Daten oder aus der Analyse dieser Daten gewonnene Informationen nur so lange gespeichert werden dürfen, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist und wenn die betroffene Person schwere Straftaten gegen das Leben, die Unversehrtheit oder Sicherheit von Personen begangen hat, wobei die Daten und Informationen strikten Speicherfristen, die im mitgliedstaatlichen Recht festzulegen sind, unterliegen.

 

3. Die Mitgliedstaaten stellen sicher, dass genetische Daten oder aus der Analyse dieser Daten gewonnene Informationen nur für längere Zeiträume gespeichert werden, wenn die genetischen Daten keiner Einzelperson zugeordnet werden können, insbesondere wenn die Daten an einem Tatort sichergestellt wurden.

Änderungsantrag  71

Vorschlag für eine Richtlinie

Artikel 9

Vorschlag der Kommission

Geänderter Text

Auf Profiling und automatischer Datenverarbeitung basierende Maßnahmen

Auf Profiling und automatischer Datenverarbeitung basierende Maßnahmen

1. Die Mitgliedstaaten legen fest, dass Maßnahmen, die eine nachteilige Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die ausschließlich aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, verboten sind, es sei denn, dies ist durch ein Gesetz erlaubt, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

1. Die Mitgliedstaaten legen fest, dass Maßnahmen, die eine Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die vollständig oder teilweise aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, verboten sind, es sei denn, dies ist durch ein Gesetz erlaubt, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

2. Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Aspekte der betroffenen Person darf sich nicht ausschließlich auf die in Artikel 8 genannten besonderen Kategorien personenbezogener Daten stützen.

2. Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Aspekte der betroffenen Person darf sich nicht auf die in Artikel 8 genannten besonderen Kategorien personenbezogener Daten stützen.

 

2a. Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke des Herausgreifens einer betroffenen Person ohne anfänglichen Verdacht, dass die betroffene Person eine Straftat begangen hat oder begehen wird, ist nur dann rechtmäßig, sofern dies für die Untersuchung einer schweren Straftat oder die Verhütung einer eindeutigen, unmittelbaren und durch faktische Hinweise belegten Gefahr für die öffentliche Sicherheit, die Existenz des Staates oder das Leben von Personen unbedingt notwendig ist.

 

2b. Ein Profiling, das beabsichtigt oder unbeabsichtigt zur Folge hat, dass Menschen aufgrund von Rasse, ethnischer Herkunft, politischer Überzeugung, Religion oder Weltanschauung, Mitgliedschaft in einer Gewerkschaft, Geschlecht oder sexueller Orientierung diskriminiert werden, oder das beabsichtigt oder unbeabsichtigt zu Maßnahmen führt, die eine solche Wirkung haben, ist in allen Fällen untersagt.

Änderungsantrag  72

Vorschlag für eine Richtlinie

Artikel 9 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 9a

 

Allgemeine Grundsätze für die Rechte der betroffenen Person

 

1. Die Mitgliedstaaten sorgen dafür, dass die Grundlage des Datenschutzes klare und eindeutige Rechte der betroffenen Person bilden, die von dem für die Verarbeitung Verantwortlichen zu achten sind. Mit dieser Richtlinie sollen diese Rechte gestärkt, geklärt, gewährleistet und erforderlichenfalls kodifiziert werden.

 

2. Die Mitgliedstaaten sorgen dafür, dass zu diesen Rechten unter anderem die Bereitstellung klarer und leicht verständlicher Informationen über die Verarbeitung ihrer personenbezogenen Daten, das Recht auf Zugang zu ihren personenbezogenen Daten, auf Berichtigung und Löschung ihrer personenbezogenen Daten, das Recht auf Erhalt von Daten, das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde und Klageerhebung sowie das Recht auf Ersatz von Schäden, die aus rechtswidriger Verarbeitung entstehen, gehören. Die Ausübung dieser Rechte darf grundsätzlich mit keinen Kosten verbunden sein. Der für die Verarbeitung Verantwortliche hat die Anträge der betroffenen Personen innerhalb einer angemessenen Frist zu bearbeiten.

Änderungsantrag  73

Vorschlag für eine Richtlinie

Artikel 10

Vorschlag der Kommission

Geänderter Text

Modalitäten für die Ausübung der Rechte der betroffenen Person

Modalitäten für die Ausübung der Rechte der betroffenen Person

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle vertretbaren Schritte unternimmt, um in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte nachvollziehbare und für jedermann leicht zugängliche Strategien zu verfolgen.

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte prägnante, nachvollziehbare, klare und für jedermann leicht zugängliche Strategien verfolgt.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen Sprache zur Verfügung stellt.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen Sprache, insbesondere dann, wenn sich die Informationen an ein Kind richten, zur Verfügung stellt.

3. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle zumutbaren Schritte unternimmt, um Verfahren für die Bereitstellung der Informationen gemäß Artikel 11 und für die Ausübung der den betroffenen Personen gemäß den Artikeln 12 bis 17 zustehenden Rechte einzuführen.

3. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche Verfahren für die Bereitstellung der Informationen gemäß Artikel 11 und für die Ausübung der den betroffenen Personen gemäß den Artikeln 12 bis 17 zustehenden Rechte einführt. Im Falle der automatischen Verarbeitung personenbezogener Daten sorgt der für die Verarbeitung Verantwortliche dafür, dass die Anträge elektronisch gestellt werden können.

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene Verzögerung von den Maßnahmen in Kenntnis setzt, die im Zusammenhang mit etwaigen Anträgen getroffen wurden.

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die betroffene Person ohne Verzögerung und spätestens innerhalb eines Monats nach Antragseingang von den Maßnahmen in Kenntnis setzt, die im Zusammenhang mit etwaigen Anträgen getroffen wurden. Die Unterrichtung hat schriftlich zu erfolgen. Erfolgt die Antragstellung in elektronischer Form, so hat die Unterrichtung in elektronischer Form zu erfolgen.

5. Die Mitgliedstaaten legen fest, dass die Unterrichtung und jegliche im Zusammenhang mit einem Antrag nach den Absätzen 3 und 4 getroffene Maßnahme des für die Verarbeitung Verantwortlichen kostenfrei ist. Bei missbräuchlichen Anträgen, besonders im Fall ihrer Häufung oder ihres zu großen Umfangs oder Volumens, kann der für die Verarbeitung Verantwortliche ein Entgelt für die Unterrichtung oder die Durchführung der beantragten Maßnahme verlangen oder die beantragte Maßnahme unterlassen. In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast für den missbräuchlichen Charakter des Antrags.

5. Die Mitgliedstaaten legen fest, dass die Unterrichtung und jegliche im Zusammenhang mit einem Antrag nach den Absätzen 3 und 4 getroffene Maßnahme des für die Verarbeitung Verantwortlichen kostenfrei ist. Bei offenkundig unverhältnismäßigen Anträgen und besonders im Fall ihrer Häufung kann der für die Verarbeitung Verantwortliche ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Durchführung der beantragten Maßnahme berücksichtigt werden. In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast für den offenkundig unverhältnismäßigen Charakter des Antrags.

 

5a. Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann. Wurde die Aufsichtsbehörde auf Antrag der betroffenen Person tätig, unterrichtet sie die betroffene Person über die durchgeführten Überprüfungen.

Änderungsantrag  74

Vorschlag für eine Richtlinie

Artikel 11

Vorschlag der Kommission

Geänderter Text

Information der betroffenen Person

Information der betroffenen Person

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle geeigneten Maßnahmen ergreift, um einer Person, von der personenbezogene Daten erhoben werden, zumindest Folgendes mitzuteilen:

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche einer Person, von der personenbezogene Daten erhoben werden, zumindest Folgendes mitteilt:

a) den Namen sowie die Kontaktdaten des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten,

a) den Namen sowie die Kontaktdaten des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten,

b) die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind,

b) die Rechtsgrundlage und die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind,

c) die Speicherfrist,

c) die Speicherfrist,

d) das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

d) das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

e) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde gemäß Artikel 39 sowie deren Kontaktdaten,

e) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde gemäß Artikel 39 sowie deren Kontaktdaten,

f) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen,

f) die Empfänger der personenbezogenen Daten, auch Empfänger in Drittländern oder in internationalen Organisationen, und die Angabe, wer nach dem Recht des betreffenden Drittlandes oder den Regeln der betreffenden internationalen Organisation befugt ist, auf die Daten zuzugreifen, das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission, oder im Falle der in Artikel 35 oder 36 genannten Übermittlungen die Mittel, um eine Kopie der angemessenen Garantien, die für die Übermittlung verwendet wurden, zu erhalten,

 

fa) falls der für die Verarbeitung Verantwortliche Daten gemäß Artikel 9 Absatz 1 verarbeitet, Informationen über die Verarbeitung für die in Artikel 9 Absatz 1 beschriebene Maßnahme sowie die beabsichtigte Wirkung dieser Verarbeitung auf die betroffene Person, Angaben über die dem Profiling zugrunde liegende Methode und das Recht auf persönliche Prüfung,

 

fb) Informationen in Bezug auf zum Schutz personenbezogener Daten vorgenommene Sicherheitsmaßnahmen,

g) sonstige Informationen, soweit diese die unter Berücksichtigung der spezifischen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

g) sonstige Informationen, soweit diese die unter Berücksichtigung der spezifischen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

2. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder freiwillig ist und welche mögliche Folgen die Zurückhaltung der Daten hätte.

2. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder freiwillig ist und welche mögliche Folgen die Zurückhaltung der Daten hätte.

3. Der für die Verarbeitung Verantwortliche erteilt die Auskünfte gemäß Absatz 1

3. Der für die Verarbeitung Verantwortliche erteilt die Auskünfte gemäß Absatz 1

a) zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder

a) zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder

b) im Fall, die Daten werden nicht bei der betroffenen Person erhoben, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

b) im Fall, die Daten werden nicht bei der betroffenen Person erhoben, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

4. Die Mitgliedstaaten dürfen Rechtsvorschriften erlassen, die die Unterrichtung der betroffenen Person zu folgenden Zwecken in einem solchen Umfang und so lange hinauszögern, einschränken oder unterbinden, wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

4. Die Mitgliedstaaten dürfen Rechtsvorschriften erlassen, die die Unterrichtung der betroffenen Person im Einzelfall zu folgenden Zwecken in einem solchen Umfang und so lange hinauszögern oder einschränken, wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten nicht beeinträchtigt oder dass strafrechtliche Sanktionen vollstreckt werden;

b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten nicht beeinträchtigt oder dass strafrechtliche Sanktionen vollstreckt werden;

c) zum Schutz der öffentlichen Sicherheit;

c) zum Schutz der öffentlichen Sicherheit;

d) zum Schutz der nationalen Sicherheit;

d) zum Schutz der nationalen Sicherheit;

e) zum Schutz der Rechte und Freiheiten anderer.

e) zum Schutz der Rechte und Freiheiten anderer.

5. Die Mitgliedstaaten können die Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 4 vollständig oder teilweise zur Anwendung kommt.

5. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in jedem Einzelfall im Rahmen einer konkreten und individuellen Untersuchung feststellt, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang aus einem der Gründe gemäß Absatz 4 gilt. Die Mitgliedstaaten können zudem die Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 4 Buchstaben a, b, c und d vollständig oder teilweise zur Anwendung kommt.

Änderungsantrag  75

Vorschlag für eine Richtlinie

Artikel 12

Vorschlag der Kommission

Geänderter Text

Auskunftsrecht der betroffenen Person

Auskunftsrecht der betroffenen Person

1. Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht. Werden personenbezogene Daten verarbeitet, teilt der für die Verarbeitung Verantwortliche Folgendes mit:

1. Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht. Werden personenbezogene Daten verarbeitet, teilt der für die Verarbeitung Verantwortliche Folgendes mit, soweit diese Angaben nicht bereits übermittelt worden sind:

 

-a) diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten und, falls zutreffend, verständliche Informationen über die einer automatisierten Verarbeitung zugrunde liegende Methode;

 

-aa) die Tragweite der Verarbeitung und die mit ihr angestrebten Auswirkungen, zumindest im Fall der Maßnahmen gemäß Artikel 9;

a) die Verarbeitungszwecke;

a) die Verarbeitungszwecke sowie die Rechtsgrundlage für die Verarbeitung;

b) die Kategorien personenbezogener Daten, die verarbeitet werden,

b) die Kategorien personenbezogener Daten, die verarbeitet werden,

c) die Empfänger oder Arten von Empfängern, an die die personenbezogenen Daten weitergegeben wurden, speziell bei Empfängern in Drittländern,

c) die Empfänger, an die die personenbezogenen Daten weitergegeben wurden, speziell bei Empfängern in Drittländern,

d) die Speicherfrist,

d) die Speicherfrist,

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

f) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

f) das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

g) diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

 

2. Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu verlangen.

2. Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu verlangen. Stellt die betroffene Person den Antrag in elektronischer Form, ist sie auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(Absatz 1 Buchstabe g im Text der Kommission wurde zu einem Teil von Absatz 1 Buchstabe ‑aa im Änderungsantrag des Parlaments.)

Änderungsantrag  76

Vorschlag für eine Richtlinie

Artikel 13

Vorschlag der Kommission

Geänderter Text

Einschränkung des Auskunftsrechts

Einschränkung des Auskunftsrechts

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft, abhängig vom konkreten Fall, teilweise oder vollständig einschränken, soweit und solange diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft unbedingt notwendig und verhältnismäßig ist und den Grundrechten sowie den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

c) zum Schutz der öffentlichen Sicherheit;

c) zum Schutz der öffentlichen Sicherheit;

d) zum Schutz der nationalen Sicherheit;

d) zum Schutz der nationalen Sicherheit;

e) zum Schutz der Rechte und Freiheiten anderer.

e) zum Schutz der Rechte und Freiheiten anderer.

2. Die Mitgliedstaaten können gesetzlich Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 1 vollständig oder teilweise zur Anwendung kommt.

2. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in jedem Einzelfall im Rahmen einer konkreten und individuellen Untersuchung prüft, ob eine teilweise oder vollständige Einschränkung des Rechts auf Informationszugang aus einem der Gründe gemäß Absatz 1 gilt. Die Mitgliedstaaten können zudem gesetzlich Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 1 Buchstaben a bis d vollständig oder teilweise zur Anwendung kommt.

3. Für die in den Absätzen 1 und 2 genannten Fälle legen die Mitgliedstaaten fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Auskunft und die Gründe hierfür beziehungsweise die Einschränkung der Auskunft sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten. Von der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung kann abgesehen werden, wenn dies einem der in Absatz 1 genannten Zwecke zuwiderliefe.

3. Für die in den Absätzen 1 und 2 genannten Fälle legen die Mitgliedstaaten fest, dass der für die Verarbeitung Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung der Auskunft und die Gründe hierfür beziehungsweise die Einschränkung der Auskunft sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten. Von der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung kann abgesehen werden, wenn dies einem der in Absatz 1 genannten Zwecke zuwiderliefe.

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Gründe für die Unterlassung der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung dokumentiert.

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Überprüfung nach Absatz 2 sowie die Gründe für die Einschränkung der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung dokumentiert. Diese Angaben sind der einzelstaatlichen Aufsichtsbehörde zur Verfügung zu stellen.

Änderungsantrag  77

Vorschlag für eine Richtlinie

Artikel 14

Vorschlag der Kommission

Geänderter Text

Modalitäten der Wahrnehmung des Auskunftsrechts

Modalitäten der Wahrnehmung des Auskunftsrechts

1. Die Mitgliedstaaten legen fest, dass die betroffene Person besonders in den in Artikel 13 genannten Fällen das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

1. Die Mitgliedstaaten legen fest, dass die betroffene Person besonders in den in Artikel 12 und 13 genannten Fällen jederzeit das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

3. Nimmt die Aufsichtsbehörde das Recht nach Absatz 1 wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat.

3. Nimmt die Aufsichtsbehörde das Recht nach Absatz 1 wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat. Die Aufsichtsbehörde hat zudem die betroffene Person über ihr Recht auf einen Rechtsbehelf zu informieren.

 

3a. Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann.

 

3b. Die Mitgliedstaaten sorgen dafür, dass dem für die Verarbeitung Verantwortlichen angemessenen Fristen zur Verfügung stehen, um auf den Antrag der betroffenen Person in Bezug auf ihr Auskunftsrecht zu antworten.

Änderungsantrag  78

Vorschlag für eine Richtlinie

Artikel 15

Vorschlag der Kommission

Geänderter Text

Recht auf Berichtigung

Recht auf Berichtigung und Vervollständigung

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Berichtigung von sie betreffenden unzutreffenden personenbezogenen Daten zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Daten, besonders in Form eines Korrigendums, zu verlangen.

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Berichtigung oder Vervollständigung von sie betreffenden unzutreffenden oder unvollständigen personenbezogenen Daten in Form einer Vervollständigung oder eines Korrigendums zu verlangen.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Berichtigung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Berichtigung oder Vervollständigung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

 

2a. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche jeden Empfänger, der Zugang zu den Daten hat, über die Berichtigung informiert, es sei denn, dies erweist als unmöglich oder bedeutet einen unverhältnismäßigen Aufwand.

 

2b. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche die Berichtigung von unzutreffenden personenbezogenen Daten den Dritten, von denen die falschen Daten stammten, mitteilt.

 

2c. Die Mitgliedstaaten können festlegen, dass die betroffene Person diese Rechte auch über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann.

Änderungsantrag  79

Vorschlag für eine Richtlinie

Artikel 16

Vorschlag der Kommission

Geänderter Text

Recht auf Löschung

Recht auf Löschung

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4 Buchstaben a bis e sowie von Artikel 7 und 8 dieser Richtlinie vereinbar ist.

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4, 6, 7 und 8 dieser Richtlinie vereinbar ist.

2. Der für die Verarbeitung Verantwortliche nimmt die Löschung unverzüglich vor.

2. Der für die Verarbeitung Verantwortliche nimmt die Löschung unverzüglich vor. Der für die Verarbeitung Verantwortliche unterlässt auch die Weiterverbreitung dieser Daten.

3. Anstatt die personenbezogenen Daten zu löschen, markiert der für die Verarbeitung Verantwortliche diese, wenn

3. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung beschränken, wenn

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

b) die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen;

b) die personenbezogenen Daten für Beweiszwecke oder den Schutz wesentlicher Interessen der betroffenen Person oder einer anderen Person weiter aufbewahrt werden müssen.

(c) die betroffene Person Einspruch gegen die Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert.

 

 

3a. Unterliegt die Verarbeitung personenbezogener Daten einer Beschränkung gemäß Absatz 3, unterrichtet der für die Verarbeitung Verantwortliche die betroffene Person, bevor er die Beschränkung aufhebt.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder der Markierung der Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder die Beschränkung der Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

 

4a. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Empfänger, denen die Daten übermittelt wurden, über die Löschung oder Beschränkung gemäß Absatz 1 informiert, es sei denn, dies erweist als unmöglich oder bedeutet einen unverhältnismäßigen Aufwand. Der für die Verarbeitung Verantwortliche unterrichtet die betroffene Person über diese Dritten.

 

4b. Die Mitgliedstaaten können festlegen, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige einzelstaatliche Aufsichtsbehörde geltend machen kann.

Änderungsantrag  80

Vorschlag für eine Richtlinie

Artikel 18

Vorschlag der Kommission

Geänderter Text

Pflichten des für die Verarbeitung Verantwortlichen

Pflichten des für die Verarbeitung Verantwortlichen

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche durch geeignete Strategien und Maßnahmen sicherstellt, dass personenbezogene Daten in Übereinstimmung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet werden.

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche sowohl zur Zeit der Festlegung der Mittel der Verarbeitung als auch zur Zeit der Verarbeitung selbst durch geeignete Strategien und Maßnahmen sicherstellt und für jeden Verarbeitungsvorgang in transparenter Art und Weise nachweisen kann, dass personenbezogene Daten in Übereinstimmung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet werden.

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

a) die in Artikel 23 genannte Dokumentation;

a) die in Artikel 23 genannte Dokumentation;

 

aa) die Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 25a;

b) die Umsetzung der nach Artikel 26 geltenden Anforderungen in Bezug auf die vorherige Zurateziehung;

b) die Umsetzung der nach Artikel 26 geltenden Anforderungen in Bezug auf die vorherige Zurateziehung;

c) die Umsetzung der in Artikel 27 vorgesehenen Vorkehrungen für die Datensicherheit;

c) die Umsetzung der in Artikel 27 vorgesehenen Vorkehrungen für die Datensicherheit;

d) die Benennung eines Datenschutzbeauftragten gemäß Artikel 30.

d) die Benennung eines Datenschutzbeauftragten gemäß Artikel 30;

 

da) gegebenenfalls Ausarbeitung und Implementierung spezifischer Garantien für die Verarbeitung personenbezogener Daten bei Kindern.

3. Der für die Verarbeitung Verantwortliche setzt geeignete Mechanismen zur Überprüfung der Wirksamkeit der in Absatz 1 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies verhältnismäßig ist.

3. Der für die Verarbeitung Verantwortliche setzt geeignete Mechanismen zur Überprüfung der Angemessenheit und Wirksamkeit der in Absatz 1 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies verhältnismäßig ist.

Änderungsantrag  81

Vorschlag für eine Richtlinie

Artikel 19

Vorschlag der Kommission

Geänderter Text

Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen ergreift und Verfahren durchführt, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen der nach Maßgabe dieser Richtlinie erlassenen Vorschriften genügt und die Rechte der betroffenen Person gewahrt werden.

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche und gegebenenfalls der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der aktuellen technischen Kenntnisse, bewährter internationaler Verfahren und der von der Verarbeitung ausgehenden Risiken sowohl zum Zeitpunkt der Festlegung der Zwecke und Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung geeignete und verhältnismäßige technische und organisatorische Maßnahmen und Verfahren durchführt, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen dieser Richtlinie genügt und die Rechte der betroffenen Person gewahrt werden, insbesondere, was die in Artikel 4 aufgeführten Grundsätze betrifft. Beim Datenschutz durch Technik wird dem gesamten Lebenszyklusmanagement personenbezogener Daten von der Erhebung über die Verarbeitung bis zur Löschung besondere Aufmerksamkeit geschenkt und der Schwerpunkt systematisch auf umfassende Verfahrensgarantien hinsichtlich der Richtigkeit, Vertraulichkeit, Vollständigkeit, physischen Sicherheit und Löschung personenbezogener Daten gelegt. Hat der für die Verarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung gemäß Artikel 25a vorgenommen, werden die entsprechenden Ergebnisse bei der Entwicklung dieser Maßnahmen und Verfahren berücksichtigt.

2. Der für die Verarbeitung Verantwortliche setzt Mechanismen ein, durch die sichergestellt wird, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die Zwecke der Verarbeitung benötigt werden.

2. Der für die Verarbeitung Verantwortliche stellt sicher, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die spezifischen Zwecke der Verarbeitung benötigt werden, und dass vor allem nicht mehr personenbezogene Daten zusammengetragen, vorgehalten oder verbreitet werden, als für diese Zwecke unbedingt nötig ist, und diese Daten auch nicht länger als für diese Zwecke unbedingt erforderlich gespeichert werden. Diese Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden und dass die betroffenen Personen in der Lage sind, die Verbreitung ihrer personenbezogenen Daten zu kontrollieren.

Änderungsantrag  82

Vorschlag für eine Richtlinie

Artikel 20

Vorschlag der Kommission

Geänderter Text

Gemeinsam für die Verarbeitung Verantwortliche

Gemeinsam für die Verarbeitung Verantwortliche

Die Mitgliedstaaten schreiben vor, dass in allen Fällen, in denen ein für die Verarbeitung Verantwortlicher die Zwecke, die Bedingungen und die Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Stellen und Personen festlegt, diese gemeinsam für die Verarbeitung Verantwortlichen untereinander vereinbaren müssen, wer von ihnen welche der gemäß den nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu erfüllenden Aufgaben, insbesondere in Bezug auf die Verfahren und Mechanismen für die Wahrnehmung der Rechte der betroffenen Person, erfüllt.

1. Die Mitgliedstaaten schreiben vor, dass in allen Fällen, in denen ein für die Verarbeitung Verantwortlicher die Zwecke, die Bedingungen und die Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Stellen und Personen festlegt, diese gemeinsam für die Verarbeitung Verantwortlichen untereinander rechtsverbindlich vereinbaren müssen, wer von ihnen welche der gemäß den nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu erfüllenden Aufgaben, insbesondere in Bezug auf die Verfahren und Mechanismen für die Wahrnehmung der Rechte der betroffenen Person, erfüllt.

 

2. Sofern die betroffenen Person nicht darüber unterrichtet worden ist, wer der gemeinsam für die Verarbeitung Verantwortlichen im Sinne des Absatzes 1 verantwortlich ist, kann die betroffene Person ihre im Rahmen dieser Richtlinie geltenden Rechte in Bezug auf und gegen zwei oder mehrere gemeinsam für die Verarbeitung Verantwortliche ausüben.

Änderungsantrag  83

Vorschlag für eine Richtlinie

Artikel 21

Vorschlag der Kommission

Geänderter Text

Auftragsverarbeiter

Auftragsverarbeiter

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen und Verfahren so durchgeführt werden, dass die Verarbeitung im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen und Verfahren so durchgeführt werden, dass die Verarbeitung im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird, insbesondere in Bezug auf die technischen Sicherheitsvorkehrungen und organisatorischen Maßnahmen, die die durchzuführende Verarbeitung bestimmen, und dass die Vereinbarkeit mit diesen Vorkehrungen und Maßnahmen sichergestellt wird.

2. Die Mitgliedstaaten legen fest, dass die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Rechtsakts zu erfolgen hat, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem vor allem vorgesehen ist, dass der Auftragsverarbeiter, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist, nur auf Weisung des für die Verarbeitung Verantwortlichen handelt.

2. Die Mitgliedstaaten legen fest, dass die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines Rechtsakts zu erfolgen hat, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere vorgesehen ist, dass der Auftragsverarbeiter

 

a) nur auf Weisung des für die Verarbeitung Verantwortlichen tätig wird;

 

b) nur Mitarbeiter beschäftigt, die ihre Zustimmung zu einer Vertraulichkeitsverpflichtung gegeben haben oder die gesetzlich zur Vertraulichkeit verpflichtet sind;

 

c) alle in Artikel 27 genannten erforderlichen Maßnahmen ergreift;

 

d) einen anderen Auftragsverarbeiter nur mit Erlaubnis des für die Verarbeitung Verantwortlichen hinzuzieht und den für die Verarbeitung Verantwortlichen von dem Vorhaben, einen anderen Auftragsverarbeiter hinzuzuziehen, rechtzeitig in Kenntnis setzt, um es dem für die Verarbeitung Verantwortlichen zu ermöglichen, Widerspruch zu erheben;

 

e) soweit es verarbeitungsbedingt möglich ist, in Absprache mit dem für die Verarbeitung Verantwortlichen die notwendigen technischen und organisatorischen Voraussetzungen dafür schafft, dass der für die Verarbeitung Verantwortliche seine Pflicht erfüllen kann, Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;

 

f) den für die Verarbeitung Verantwortlichen bei der Einhaltung der in den Artikeln 25 bis 29 genannten Pflichten unterstützt;

 

g) nach Abschluss der Verarbeitung dem für die Verarbeitung Verantwortlichen sämtliche Ergebnisse zurückgibt, die personenbezogenen Daten auf keine andere Weise weiterverarbeitet und bestehende Kopien löscht, es sei denn, in Rechtsvorschriften der Union oder der Mitgliedstaaten ist die Speicherung der Daten vorgesehen;

 

h) dem für die Verarbeitung Verantwortlichen und der Aufsichtsbehörde alle erforderlichen Informationen für die Überprüfung der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt;

 

i) den Grundsatz des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen berücksichtigt.

 

2a. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter dokumentieren schriftlich die Anweisungen des für die Verarbeitung Verantwortlichen und die in Absatz 2 aufgeführten Pflichten des Auftragsverarbeiters.

3. Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den in Artikel 20 festgelegten Bestimmungen für gemeinsam für die Verarbeitung Verantwortliche.

3. Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den in Artikel 20 festgelegten Bestimmungen für gemeinsam für die Verarbeitung Verantwortliche.

Änderungsantrag  84

Vorschlag für eine Richtlinie

Artikel 22 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Wenn der Auftragsverarbeiter in Bezug auf die Zwecke, Mittel oder Methoden der Datenverarbeitung Entscheidungsbefugnis besitzt oder erhält oder wenn er nicht ausschließlich auf Weisung des für die Verarbeitung Verantwortlichen handelt, gilt er als gemeinsam für die Verarbeitung Verantwortlicher gemäß Artikel 20.

Änderungsantrag  85

Vorschlag für eine Richtlinie

Artikel 23

Vorschlag der Kommission

Geänderter Text

Dokumentation

Dokumentation

1. Die Mitgliedstaaten legen fest, dass jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren dokumentieren.

1. Die Mitgliedstaaten legen fest, dass jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren dokumentieren.

2. Die Dokumentation enthält mindestens folgende Informationen:

2. Die Dokumentation enthält mindestens folgende Informationen:

a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters;

a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters;

 

aa) bei gemeinsam für die Verarbeitung Verantwortlichen eine rechtsverbindliche Vereinbarung; eine Liste der Auftragsverarbeiter und der durch diese ausgeführten Aufgaben;

b) die Verarbeitungszwecke;

b) die Verarbeitungszwecke;

 

ba) Angaben zu den Teilen der Organisation des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, die mit der Verarbeitung der personenbezogenen Daten zu einem bestimmten Zweck beauftragt wurden;

 

bb) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;

c) die Empfänger oder Arten von Empfängern der personenbezogenen Daten;

c) die Empfänger oder Arten von Empfängern der personenbezogenen Daten;

 

ca) gegebenenfalls Informationen über die Existenz von Profiling, von auf Profiling basierenden Maßnahmen sowie von Mechanismen, um gegen Profiling Einspruch zu erheben;

 

cb) verständliche Informationen über die Gründe einer automatischen Verarbeitung;

d) Angaben über etwaige Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen.

d) Angaben über etwaige Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen sowie Angaben über den Rechtsgrund für die Übermittlung der Daten; wird eine Übermittlung auf der Grundlage von Artikel 35 oder 36 dieser Richtlinie durchgeführt, ist dafür eine umfassende Erklärung abzugeben;

 

da) die Fristen für die Löschung der verschiedenen Datenkategorien;

 

db) die Ergebnisse der Prüfung von Maßnahmen gemäß Artikel 18 Absatz 1;

 

dc) Angaben über die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind.

3. Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung.

3. Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die gesamte Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung.

Änderungsantrag  86

Vorschlag für eine Richtlinie

Artikel 24

Vorschlag der Kommission

Geänderter Text

Aufzeichnung von Vorgängen

Aufzeichnung von Vorgängen

1. Die Mitgliedstaaten stellen sicher, dass mindestens über folgende Verarbeitungsvorgänge Buch geführt wird: Erhebung, Veränderung, Abfrage, Weitergabe, Kombination oder Löschung. Den Aufzeichnungen über Abfragen und Weiterleitungen müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die personenbezogenen Daten abgefragt oder weitergeleitet hat.

1. Die Mitgliedstaaten stellen sicher, dass mindestens über folgende Verarbeitungsvorgänge Buch geführt wird: Erhebung, Veränderung, Abfrage, Weitergabe, Kombination oder Löschung. Den Aufzeichnungen über Abfragen und Weiterleitungen müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die personenbezogenen Daten abgefragt oder weitergeleitet hat, sowie die Identität des Empfängers solcher Daten.

2. Die Aufzeichnungen dürfen nur zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten verwendet werden.

2. Die Aufzeichnungen dürfen nur zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten sowie zum Zweck der Überprüfung durch den Datenschutzbeauftragten oder die Datenschutzbehörde verwendet werden.

 

2a. Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die Aufzeichnungen der Aufsichtsbehörde auf Anforderung zur Verfügung.

Änderungsantrag  87

Vorschlag für eine Richtlinie

Artikel 25

Vorschlag der Kommission

Geänderter Text

Zusammenarbeit mit der Aufsichtsbehörde

Zusammenarbeit mit der Aufsichtsbehörde

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf Aufforderung mit der Aufsichtsbehörde bei der Erfüllung von deren Pflichten zusammenarbeiten, indem sie dieser insbesondere die Informationen übermitteln, die sie zur Erfüllung ihrer Pflichten benötigt.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf Aufforderung mit der Aufsichtsbehörde bei der Erfüllung von deren Pflichten zusammenarbeiten, indem sie dieser insbesondere die in Artikel 46 Absatz 2 Buchstabe a genannten Informationen übermitteln und den Zugang gemäß Artikel 46 Absatz 2 Buchstabe b gewähren.

2. Auf von der Aufsichtsbehörde im Rahmen der Ausübung ihrer Befugnisse erteilte Anordnungen gemäß Artikel 46 Buchstaben a und b antworten der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter der Aufsichtsbehörde binnen einer angemessenen Frist. Ihre Antwort umfasst auch eine Beschreibung der im Anschluss an die Bemerkungen der Aufsichtsbehörde getroffenen Maßnahmen und ihrer Ergebnisse.

2. Auf von der Aufsichtsbehörde im Rahmen der Ausübung ihrer Befugnisse erteilte Anordnungen gemäß Artikel 46 Absatz 1 Buchstaben a und b antworten der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter der Aufsichtsbehörde binnen einer angemessenen, von der Aufsichtsbehörde festgelegten Frist. Ihre Antwort umfasst auch eine Beschreibung der im Anschluss an die Bemerkungen der Aufsichtsbehörde getroffenen Maßnahmen und ihrer Ergebnisse.

Änderungsantrag  88

Vorschlag für eine Richtlinie

Artikel 25 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 25a

 

Datenschutz-Folgenabschätzung

 

1. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vor neuen Verarbeitungsvorgängen oder im Fall bereits bestehender Verarbeitungsvorgänge so früh wie möglich eine Abschätzung der Folgen der vorgesehenen Verarbeitungssysteme und –verfahren für den Schutz der personenbezogenen Daten durchführt, wenn die Verarbeitungsvorgänge aufgrund ihrer Natur, ihres Anwendungsbereichs oder ihrer Bestimmungszwecke eine konkrete Gefahr für die Rechte und Freiheiten der betroffenen Personen darstellen können.

 

2. Insbesondere die folgenden Verarbeitungsvorgänge können die in Absatz 1 genannten konkreten Gefahren darstellen:

 

a) die Verarbeitung personenbezogener Daten in groß angelegten Ablagesystemen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung;

 

b) die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 8, personenbezogener Daten von Kindern sowie von biometrischen Daten und Standortdaten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung;

 

c) die Bewertung einzelner personenbezogener Aspekte einer natürlichen Person oder zur Analyse oder Prognose insbesondere des Verhaltens der natürlichen Person, die auf automatischer Verarbeitung basiert und zu Maßnahmen führen kann, die rechtliche Wirkungen auf die Einzelperson haben oder erhebliche Auswirkungen für die Einzelperson nach sich ziehen;

 

d) Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Einrichtungen (Videoüberwachung); oder

 

e) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 26 Absatz 1 vorab die Aufsichtsbehörde zu Rate zu ziehen ist.

 

3. Die Abschätzung enthält zumindest Folgendes:

 

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;

 

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

 

c) eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Gefahren und die geplanten Abhilfemaßnahmen und Maßnahmen zur Minimierung der Menge der verarbeiteten personenbezogenen Daten;

 

d) Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die nach Maßgabe dieser Richtlinie erlassenen Vorschriften eingehalten werden, wobei den Rechten und den berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird;

 

e) eine allgemeine Angabe der Fristen für die Löschung der verschiedenen Datenkategorien;

 

f) gegebenenfalls eine Liste mit Angaben über geplante Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen sowie bei den in Artikel 36 Absatz 2 genannten Datenübermittlungen ein Beleg dafür, dass geeignete Sicherheitsgarantien vorgesehen wurden;

 

4. Wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten benannt hat, ist dieser am Verfahren der Folgenabschätzung zu beteiligen.

 

5. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche in Bezug auf die geplante Verarbeitung eine öffentliche Konsultation durchführt, ohne den Schutz der öffentlichen Interessen oder die Sicherheit der Verarbeitungsvorgänge zu beeinträchtigen.

 

6. Die Folgenabschätzung ist der Öffentlichkeit leicht zugänglich zu machen, ohne den Schutz der öffentlichen Interessen oder die Sicherheit der Verarbeitungsvorgänge zu beeinträchtigen.

 

7. Der Kommission wird die Befugnis übertragen, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Bedingungen von Verarbeitungsvorgängen, die die in Absatz 1 und 2 genannten Gefahren bergen können, sowie die Anforderungen für eine Abschätzung gemäß Absatz 3, einschließlich der Skalierbarkeit, Überprüfung und Auditierbarkeit, weiter zu spezifizieren.

Änderungsantrag  89

Vorschlag für eine Richtlinie

Artikel 26

Vorschlag der Kommission

Geänderter Text

Vorherige Zurateziehung der Aufsichtsbehörde

Vorherige Zurateziehung der Aufsichtsbehörde

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateien die Aufsichtsbehörde zu Rate zieht, wenn

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung personenbezogener Daten die Aufsichtsbehörde zu Rate zieht, damit die Vereinbarkeit der geplanten Verarbeitung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Gefahren gemindert werden, wenn

a) in Artikel 8 genannte besondere Kategorien von Daten verarbeitet werden oder

a) aus einer Datenschutz-Folgenabschätzung nach Artikel 25a hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke erhebliche konkrete Risiken bergen können; oder

b) wegen der Art der Verarbeitung, insbesondere der Verarbeitung mit neuen Technologien, Mechanismen oder Verfahren, andernfalls spezifische Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere für den Schutz ihrer personenbezogener Daten bestehen.

b) die Aufsichtsbehörde eine vorherige Zurateziehung bezüglich konkreter Verarbeitungsvorgänge, welche aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Gefahren für die Rechte und Freiheiten betroffener Personen bergen können, für erforderlich hält.

 

1a. Falls die Aufsichtsbehörde im Rahmen ihrer Befugnisse feststellt, dass die geplante Verarbeitung nicht im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften steht, insbesondere weil die Gefahren unzureichend ermittelt wurden oder eingedämmt werden, untersagt sie die geplante Verarbeitung und unterbreitet geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

2. Die Mitgliedstaaten können festlegen, dass die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellt, die der Pflicht zur vorherigen Zurateziehung nach Absatz 1 unterliegen.

2. Die Mitgliedstaaten legen fest, dass die Aufsichtsbehörde nach Anhörung des Europäischen Datenschutzausschusses eine Liste der Verarbeitungsvorgänge erstellt, die der Pflicht zur vorherigen Zurateziehung nach Absatz 1 Buchstabe b unterliegen.

 

2a. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter der Aufsichtsbehörde die Datenschutz-Folgenabschätzung gemäß Artikel 25a vorlegt und ihr auf Aufforderung alle sonstigen Informationen übermittelt, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Sicherheitsgarantien bewerten zu können.

 

2b. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften steht oder die Gefahren unzureichend ermittelt wurden oder eingedämmt werden, unterbreitet sie geeignete Vorschläge, wie diese Mängel beseitigt werden könnten.

 

2c. Die Mitgliedstaaten können die Aufsichtsbehörde bei der Ausarbeitung einer von ihren einzelstaatlichen Parlamenten zu erlassenden Legislativmaßnahme oder einer sich auf eine solche Legislativmaßnahme gründenden Maßnahme, durch die die Art der Verarbeitung definiert wird, zu Rate ziehen, damit die Vereinbarkeit der geplanten Verarbeitung mit dieser Richtlinie sichergestellt ist und insbesondere die für die betreffenden Personen bestehenden Gefahren gemindert werden.

Änderungsantrag  90

Vorschlag für eine Richtlinie

Artikel 27

Vorschlag der Kommission

Geänderter Text

Sicherheit der Verarbeitung

Sicherheit der Verarbeitung

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen und Verfahren umsetzt, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

2. Die Mitgliedstaaten legen im Hinblick auf die automatisierte Datenverarbeitung fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreifen, die Folgendes bezwecken:

2. Die Mitgliedstaaten legen im Hinblick auf die automatisierte Datenverarbeitung fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreifen, die Folgendes bezwecken:

a) Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, für Unbefugte (Zugangskontrolle);

a) Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, für Unbefugte (Zugangskontrolle);

b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);

b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);

c) Verhinderung der unbefugten Eingabe von Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);

c) Verhinderung der unbefugten Eingabe von Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);

d) Verhinderung der Nutzung automatisierter Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);

d) Verhinderung der Nutzung automatisierter Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);

e) Gewährleistung, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

e) Gewährleistung, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übermittlungskontrolle);

f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übermittlungskontrolle);

g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

h) Verhinderung, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

h) Verhinderung, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);

i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);

j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

 

ja) Gewährleistung des Vorhandenseins zusätzlicher Sicherheitsmaßnahmen im Falle der Verarbeitung sensibler personenbezogener Daten gemäß Artikel 8, um ein situationsbezogenes Risikobewusstsein sowie die Fähigkeit sicherzustellen, Präventiv- und Abhilfemaßnahmen sowie abmildernde Maßnahmen zeitnah gegen festgestellte Schwachstellen oder Vorfälle zu ergreifen, die ein Risiko für die Daten darstellen könnten;

 

2a. Die Mitgliedstaaten sehen vor, dass zum Auftragsverarbeiter nur bestimmt werden darf, wer Gewähr dafür bietet, dass er die erforderlichen technischen und organisatorischen Maßnahmen nach Absatz 1 trifft und Weisungen nach Artikel 21 Absatz 2 Buchstabe a beachtet. Die zuständige Behörde hat den Auftragsverarbeiter daraufhin zu überwachen.

3. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

3. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

Änderungsantrag  91

Vorschlag für eine Richtlinie

Artikel 28

Vorschlag der Kommission

Geänderter Text

Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach deren Feststellung melden muss. Falls die Meldung nicht binnen 24 Stunden erfolgt, legt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde auf Aufforderung eine Begründung vor.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten unverzüglich und nach Möglichkeit binnen 24 Stunden melden muss. Im Fall der Verspätung legt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde auf Aufforderung eine Begründung vor.

2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

2. Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

3. Die in Absatz 1 genannte Meldung muss mindestens folgende Informationen enthalten:

3. Die in Absatz 1 genannte Meldung muss mindestens folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

b) Name und Kontaktdaten des in Artikel 30 genannten Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

b) Name und Kontaktdaten des in Artikel 30 genannten Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

c) Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d) eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;

e) eine Beschreibung der Maßnahmen, die der für die Verarbeitung Verantwortliche infolge der Verletzung des Schutzes personenbezogener Daten vorgeschlagen oder ergriffen hat.

e) eine Beschreibung der vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten und zur Minderung ihrer Auswirkungen.

 

Können nicht alle Informationen unverzüglich bereitgestellt werden, kann der für die Verarbeitung Verantwortliche die Meldung in einer zweiten Stufe vervollständigen.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. Die Dokumentation muss umfassend genug sein, um der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels zu ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

 

4a. Die Aufsichtsbehörde führt ein öffentliches Verzeichnis der Arten der gemeldeten Verletzungen.

5. Die Kommission ist ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Anforderungen für die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten und für die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

5. Die Kommission ist ermächtigt, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Anforderungen für die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten und für die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

6. Die Kommission kann eine Standardvorlage für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für Meldungen sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

6. Die Kommission kann eine Standardvorlage für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für Meldungen sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

Änderungsantrag  92

Vorschlag für eine Richtlinie

Artikel 29

Vorschlag der Kommission

Geänderter Text

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche im Anschluss an die Meldung nach Artikel 28 die betroffene Person ohne unangemessene Verzögerung von der Verletzung des Schutzes personenbezogener Daten benachrichtigt, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

1. Die Mitgliedstaaten tragen dafür Sorge, dass dann, wenn der Schutz der personenbezogenen Daten, der Privatsphäre, der Rechte oder der berechtigten Interessen der betroffenen Person durch eine Verletzung des Schutzes personenbezogener Daten beeinträchtigt werden kann, der für die Verarbeitung Verantwortliche im Anschluss an die Meldung nach Artikel 28 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigt.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst eine Beschreibung der Verletzung personenbezogener Daten sowie mindestens die in Artikel 28 Absatz 3 Buchstaben b und c genannten Informationen und Empfehlungen.

2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person ist umfassend, klar und für jedermann verständlich. Sie beschreibt die Art der Verletzung des Schutzes der personenbezogenen Daten und umfasst mindestens die in Artikel 28 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen sowie Informationen über die Rechte betroffener Personen einschließlich der Rechtsbehelfe.

3. Die Benachrichtigung der betroffenen Person von der Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die keine Zugriffsberechtigung haben.

3. Die Benachrichtigung der betroffenen Person von der Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die keine Zugriffsberechtigung haben.

 

3a. Unbeschadet der dem für die Verarbeitung Verantwortlichen obliegenden Pflicht, die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, kann die Aufsichtsbehörde, falls der für die Verarbeitung Verantwortliche die betroffene Person noch nicht über die Verletzung des Schutzes personenbezogener Daten in Kenntnis gesetzt hat, nach Prüfung der zu erwartenden negativen Auswirkungen der Verletzung den für die Verarbeitung Verantwortlichen auffordern, dies zu tun.

4. Die Benachrichtigung der betroffenen Person kann aus den in Artikel 11 Absatz 4 genannten Gründen aufgeschoben, eingeschränkt oder unterlassen werden.

4. Die Benachrichtigung der betroffenen Person kann aus den in Artikel 11 Absatz 4 genannten Gründen aufgeschoben oder eingeschränkt werden.

Änderungsantrag  93

Vorschlag für eine Richtlinie

Artikel 30

Vorschlag der Kommission

Geänderter Text

Benennung eines Datenschutzbeauftragten

Benennung eines Datenschutzbeauftragten

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten benennt.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten benennt.

2. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 32 genannten Aufgaben.

2. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 32 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

 

2a. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

 

2b. Der Datenschutzbeauftragte wird für einen Zeitraum von mindestens vier Jahren ernannt. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Amtes nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

 

2c. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, den Datenschutzbeauftragten im Zusammenhang mit allen Fragen bezüglich der Verarbeitung ihrer personenbezogenen Daten zu kontaktieren.

3. Der Datenschutzbeauftragte kann unter Berücksichtigung der Struktur der zuständigen Behörde für mehrere Stellen benannt werden.

3. Der Datenschutzbeauftragte kann unter Berücksichtigung der Struktur der zuständigen Behörde für mehrere Stellen benannt werden.

 

3a. Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Namen und die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde und der Öffentlichkeit mitteilt.

Änderungsantrag  94

Vorschlag für eine Richtlinie

Artikel 31 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter unterstützt den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und stellt alle Mittel, darunter Mitarbeiter, Räumlichkeiten, Anlagen, fortlaufende Schulungsmaßnahmen und andere Mittel, zur Verfügung, die zur Erfüllung der in Artikel 32 genannten Aufgaben sowie zur Erhaltung des Fachwissens des Datenschutzbeauftragten nötig sind.

Änderungsantrag  95

Vorschlag für eine Richtlinie

Artikel 32

Vorschlag der Kommission

Geänderter Text

Aufgaben des Datenschutzbeauftragten

Aufgaben des Datenschutzbeauftragten

Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Datenschutzbeauftragten mit mindestens folgenden Aufgaben betraut:

Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Datenschutzbeauftragten mit mindestens folgenden Aufgaben betraut:

a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen Pflichten aus den nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten;

a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen Pflichten aus den nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere in Bezug auf technische und organisatorische Maßnahmen und Verfahren, sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten;

b) Überwachung der Umsetzung und Anwendung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der diesbezüglichen Überprüfungen;

b) Überwachung der Umsetzung und Anwendung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der diesbezüglichen Überprüfungen;

c) Überwachung der Umsetzung und Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere der Anforderungen in Bezug auf den Datenschutz durch Technik oder durch datenschutzfreundliche Voreinstellungen, die Datensicherheit, die Information der betroffenen Personen und deren Anträge im Zusammenhang mit der Wahrnehmung ihrer Rechte aus den vorstehend genannten Vorschriften;

c) Überwachung der Umsetzung und Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere der Anforderungen in Bezug auf den Datenschutz durch Technik oder durch datenschutzfreundliche Voreinstellungen, die Datensicherheit, die Information der betroffenen Personen und deren Anträge im Zusammenhang mit der Wahrnehmung ihrer Rechte aus den vorstehend genannten Vorschriften;

d) Sicherstellung, dass die in Artikel 23 genannte Dokumentation vorgenommen wird;

d) Sicherstellung, dass die in Artikel 23 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 28 und 29;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 28 und 29;

f) Überwachung der Erfüllung der Anforderung der vorherigen Zurateziehung, soweit dies nach Artikel 26 erforderlich ist;

f) Überwachung der Anwendung der Datenschutz-Folgenabschätzung durch den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter sowie der Erfüllung der Anforderung der vorherigen Zurateziehung der Aufsichtsbehörde, soweit dies nach Artikel 26 Absatz 1 erforderlich ist;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten im Rahmen der Zuständigkeiten des Datenschutzbeauftragten;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten im Rahmen der Zuständigkeiten des Datenschutzbeauftragten;

h) Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung sowie gegebenenfalls Zurateziehung der Aufsichtsbehörde auf eigene Initiative.

h) Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung sowie gegebenenfalls Zurateziehung der Aufsichtsbehörde auf eigene Initiative.

Änderungsantrag  96

Vorschlag für eine Richtlinie

Artikel 33

Vorschlag der Kommission

Geänderter Text

Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, einschließlich der Weitergabe an ein anderes Drittland oder eine andere internationale Organisation, nur zulässig ist, wenn

Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, einschließlich der Weitergabe an ein anderes Drittland oder eine andere internationale Organisation, nur zulässig ist, wenn

a) die Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist und

a) die konkrete Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist; und

 

aa) die Daten an einen für die Verarbeitung Verantwortlichen in einem Drittland oder einer internationalen Organisation, die eine für die in Artikel 1 Absatz 1 genannten Zwecke zuständige Behörde ist, übermittelt werden; und

 

ab) der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel festgelegten Bedingungen einschließlich derer für die Weitergabe personenbezogener Daten vom Drittland oder einer internationalen Organisation in ein anderes Drittland oder an eine andere internationale Organisation einhalten; und

b) der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.

b) der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die anderen nach Maßgabe dieser Richtlinie erlassenen Vorschriften einhalten; und

 

ba) das Schutzniveau für personenbezogene Daten, das in der Union im Rahmen dieser Richtlinie sichergestellt ist, nicht untergraben wird; und

 

bb) die Kommission im Rahmen der in Artikel 34 festgelegten Bedingungen und Verfahren entschieden hat, dass das betreffende Drittland oder die betreffende Organisation für ein angemessenes Schutzniveau sorgt; oder

 

bc) in einem rechtsverbindlichen Instrument gemäß Artikel 35 geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind.

 

Die Mitgliedstaaten sehen vor, dass in Absatz 1 dieses Artikels erwähnte Weitergaben nur möglich sind, wenn zusätzlich zu den in jenem Absatz festgelegten Bedingungen

 

a) die Weitergabe zu demselben spezifischen Zweck wie die ursprüngliche Übermittlung notwendig ist und

 

b) die zuständige Behörde, die die ursprüngliche Übermittlung vorgenommen hat, die Weitergabe genehmigt.

Änderungsantrag  97

Vorschlag für eine Richtlinie

Artikel 34

Vorschlag der Kommission

Geänderter Text

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

1. Die Mitgliedstaaten sehen vor, dass personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Kommission gemäß Artikel 41 der Verordnung (EU) Nr. …/2012 oder gemäß Absatz 3 festgestellt hat, dass das betreffende Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner weiteren Genehmigung.

1. Die Mitgliedstaaten sehen vor, dass personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Kommission gemäß Absatz 3 festgestellt hat, dass das betreffende Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner besonderen Genehmigung.

2. Liegt kein Beschluss nach Artikel 41 der Verordnung (EU) Nr. …./2012 vor, prüft die Kommission die Angemessenheit des Schutzniveaus unter Berücksichtigung

2. Bei der Prüfung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission

a) der Rechtsstaatlichkeit, der geltenden allgemeinen und sektorspezifischen Vorschriften (insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht) sowie der in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Sicherheitsvorschriften sowie der Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden,

a) die Rechtsstaatlichkeit, die geltenden Rechtsvorschriften, insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht, die Durchsetzung dieser Vorschriften, die in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Sicherheitsvorschriften, juristische Präzedenzfälle, sowie die Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden;

b) der Existenz und der Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind, und

b) die Existenz und die Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften einschließlich hinreichender Sanktionsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind; und

c) der von dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen.

c) die von dem betreffenden Drittland beziehungsweise der internationalen Organisation eingegangenen internationalen Verpflichtungen, insbesondere rechtlich verbindliche Übereinkommen oder Instrumente in Bezug auf den Schutz personenbezogener Daten.

3. Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

3. Der Kommission wird die Befugnis übertragen, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, delegierte Rechtsakte gemäß Artikel 56 zu erlassen, um innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss festzustellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet.

4. In jedem Durchführungsrechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

4. In jedem delegierten Rechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

 

4a. Entwicklungen, die Auswirkungen auf die Erfüllung der in Absatz 2 genannten Elemente in Drittländern und internationalen Organisationen, für die ein delegierter Rechtsakt nach Artikel 3 erlassen wurde, haben könnten, werden von der Kommission kontinuierlich überwacht.

5. Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 oder – in Fällen, in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren – nach dem Verfahren gemäß Artikel 57 Absatz 3 erlassen.

5. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um innerhalb des Anwendungsbereichs dieser Richtlinie festzustellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren.

6. Die Mitgliedstaaten stellen sicher, dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Übermittlungen nach Artikel 35 Absatz 1 oder Artikel 36 untersagt wird, wenn die Kommission eine Feststellung im Sinne des Absatzes 5 trifft. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

6. Die Mitgliedstaaten stellen sicher, dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation untersagt wird, wenn die Kommission eine Feststellung im Sinne des Absatzes 5 trifft. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

7. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren in diesen Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

7. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren in diesen Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

8. Die Kommission überwacht die Anwendung der in den Absätzen 3 und 5 genannten Durchführungsrechtsakte.

8. Die Kommission überwacht die Anwendung der in den Absätzen 3 und 5 genannten delegierten Rechtsakte.

Änderungsantrag  98

Vorschlag für eine Richtlinie

Artikel 35

Vorschlag der Kommission

Geänderter Text

Datenübermittlung auf der Grundlage geeigneter Garantien

Datenübermittlung auf der Grundlage geeigneter Garantien

1. Hat die Kommission keinen Beschluss nach Artikel 34 erlassen, sorgen die Mitgliedstaaten dafür, dass personenbezogene Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn

1. Hat die Kommission keinen Beschluss nach Artikel 34 erlassen oder hat sie festgestellt, dass ein Drittland beziehungsweise ein Gebiet eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz im Einklang mit Artikel 34 Absatz 5 bietet, darf ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter nur dann personenbezogene Daten in ein Drittland beziehungsweise ein Gebiet eines Drittlands oder an eine internationale Organisation übermitteln, wenn er in einem rechtsverbindlichen Instrument geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat.

a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder

 

b) der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.

 

2. Die Entscheidung über eine Datenübermittlung nach Absatz 1 Buchstabe b wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Solche Datenübermittlungen müssen dokumentiert werden, und die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

2. Diese Übermittlungen müssen vor ihrer Durchführung von der Aufsichtsbehörde genehmigt werden.

Änderungsantrag  99

Vorschlag für eine Richtlinie

Artikel 36

Vorschlag der Kommission

Geänderter Text

Ausnahmen

Ausnahmen

 

1. Hat die Kommission gemäß Artikel 34 Absatz 5 festgestellt, dass kein angemessenes Schutzniveau besteht, unterbleibt die Übermittlung personenbezogener Daten an das betreffende Drittland oder an die betreffende internationale Organisation, wenn im konkreten Fall die berechtigten Interessen der betroffenen Person am Ausschluss der Übermittlung das öffentliche Interesse an der Datenübermittlung überwiegen.

Abweichend von den Artikeln 34 und 35 sehen die Mitgliedstaaten vor, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Übermittlung

2. Abweichend von den Artikeln 34 und 35 sehen die Mitgliedstaaten vor, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Übermittlung

a) zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

a) zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b) nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

b) nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

c) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

c) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

d) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

d) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

e) in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

e) in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

 

2a. Die Verarbeitung gemäß Absatz 2 muss über eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, verfügen, wobei die Rechtsvorschriften dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer entsprechen, den Wesensgehalt des Rechtes auf Schutz personenbezogener Daten achten und in einem angemessenen Verhältnis zum rechtmäßigen Ziel stehen müssen.

 

2b. Alle Übermittlungen personenbezogener Daten, die auf Grundlage von Ausnahmen veranlasst wurden, müssen hinreichend begründet und auf den unbedingt erforderlichen Umfang beschränkt sein; wiederholte Massenübermittlungen von Daten sind nicht zulässig.

 

2c. Die Entscheidung über eine Datenübermittlung nach Absatz 2 wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Diese Übermittlungen müssen dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übertragung, Informationen über die Empfängerbehörde, Begründung der Übermittlung und übermittelte Daten der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt werden.

Änderungsantrag  100

Vorschlag für eine Richtlinie

Artikel 37

Vorschlag der Kommission

Geänderter Text

Besondere Bedingungen für die Übermittlung personenbezogener Daten

Besondere Bedingungen für die Übermittlung personenbezogener Daten

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden.

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden. Des Weiteren muss der für die Verarbeitung Verantwortliche den Empfänger der personenbezogenen Daten über alle vorgenommenen Aktualisierungen, Berichtigungen und Löschungen der Daten in Kenntnis setzen, wobei der Empfänger im Fall nachfolgender Übermittlungen ebenso vorgehen muss.

Änderungsantrag  101

Vorschlag für eine Richtlinie

Artikel 38 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,

a) Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten gewährleistet wird,

Änderungsantrag  102

Vorschlag für eine Richtlinie

Artikel 38 – Absatz 1 – Buchstabe d a (neu)

Vorschlag der Kommission

Geänderter Text

 

da) Klärung und Beratung von Zuständigkeitskonflikten mit Drittländern.

Änderungsantrag  103

Vorschlag für eine Richtlinie

Artikel 38 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 38a

 

Bericht der Kommission

 

Die Kommission erstattet dem Europäischen Parlament und dem Rat in regelmäßigen Abständen Bericht über die Anwendung von Artikel 33 bis 38. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Hierzu kann die Kommission von den Mitgliedstaaten und den Aufsichtsbehörden Informationen einholen, die unverzüglich zu übermitteln sind. Der Bericht wird veröffentlicht.

Änderungsantrag  104

Vorschlag für eine Richtlinie

Artikel 40 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten stellen sicher, dass die Aufsichtsbehörde bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse völlig unabhängig handelt.

1. Die Mitgliedstaaten stellen sicher, dass die Aufsichtsbehörde bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse vorbehaltlich der Vorkehrungen für die Zusammenarbeit gemäß Kapitel VII dieser Richtlinie völlig unabhängig handelt.

Änderungsantrag  105

Vorschlag für eine Richtlinie

Artikel 40 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Jeder Mitgliedstaat sieht vor, dass die Mitglieder der Aufsichtsbehörde in Ausübung ihres Amts weder um Weisung ersuchen noch Weisungen entgegennehmen.

2. Jeder Mitgliedstaat sieht vor, dass die Mitglieder der Aufsichtsbehörde in Ausübung ihres Amts weder um Weisung ersuchen noch Weisungen entgegennehmen und vollständige Unabhängigkeit und Unparteilichkeit bewahren.

Änderungsantrag  106

Vorschlag für eine Richtlinie

Artikel 43

Vorschlag der Kommission

Geänderter Text

Verschwiegenheitspflicht

Verschwiegenheitspflicht

Die Mitgliedstaaten sehen vor, dass die Mitglieder und die Bediensteten der Aufsichtsbehörde während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung verpflichtet sind, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Die Mitgliedstaaten sehen vor, dass die Mitglieder und die Bediensteten der Aufsichtsbehörde während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung verpflichtet sind, gemäß den einzelstaatlichen Rechtsvorschriften und Gepflogenheiten über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren und ihre Aufgaben mit der Unabhängigkeit und Transparenz gemäß dieser Richtlinie wahrzunehmen.

Änderungsantrag  107

Vorschlag für eine Richtlinie

Artikel 44 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Zuständigkeit

Zuständigkeit

1. Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet die ihr nach Maßgabe dieser Richtlinie übertragenen Befugnisse ausübt.

1. Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet befugt ist, die ihr nach Maßgabe dieser Richtlinie übertragenen Aufgaben wahrzunehmen und Befugnisse auszuüben.

Änderungsantrag  108

Vorschlag für eine Richtlinie

Artikel 45

Vorschlag der Kommission

Geänderter Text

Aufgaben

Aufgaben

Die Mitgliedstaaten tragen dafür Sorge, dass die Aufsichtsbehörde

1. Die Mitgliedstaaten tragen dafür Sorge, dass die Aufsichtsbehörde

a) die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

a) die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

b) sich der Beschwerden von betroffenen Personen oder von Verbänden annimmt, die diese Personen gemäß Artikel 50 vertreten und von diesen hierzu ordnungsgemäß bevollmächtigt wurden, die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

b) sich der Beschwerden von betroffenen Personen oder von Verbänden gemäß Artikel 50 annimmt, die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

c) die Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 14 überprüft und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung unterrichtet oder ihr die Gründe mitteilt, aus denen die Überprüfung nicht vorgenommen wurde;

c) die Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 14 überprüft und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung unterrichtet oder ihr die Gründe mitteilt, aus denen die Überprüfung nicht vorgenommen wurde;

d) anderen Aufsichtsbehörden Amtshilfe leistet und die einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

d) anderen Aufsichtsbehörden Amtshilfe leistet und die einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

e) Untersuchungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet;

e) Untersuchungen, Inspektionen und Prüfungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet;

f) relevante Entwicklungen verfolgt, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;

f) relevante Entwicklungen verfolgt, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;

g) von den Organen und Einrichtungen der Mitgliedstaaten zu Rechts- und Verwaltungsmaßnahmen konsultiert wird, die den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Gegenstand haben;

g) von den Organen und Einrichtungen der Mitgliedstaaten zu Rechts- und Verwaltungsmaßnahmen konsultiert wird, die den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Gegenstand haben;

h) zu Verarbeitungsvorgängen gemäß Artikel 26 konsultiert wird;

h) zu Verarbeitungsvorgängen gemäß Artikel 26 konsultiert wird;

i) an den Tätigkeiten des Europäischen Datenschutzausschusses mitwirkt.

i) an den Tätigkeiten des Europäischen Datenschutzausschusses mitwirkt.

2. Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

2. Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

3. Die Aufsichtsbehörde berät auf Antrag jede betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, und arbeitet zu diesem Zweck gegebenenfalls mit den Aufsichtsbehörden anderer Mitgliedstaaten zusammen.

3. Die Aufsichtsbehörde berät auf Antrag jede betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, und arbeitet zu diesem Zweck gegebenenfalls mit den Aufsichtsbehörden anderer Mitgliedstaaten zusammen.

4. Für die in Absatz 1 Buchstabe b genannten Beschwerden stellt die Aufsichtsbehörde ein Beschwerdeformular zur Verfügung, das elektronisch oder auf anderem Wege ausgefüllt werden kann.

4. Für die in Absatz 1 Buchstabe b genannten Beschwerden stellt die Aufsichtsbehörde ein Beschwerdeformular zur Verfügung, das elektronisch oder auf anderem Wege ausgefüllt werden kann.

5. Die Mitgliedstaaten sorgen dafür, dass die Leistungen der Aufsichtsbehörde für die betroffene Person kostenlos sind.

5. Die Mitgliedstaaten sorgen dafür, dass die Leistungen der Aufsichtsbehörde für die betroffene Person kostenlos sind.

6. Bei missbräuchlichen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine Gebühr verlangen oder davon absehen, die von der betroffenen Person beantragte Maßnahme zu treffen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den missbräuchlichen Charakter des Antrags.

6. Bei offensichtlich unverhältnismäßigen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine angemessene Gebühr verlangen. Diese Gebühr übersteigt nicht die Kosten der beantragten Maßnahmen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den unverhältnismäßigen Charakter des Antrags.

Änderungsantrag  109

Vorschlag für eine Richtlinie

Artikel 46

Vorschlag der Kommission

Geänderter Text

Befugnisse

Befugnisse

Die Mitgliedstaaten tragen dafür Sorge, dass jede Aufsichtsbehörde insbesondere verfügt über:

1. Die Mitgliedstaaten tragen dafür Sorge, dass jede Aufsichtsbehörde über folgende Befugnisse verfügt:

a) Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihrer Aufsichtspflichten erforderlichen Informationen;

a) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter auf einen mutmaßlichen Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten hinzuweisen und ihn gegebenenfalls anzuweisen, diesem Verstoß in einer bestimmten Weise abzuhelfen, um den Schutz der betroffenen Person zu verbessern;

b) wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, vor der Durchführung der Verarbeitung Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Beschränkung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die nationalen Parlamente oder andere politische Institutionen zu befassen;

b) den für die Verarbeitung Verantwortlichen anzuweisen, dem Ersuchen einer betroffenen Person auf Ausübung ihrer im Rahmen dieser Richtlinie geltenden Rechte einschließlich der Rechte gemäß Artikel 12 bis 17, wenn ein solches Ersuchen unter Verletzung der Bestimmungen dieser Verordnung abgelehnt wurde, nachzukommen;

c) das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften.

c) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Informationen gemäß Artikel 10 Absätze 1 und 2 sowie den Artikeln 11, 28 und 29 zur Verfügung zu stellen;

 

d) die Befolgung von Stellungnahmen zur vorherigen Zurateziehung im Sinne von Artikel 26 sicherzustellen;

 

e) den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter zu ermahnen oder zu verwarnen,

 

f) die Berichtigung, Löschung oder Vernichtung aller Daten, die unter Verletzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet wurden, anzuordnen und solche Maßnahmen Dritten, an die diese Daten weitergegeben wurden, mitzuteilen;

 

g) die Verarbeitung vorübergehend oder endgültig zu verbieten;

 

h) die Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation zu unterbinden;

 

i) die einzelstaatlichen Parlamente, die Regierung oder andere öffentliche Institutionen sowie die Öffentlichkeit über die Sache zu informieren.

 

2. Jede Aufsichtsbehörde kann kraft ihrer Untersuchungsbefugnis vom für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter Folgendes verlangen:

 

a) Zugriff auf alle personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufsichtspflicht notwendig sind,

 

b) Zugang zu allen Räumlichkeiten einschließlich aller Anlagen und Mittel zur Datenverarbeitung gemäß einzelstaatlichem Recht, wenn es berechtigte Gründe für die Annahme gibt, dass dort Tätigkeiten durchgeführt werden, die die nach Maßgabe dieser Richtlinie erlassenen Vorschriften verletzen, vorbehaltlich einer richterlichen Ermächtigung, soweit diese nach einzelstaatlichem Recht vorgesehen ist.

 

3. Unbeschadet von Artikel 43 tragen die Mitgliedstaaten Sorge, dass keine zusätzlichen Geheimhaltungsanforderungen auf Antrag von Aufsichtsbehörden erlassen werden.

 

4. Die Mitgliedstaaten können zusätzliche Sicherheitsüberprüfungen nach einzelstaatlichem Recht für den Zugang zu Verschlusssachen der Geheimhaltungsstufe EU CONFIDENTIAL oder höher vorsehen. Ist nach dem Recht des Mitgliedstaats der betreffenden Aufsichtsbehörde keine zusätzliche Sicherheitsüberprüfung gefordert, ist dies von allen anderen Mitgliedstaaten anzuerkennen.

 

5. Jede Aufsichtsbehörde ist befugt, Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften bei Justizbehörden zur Anzeige zu bringen und sich an Gerichtsverfahren zu beteiligen, und hat das Recht, gemäß Artikel 53 Absatz 2 vor dem zuständigen Gericht Klage zu erheben.

 

6. Jede Aufsichtsbehörde hat die Befugnis, bei Ordnungswidrigkeiten Sanktionen zu verhängen.

Änderungsantrag  110

Vorschlag für eine Richtlinie

Artikel 46 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 46a

 

Meldung von Verstößen

 

1. Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden Leitlinien des Europäischen Datenschutzausschusses gemäß Artikel 66 Absatz 4b der Verordnung (EU) Nr. ..../2013 berücksichtigen und wirksame Vorkehrungen treffen, um vertrauliche Meldungen über Verletzungen der Verordnung zu fördern.

 

2. Die Mitgliedstaaten sorgen dafür, dass die zuständigen Behörden wirksame Vorkehrungen treffen, um vertrauliche Meldungen über Verletzungen der Verordnung zu fördern.

Änderungsantrag  111

Vorschlag für eine Richtlinie

Artikel 47

Vorschlag der Kommission

Geänderter Text

Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde einen Jahresbericht über ihre Tätigkeit erstellt. Der Bericht wird der Kommission und dem Europäischen Datenschutzbeauftragten zugänglich gemacht.

Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde mindestens alle zwei Jahre einen Bericht über ihre Tätigkeit erstellt. Der Bericht wird der Öffentlichkeit, dem entsprechenden Parlament, der Kommission und dem Europäischen Datenschutzausschuss zugänglich gemacht. Er enthält Informationen darüber, inwieweit zuständige Behörden in ihrem Territorium für die Ermittlung und Verfolgung von Straftaten Daten abgerufen haben, die von nicht-öffentlichen Stellen verwaltet werden.

Änderungsantrag  112

Vorschlag für eine Richtlinie

Artikel 48

Vorschlag der Kommission

Geänderter Text

Amtshilfe

Amtshilfe

1. Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden einander Amtshilfe gewähren, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften einheitlich anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf aufsichtsbezogene Maßnahmen und Auskunftsersuchen, beispielsweise Ersuchen um vorherige Konsultation, um Vornahme von Nachprüfungen oder Untersuchungen.

1. Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden einander Amtshilfe gewähren, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften einheitlich anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf aufsichtsbezogene Maßnahmen und Auskunftsersuchen, beispielsweise Ersuchen um vorherige Konsultation, um Vornahme von Nachprüfungen oder Untersuchungen.

2. Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden alle geeigneten Maßnahmen ergreifen, um dem Ersuchen einer anderen Aufsichtsbehörde nachzukommen.

2. Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden alle geeigneten Maßnahmen ergreifen, um dem Ersuchen einer anderen Aufsichtsbehörde nachzukommen. Solche Maßnahmen können insbesondere die Übermittlung relevanter Informationen oder Durchsetzungsmaßnahmen umfassen, um die Einstellung oder das Verbot von Verarbeitungsvorgängen, die im Widerspruch zu dieser Richtlinie stehen, ohne Verzögerung und spätestens einen Monat nach Erhalt des Ersuchens zu erreichen.

 

2a. Das Amtshilfeersuchen enthält alle erforderlichen Informationen, darunter Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für die Angelegenheit verwendet, für die sie angefordert wurden.

 

2b. Die Aufsichtsbehörde, an die ein Amtshilfeersuchen gerichtet wird, kann dieses nur ablehnen, wenn

 

a) sie für das betreffende Ersuchen nicht zuständig ist, oder

 

b) es nicht mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften vereinbar wäre, dem Ersuchen stattzugeben.

3. Die Aufsichtsbehörde, an die das Ersuchen gerichtet wurde, informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen.

3. Die Aufsichtsbehörde, an die das Ersuchen gerichtet wurde, informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen.

 

3a. Die Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, auf elektronischem Wege und so schnell wie möglich unter Verwendung eines standardisierten Formats.

 

3b. Maßnahmen, die aufgrund eines Amtshilfeersuchens getroffen werden, sind gebührenfrei.

Änderungsantrag  113

Vorschlag für eine Richtlinie

Artikel 48 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 48a

 

Gemeinsame Maßnahmen

 

1. Um die Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden auszubauen, sorgen die Mitgliedstaaten dafür, dass die Aufsichtsbehörden gemeinsame Durchsetzungsmaßnahmen und andere gemeinsame Einsatzformen durchführen können, an denen bestimmte Mitglieder oder Mitarbeiter der Aufsichtsbehörden anderer Mitgliedstaaten an Einsätzen innerhalb des Hoheitsgebiets eines Mitgliedstaats teilnehmen können.

 

2. Die Mitgliedstaaten legen fest, dass, in Fällen, in denen Verarbeitungsvorgänge Auswirkungen auf betroffene Personen in einem anderen Mitgliedstaat oder in anderen Mitgliedstaaten haben können, die zuständige Aufsichtsbehörde zur Teilnahme an gemeinsamen Einsätzen aufgefordert werden kann. Die zuständige Aufsichtsbehörde kann jede der Aufsichtsbehörden in den verschiedenen Mitgliedstaaten zur Teilnahme an einem bestimmten Einsatz auffordern, und im Falle einer Einladung zur Teilnahme durch eine andere Aufsichtsbehörde, hat sie auf das Ersuchen unverzüglich zu antworten.

 

3. Die Mitgliedstaaten legen die praktischen Aspekte bestimmter gemeinsamer Einsatzformen fest.

Änderungsantrag  114

Vorschlag für eine Richtlinie

Artikel 49

Vorschlag der Kommission

Geänderter Text

Aufgaben des Europäischen Datenschutzausschusses

Aufgaben des Europäischen Datenschutzausschusses

1. Der mit Verordnung (EU) Nr. …./2012 eingerichtete Europäische Datenschutzausschuss nimmt in Bezug auf Verarbeitungsvorgänge im Anwendungsbereich dieser Richtlinie folgende Aufgaben wahr:

1. Der mit Verordnung (EU) Nr. …./2013 eingerichtete Europäische Datenschutzausschuss nimmt in Bezug auf Verarbeitungsvorgänge im Anwendungsbereich dieser Richtlinie folgende Aufgaben wahr:

a) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

a) Beratung der Organe der Union in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

b) Prüfung auf Ersuchen der Kommission, von sich aus oder auf Antrag eines seiner Mitglieder aller Fragen, die die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften betreffen, sowie Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zur Förderung einer einheitlichen Anwendung dieser Vorschriften;

b) Prüfung auf Ersuchen der Kommission, des Europäischen Parlaments oder des Rates, von sich aus oder auf Antrag eines seiner Mitglieder aller Fragen, die die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften betreffen, sowie Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zur Förderung einer einheitlichen Anwendung dieser Vorschriften, unter anderem zur Anwendung von Durchsetzungsbefugnissen;

c) Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

c) Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

d) Abgabe einer Stellungnahme für die Kommission zum Schutzniveau in Drittländern oder internationalen Organisationen;

d) Abgabe einer Stellungnahme für die Kommission zum Schutzniveau in Drittländern oder internationalen Organisationen;

e) Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austauschs von Informationen und Praktiken zwischen den Aufsichtsbehörden;

e) Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austauschs von Informationen und Praktiken zwischen den Aufsichtsbehörden einschließlich der Koordinierung gemeinsamer Einsätze und anderer gemeinsamer Einsatzformen, wenn der Ausschuss auf Ersuchen einer oder mehrerer Aufsichtsbehörden einen entsprechenden Beschluss fasst;

f) Förderung von Schulungsprogrammen und Erleichterung des Personalaustauschs zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder internationalen Organisationen;

f) Förderung von Schulungsprogrammen und Erleichterung des Personalaustauschs zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder internationalen Organisationen;

g) Förderung des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und ‑praktiken mit Datenschutzaufsichtsbehörden in aller Welt.

g) Förderung des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und ‑praktiken mit Datenschutzaufsichtsbehörden in aller Welt;

 

ga) Abgabe einer Stellungnahme gegenüber der Kommission bei der Ausarbeitung von delegierten und Durchführungsrechtsakten im Rahmen dieser Richtlinie.

2. Die Kommission kann, wenn sie den Europäischen Datenschutzausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen.

2. Das Europäische Parlament, der Rat oder die Kommission können, wenn sie den Europäischen Datenschutzausschuss um Rat ersuchen, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen.

3. Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an die Kommission und an den in Artikel 57 Absatz 1 genannten Ausschuss weiter und veröffentlicht sie.

3. Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an die Kommission und an den in Artikel 57 Absatz 1 genannten Ausschuss weiter und veröffentlicht sie.

4. Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die von ihm herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

4. Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die von ihm herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

Änderungsantrag  115

Vorschlag für eine Richtlinie

Artikel 50 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen in Bezug auf ihre personenbezogene Daten zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, das Recht haben, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Richtlinie zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden. Die Einrichtungen, Organisationen oder Verbände bedürfen hierzu einer Vollmacht der betroffenen Person(en).

2. Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände, die im öffentlichen Interesse handeln und die nach dem Recht eines Mitgliedstaats gegründet sind, das Recht haben, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Richtlinie zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden.

Änderungsantrag  116

Vorschlag für eine Richtlinie

Artikel 51

Vorschlag der Kommission

Geänderter Text

Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

1. Die Mitgliedstaaten sehen ein Recht auf einen gerichtlichen Rechtsbehelf gegen Entscheidungen einer Aufsichtsbehörde vor.

1. Die Mitgliedstaaten sehen für jede natürliche oder juristische Person ein Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde vor.

2. Jede betroffene Person hat das Recht auf einen gerichtlichen Rechtsbehelf, um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 45 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

2. Die Mitgliedstaaten legen fest, dass jede betroffene Person das Recht auf einen gerichtlichen Rechtsbehelf hat, um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 45 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

3. Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.

3. Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.

 

3a. Die Mitgliedstaaten sorgen dafür, dass die rechtskräftigen Urteile der in diesem Artikel genannten Gerichte vollstreckt werden.

Änderungsantrag  117

Vorschlag für eine Richtlinie

Artikel 52 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Die Mitgliedstaaten sorgen dafür, dass die rechtskräftigen Urteile der in diesem Artikel genannten Gerichte vollstreckt werden.

Änderungsantrag  118

Vorschlag für eine Richtlinie

Artikel 53 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 50 Absatz 2 das Recht haben, die in Artikel 51 und 52 genannten Rechte im Namen einer oder mehrerer betroffenen Personen wahrzunehmen.

1. Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 50 Absatz 2 das Recht haben, die in Artikel 51, 52 und 54 genannten Rechte wahrzunehmen, wenn sie von einer oder mehreren betroffenen Personen beauftragt werden.

Änderungsantrag  119

Vorschlag für eine Richtlinie

Artikel 53 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Jede Aufsichtsbehörde hat das Recht, Klage zu erheben, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften durchzusetzen oder um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.

2. Die Mitgliedstaaten legen fest, dass jede Aufsichtsbehörde das Recht hat, Klage zu erheben, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften durchzusetzen oder um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.

Änderungsantrag  120

Vorschlag für eine Richtlinie

Artikel 54 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter hat.

1. Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden, einschließlich immaterieller Schäden, entstanden ist, einen Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter geltend machen kann.

Änderungsantrag  121

Vorschlag für eine Richtlinie

Artikel 55 a (neu)

Vorschlag der Kommission

Geänderter Text

 

KAPITEL VIIIa

 

Übermittlung personenbezogener Daten an andere Parteien

 

Artikel 55a

 

Übermittlung personenbezogener Daten an andere Behörden oder nicht-öffentliche Stellen innerhalb der Union

 

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche keine personenbezogenen Daten an eine natürliche oder juristische Person übermittelt, für die die Vorschriften dieser Richtlinie gelten, oder den Auftragsverarbeiter anweist, diese zu übermitteln, es sei denn,

 

a) die Übermittlung ist mit Unionsrecht oder einzelstaatlichem Recht vereinbar; und

 

b) der Empfänger ist in einem Mitgliedstaat der Europäischen Union ansässig; und

 

c) überwiegende schutzwürdige Interessen der betroffenen Person stehen der Übermittlung nicht entgegen; und

 

d) die Übermittlung ist in einem konkreten Fall aus Sicht des für die Verarbeitung Verantwortlichen erforderlich

 

i) für die Erfüllung einer ihm rechtmäßig zugewiesenen Aufgabe oder

 

ii) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit oder

 

iii) zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner.

 

2. Der für die Verarbeitung Verantwortliche setzt den Empfänger über den Zweck, zu dem die personenbezogenen Daten ausschließlich verarbeitet werden können, in Kenntnis.

 

3. Der für die Verarbeitung Verantwortliche setzt die Aufsichtsbehörde von solchen Übermittlungen in Kenntnis.

 

4. Der für die Verarbeitung Verantwortliche setzt den Empfänger von Beschränkungen der Verarbeitung in Kenntnis und stellt sicher, dass diese Beschränkungen eingehalten werden.

Änderungsantrag  122

Vorschlag für eine Richtlinie

Artikel 56

Vorschlag der Kommission

Geänderter Text

Befugnisübertragung

Befugnisübertragung

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

2. Die Befugnis gemäß Artikel 28 Absatz 5 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

3. Die Befugnisübertragung gemäß Artikel 28 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

3. Die Befugnisübertragung gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

5. Ein delegierter Rechtsakt, der gemäß Artikel 28 Absatz 5 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

5. Ein delegierter Rechtsakt, der gemäß Artikel 25a Absatz 7, Artikel 28 Absatz 5, Artikel 34 Absatz 3 und Artikel 34 Absatz 5 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von sechs Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um sechs Monate verlängert.

Änderungsantrag  123

Vorschlag für eine Richtlinie

Artikel 56 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 56a

 

Frist für den Erlass delegierter Rechtsakte

 

1. Die Kommission erlässt die delegierten Rechtsakte gemäß Artikel 25a Absatz 7 und Artikel 28 Absatz 5 zum [sechs Monate vor dem in Artikel 62 Absatz 1 genannten Zeitpunkt]. Die Kommission kann die in diesem Absatz genannte Frist um sechs Monate verlängern.

Begründung

Zum Zwecke der Sicherstellung von Rechtsklarheit und der ordnungsgemäßen Umsetzung der Richtlinie, ist es erforderlich, dass der delegierte Rechtsakt bezüglich der Meldung von Verletzungen des Schutzes personenbezogener Daten vor dem Zeitpunkt der Umsetzung der Richtlinie erlassen wird.

Änderungsantrag  124

Vorschlag für eine Richtlinie

Artikel 57 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.

entfällt

Änderungsantrag  125

Vorschlag für eine Richtlinie

Artikel 61

Vorschlag der Kommission

Geänderter Text

Bewertung

Bewertung

1. Die Kommission bewertet die Anwendung dieser Richtlinie.

1. Die Kommission bewertet, nachdem sie den Europäischen Datenschutzausschuss um eine Stellungnahme ersucht hat, die Anwendung dieser Richtlinie. Sie koordiniert in enger Abstimmung mit den Mitgliedstaaten und schließt auch angekündigte und unangekündigte Besuche ein. Das Europäische Parlament und der Rat werden über die gesamte Dauer dieses Verfahrens unterrichtet und haben Zugang zu den entsprechenden Dokumenten.

2. Die Kommission überprüft innerhalb von drei Jahren nach Inkrafttreten dieser Richtlinie andere Rechtsakte der Europäischen Union über die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, insbesondere die auf der Grundlage von Artikel 59 erlassenen Rechtsakte, um festzustellen, inwieweit eine Anpassung an diese Richtlinie erforderlich ist, und um gegebenenfalls eine Änderung dieser Rechtsakte vorzuschlagen, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist.

2. Die Kommission überprüft innerhalb von zwei Jahren nach Inkrafttreten dieser Richtlinie andere Rechtsakte der Europäischen Union über die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, insbesondere die auf der Grundlage von Artikel 59 erlassenen Rechtsakte, und unterbreitet geeignete Vorschläge, um einheitliche und homogene Rechtsvorschriften in Bezug auf die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung innerhalb des Anwendungsbereichs dieser Richtlinie zu gewährleisten.

 

2a. Die Kommission legt innerhalb von zwei Jahren nach Inkrafttreten dieser Richtlinie einen geeigneten Vorschlag für die Überarbeitung des Rechtsrahmens für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Vollstreckung strafrechtlicher Sanktionen vor, um einheitliche und homogene Rechtsvorschriften in Bezug auf das Grundrecht auf den Schutz personenbezogener Daten in der Union sicherzustellen.

3. Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig einen Bericht zur Bewertung und Überprüfung dieser Richtlinie vor. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Richtlinie und zur Anpassung anderer Rechtsinstrumente vor. Der Bericht wird veröffentlicht.

3. Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig einen Bericht zur Bewertung und Überprüfung dieser Richtlinie vor. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Richtlinie und zur Anpassung anderer Rechtsinstrumente vor. Der Bericht wird veröffentlicht.


BEGRÜNDUNG

Kontext des Vorschlags

Der Berichterstatter ist der Auffassung, dass eine wirksame Datenschutzregelung in Europa maßgeblich dazu beitragen kann, ein hohes Datenschutzniveau für jeden einzelnen europäischen Bürger zu erzielen. Der Inhalt des Kommissionsvorschlags 2012/0010 (COD) wurde vom Berichterstatter geändert, um die Schutzstandards auf das gleiche Niveau wie in der vorgeschlagenen Verordnung anzuheben und gleichzeitig klare Begründungen für die vorgeschlagenen Lösungen zu nennen.

Der bestehende Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, bietet keinen umfassenden Rahmen für den Datenschutz durch die Polizei- und Strafverfolgungsbehörden in Strafsachen, da er sich lediglich auf grenzüberschreitende Sachverhalte bezieht und das Problem von parallelen Bestimmungen zum Datenschutz in den verschiedenen EU-Instrumenten nicht löst.

Der Berichterstatter ist der Ansicht, dass die rasante technologische Entwicklung neue Herausforderungen für den Datenschutz nach sich zieht. Das Ausmaß, in dem Daten ausgetauscht und erhoben werden, hat rasant zugenommen. Technologie ermöglicht es öffentlichen Behörden, einschließlich Strafverfolgungsbehörden, sowie nicht-öffentlichen Stellen, personenbezogene Daten in beispiellosem Umfang zu nutzen. Zunehmend werden auch private Informationen ins weltweite Netz gestellt und damit öffentlich zugänglich gemacht. Die Informationstechnologie hat das wirtschaftliche und gesellschaftliche Leben gründlich verändert.

In einer globalisierten und miteinander verbundenen Welt, die auf Online-Kommunikation basiert, werden personenbezogene Daten täglich in beispiellosem Umfang zugänglich gemacht, gespeichert, genutzt und ausgewertet. In den nächsten Jahren und Jahrzehnten muss Europa entscheiden, wie diese Informationen genutzt werden sollen, insbesondere im Hinblick auf die Strafverfolgung und den Kampf gegen und die Prävention von Kriminalität, ohne die Grundrechte und ‑normen zu verraten, für die wir so lange gekämpft haben. Es handelt sich hier um eine einmalige Chance, zwei wirksame und ausgeglichene Rechtsinstrumente zu entwerfen.

Der Berichterstatter begrüßt die Anstrengungen der Kommission, eine einheitliche Datenschutzregelung zu schaffen und die unterschiedlichen Systeme der Mitgliedstaaten anzugleichen, und hofft, dass auch der Rat seinen Verpflichtungen vollständig nachkommt.

Vom Berichterstatter vorgeschlagene Änderungen

Der Berichterstatter ist der Auffassung, dass verschiedene konkrete Bereiche in der vorgeschlagenen Richtlinie näher erläutert werden mussten. Es handelt sich unter anderem um die folgenden Bereiche:

- Jede Ausnahme vom Prinzip musste entsprechend begründet werden, da der Datenschutz ein Grundrecht ist. Deshalb muss er unter allen Umständen gleich geschützt werden, und Artikel 52 der Charta, nach dem Einschränkungen möglich sind, gilt uneingeschränkt. Solche Einschränkungen sollten jedoch als Ausnahmen von der allgemeinen Regel betrachtet werden und dürfen nicht selbst zur Regel werden. Umfangreiche Ausnahmeregelungen konnten daher nicht akzeptiert werden.

- Eine klare und adäquate, relevante und nicht übertriebene Definition der Grundsätze des Datenschutzes und der Aspekte der Datenspeicherung, Transparenz sowie Aktualisierung von Daten ist erforderlich. Ferner fehlten Bestimmungen, die den für die Datenverarbeitung Verantwortlichen zur Einhaltung der Regelungen verpflichten.

- Die Verarbeitung personenbezogener Daten muss gegenüber den betroffenen Personen nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter Form erfolgen. Die besonderen Zwecke, zu denen die Daten verarbeitet werden, sollten eindeutig und rechtmäßig sein und zum Zeitpunkt der Erfassung der personenbezogenen Daten feststehen. Darüber hinaus sollten die erfassten Daten dem Zweck angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung der personenbezogenen Daten notwendige Minimum beschränkt sein. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht werden kann. Zudem sollte im Rahmen des vorgeschlagenen Systems der für die Verarbeitung Verantwortliche Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorsehen, um sicherzustellen, dass diese nicht länger als nötig gespeichert werden.

- Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Die Tatsache, dass Daten zu Strafverfolgungszwecken verarbeitet werden, bedeutet nicht zwangsläufig, dass diese Zwecke mit dem Zweck ihrer Erhebung vereinbar sind. Das Konzept der Vereinbarkeit der Nutzung muss restriktiv ausgelegt werden.

- Es ist von zentraler Bedeutung, dass die Übermittlung personenbezogener Daten an andere Behörden oder nicht-öffentliche Stellen in der Union untersagt ist, es sei denn die Übermittlung ist vereinbar mit geltendem Recht und der Empfänger befindet sich in einem Mitgliedstaat. Darüber hinaus darf es keine überwiegenden schutzwürdigen Interessen der betroffenen Person geben, die einer Übermittlung entgegenstehen und die Übermittlung ist in einem konkreten Fall aus Sicht des für die Verarbeitung Verantwortlichen entweder für die Erfüllung einer ihr rechtmäßig zugewiesenen Aufgabe, für die Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit, oder zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner erforderlich. Der für die Verarbeitung Verantwortliche setzt den Empfänger vom Zweck der Verarbeitung und die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Empfänger sollte zudem von Beschränkungen der Verarbeitung in Kenntnis gesetzt werden und für ihre Einhaltung sorgen.

- Ein Bewertungsmechanismus für eine ordnungsgemäße Überprüfung der Notwendigkeit und Verhältnismäßigkeit fehlte. Diese Frage ist von zentraler Bedeutung, um einzuschätzen, ob die Erfassung bestimmter Daten tatsächlich erforderlich und zweckmäßig ist. Eine solche Bewertung würde es außerdem verhindern, dass eine Gesellschaft wie bei Orwell entsteht, in der in letzter Konsequenz sämtliche Daten erfasst und ausgewertet werden. Die Erfassung von Daten muss notwendig sein, um ein bestimmtes Ziel zu rechtfertigen, wobei geprüft werden muss, ob das Ziel auch mit anderen Mitteln erreicht werden kann und ob der Kern der persönlichen Privatsphäre ausreichend geschützt wird. Der Aspekt der Verhältnismäßigkeit steht ferner in Verbindung mit der Frage der Wiederverwendung von Daten aus anderen Gründen, als jenen, mit denen ihre Erfassung ursprünglich begründet wurde. Es muss vermieden werden, dass von der gesamten Bevölkerung Profile erstellt werden.

- Die Anfertigung einer Datenschutz-Folgenabschätzung ist erwünscht und sollte vom für die Verarbeitung Verantwortlichen oder einem der Auftragsverarbeiter ausgeführt werden und sollte insbesondere die geplanten Abhilfemaßnahmen, Garantien und Verfahren enthalten, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden. Folgenabschätzungen sollten sich auf relevante Systeme und Verfahren im Rahmen von Verarbeitungsvorgängen für personenbezogene Daten, aber nicht auf Einzelfälle konzentrieren. Wenn zudem aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die geplanten Verarbeitungsvorgänge aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke hohe konkrete Risiken bergen können, sollte die Aufsichtsbehörde in der Lage sein, vor Beginn des entsprechenden Vorgangs, eine risikobehaftete Verarbeitung, die nicht mit dieser Richtlinie vereinbar ist, zu unterbinden und daraufhin geeignete Vorschläge zu unterbreiten, wie diese Mängel beseitigt werden könnten. Eine solche Konsultation kann auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.

- Eine klare Definition der Erstellung von Personenprofilen („Profiling“) fehlte. Eine solche Definition sollte sich an der Empfehlung CM/Rec(2010)13des Europarats orientieren.

Das Profiling im Rahmen der Strafverfolgung muss durch rechtliche Bestimmungen gedeckt sein, mit denen Maßnahmen zum Schutz der Daten der betroffenen Personen festgelegt werden und es diesen insbesondere ermöglichen, ihren Standpunkt zu äußern. Sämtliche negativen Folgen müssen von Menschen geprüft werden. Gleichzeitig darf das Profiling nicht dazu führen, dass die Daten völlig unbescholtener Bürger ohne Verdachtsmoment erfasst werden, wodurch dieses zu einer Rasterfahndung würde.

- Der vorgeschlagene Mechanismus zur Weitergabe personenbezogener Daten an Drittstaaten war unzureichend uns stellte nicht ausreichend sicher, dass die Rechte der Personen, deren Daten weitergegeben werden, geschützt werden. Dieses System blieb beim Datenschutz hinter der vorgeschlagenen Verordnung zurück. So würde beispielsweise der Vorschlag der Kommission die Weitergabe von Daten an die Behörden eines Drittlandes oder eine internationale Organisationen, die nicht für die Strafverfolgung zuständig sind, ermöglichen. Käme es auf der Grundlage einer Bewertung des für die Verarbeitung Verantwortlichen (Artikel 35 Absatz 1 Buchstabe b) zu einer Weitergabe, könnte die Richtlinie möglicherweise sogar einen umfangreichen Sammeltransfer von Daten gestatten.

- Es ist außerordentlich wichtig, dass in Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, Ausnahmen erlaubt sind, wenn dies zur Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen Person oder zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist. Ausnahmen, so wie die die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes, sollten restriktiv ausgelegt werden und sollten die wiederholte, umfangreiche und strukturelle Übermittlung personenbezogener Daten sowie die pauschale Übermittlung von Daten, die auf unbedingt nötige Daten beschränkt sein sollte, untersagen. Darüber hinaus sollte die Entscheidung über eine Datenübermittlung von entsprechend bevollmächtigten Mitarbeitern getroffen werden und solche Datenübermittlungen müssen dokumentiert werden, und die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden, um die Rechtmäßigkeit der Übermittlung zu überwachen.

- Ferner waren die Zuständigkeiten der Datenschutzbehörden bei der Überwachung und Durchsetzung der grundlegenden Regelungen zum Datenschutz nicht ausreichend definiert. Im Vergleich mit der vorgeschlagenen Verordnung wurden die Zuständigkeiten der Datenschutzbehörden weniger klar dargestellt. So war nicht ersichtlich, ob die Datenschutzbehörden Zugang zu den Räumlichkeiten des für die Verarbeitung Verantwortlichen haben, wie dies in der Verordnung der Fall ist. Auch die Sanktions- und Durchsetzungsmaßnahmen schienen weniger präzise zu sein.

- Ein neuer Artikel in Bezug auf genetische Daten wurde eingeführt. Die Verarbeitung genetischer Daten sollte nur erlaubt sein, wenn im Verlauf einer strafrechtlichen Ermittlungen oder eines Gerichtsverfahrens eine genetische Verbindung auftritt. Genetische Daten sollten zum Zwecke solcher Ermittlungen und Verfahren nur so lange wie unbedingt nötig gespeichert werden. Die Mitgliedstaaten können aber eine längere Speicherfrist gemäß den in dieser Richtlinie enthaltenden Bedingungen vorsehen.

- Der Berichterstatter ist der Auffassung, dass die vorgeschlagene Richtlinie in vielerlei Hinsicht den Anforderungen eines hohen Datenschutzniveaus nicht gerecht wurde, das von der Kommission als „entscheidend“ (siehe Erwägung 7) bezeichnet wurde und rechtlich nicht an die Bestimmungen der vorgeschlagenen Verordnung angeglichen wurde. Er ist darüber hinaus der Ansicht, dass die beiden Rechtsinstrumente (Datenschutzverordnung und Datenschutzrichtlinie) in Bezug auf den Zeitplan und die Annahmeprozedur unbedingt als zusammengehörig betrachtet werden sollten.

Nachdem nationale Strafverfolgungsbehörden das Maß an Datenschutz in der Vergangenheit an die jeweiligen Umstände (interne oder grenzübergreifende Situation, Prum, Europol, Eurojust) anpassen mussten, sorgt nun ein nachhaltiges und in sich geschlossenes Instrument für Rechtsklarheit, das gleichzeitig international wettbewerbsfähig ist und als Modell für Datenschutz im 21. Jahrhundert dienen kann.


STELLUNGNAHME des Rechtsausschusses (26.4.2013)

für den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

zu dem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Verfasser der Stellungnahme: Axel Voss

KURZE BEGRÜNDUNG

Es ist richtig, dass sich die EU einen umfassenden, kohärenten und modernen Rahmen im Datenschutz auf hohem Niveau schaffen will, denn die Herausforderungen, die mit dem Datenschutz verbunden sind, sind zahlreich, wie etwa die Globalisierung, technologische Entwicklung, verstärkte Online-Aktivitäten, Nutzungen im Zusammenhang mit immer mehr kriminellen Aktivitäten und Sicherheitsbedenken.

Deshalb muss für den Einzelnen im Rahmen der einschlägigen europäischen Vorschriften (Artikel 16 AEUV und die Anerkennung des Rechts auf Schutz personenbezogener Daten in Artikel 8 der Charta der Grundrechte als eigenständige Rechte) die Rechtssicherheit und das Vertrauen in das Verhalten der für die Datenverarbeitung Verantwortlichen und insbesondere auch der Strafverfolgungs- oder ‑vollzugsbehörden gewährleistet werden, zumal Verstöße gegen Datenschutzbestimmungen zu ernsthaften Risiken für die Grundrechte und Grundfreiheiten des Einzelnen und für die Werte der Mitgliedstaaten führen können.

Das Europäische Parlament ist folglich auch immer davon ausgegangen, dass das Grundrecht auf Datenschutz und auf Privatsphäre den Schutz von Personen auch vor möglicher Überwachung sowie vor Missbrauch ihrer Daten durch den Staat selbst umfasst. So ist es folgerichtig, dass die Kommission auch eine Richtlinie "zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr" vorgeschlagen hat, die der Berichterstatter grundsätzlich begrüßt.

Im Bereich der Strafaufklärung und Strafvollstreckung muss der Datenschutz aber den anderen rechtsstaatlichen Erwägungen angepasst werden, die sich aus dem staatlichen Gewaltmonopol ableiten. Das Datenschutzrecht im Bereich der Gefahrenabwehr, der Herstellung und Gewährleistung der allgemeinen Sicherheit sowie der Strafaufklärung und Strafvollstreckung muss den Aufgaben eines Staates angepasst werden und gewährleisten, dass er diese Aufgaben im Sinne aller Bürger noch effektiv wahrnehmen kann.

Die Rechtsetzung im Datenschutz auf europäischer Ebene ist generell geprägt von unterschiedlichen Kompetenzen:

Im Bereich der ehemals ersten Säule existiert eine sehr stark ausgeprägte, vom Binnenmarkt abgeleitete Kompetenz.

Im Bereich der ehemals dritten Säule steht nicht die Vergemeinschaftung, sondern die Zusammenarbeit im Vordergrund. Deshalb war auch hier der Rahmenbeschluss 2008/977/JI das weitestgehende Instrument zum Setzen von Mindeststandards.

Hinzu kommt, dass gerade bei der polizeilichen und justiziellen Zusammenarbeit die Rechtstraditionen der EU-Mitgliedstaaten sich über Jahrhunderte völlig unterschiedlich entwickelt haben und es sich in diesem sensiblen Bereich gebietet, durch europäische Regelungen gewachsene nationale Strukturen und Traditionen nur vorsichtig und Schritt für Schritt zu verändern.

Daneben tritt hinsichtlich des Anwendungsbereichs von Art. 16 AEUV eine im europäischen Datenschutzrecht noch nicht durch höchstrichterliche Entscheidungen geklärte und strittige Situation und damit eine Rechtsunsicherheit, die nach Ansicht des Berichterstatters durch Pragmatismus gelöst werden sollte:

Der Richtlinien-Vorschlag der Kommission bezieht den innerstaatlichen Datenaustausch in den Anwendungsbereich der Richtlinie mit ein, während Art. 16 II AEUV der EU nur eine Kompetenz im Anwendungsbereichs des Unionsrechts zuweist. Hierunter kann aber die innerstaatliche Datenverarbeitung im polizeilichen Bereich nicht gezählt werden (Art. 87 AEUV).

Es ist die Eigenart des Datenschutzes, dass dieser horizontal wirkt und geeignet ist, in Bereiche hineinzuwirken, die nicht der uneingeschränkten Kompetenz der EU zugewiesen sind und dabei möglicherweise zusätzlich den Grundsatz der Subsidiarität verletzt.

Aufgrund der oben ausgeführten Erwägungen ist der Berichterstatter der Auffassung, dass die Richtlinie lediglich Mindeststandards festlegen sollte. Die Frage des "nur grenzüberschreitenden" oder des "auch innerstaatlichen" Datenschutzes wird so in der Praxis obsolet; höherwertiger Datenschutz kann durchaus erhalten bleiben.

Um aber auch hier die Balance zum Datenschutz als Grundrecht zu halten, müssen auf der anderen Seite die Rechte des Einzelnen gestärkt und klar in der Richtlinie ausgestattet werden. Die Grundsätze von Transparenz und Kontrolle müssen verankert werden, dürfen aber dem Zweck der Gefahrenabwehr und Strafverfolgung nicht zuwiderlaufen.

Um diese Balance zwischen der Wahrung des Gewaltmonopols, der Garantien der öffentlichen Sicherheit und Ordnung und der physischen Integrität des Einzelnen auf der einen Seite und auf der anderen Seite das Recht auf Datenschutz zu gewährleisten, hält der Berichterstatter die nachfolgenden Änderungen für notwendig:

Kapitel I

- Die Gefahrenabwehr wird in den Anwendungsbereich einbezogen (Art. 1).

- Den Mitgliedstaaten wird deutlich erlaubt, höhere Standards zu erlassen (Art. 1). Die Richtlinie hat nicht das Ziel der Harmonisierung, sondern des Setzens von Mindeststandards.

- Der Anwendungsbereich wird auf die Organe, Einrichtungen, Ämter und Agenturen der Union ausgedehnt (Art. 2).

Kapitel II

- Der zentrale Abschnitt der "Grundsätze der Datenverarbeitung" wird textlich an die Datenschutzgrundverordnung angepasst. Im Sinne des Paketansatzes sollten diese Grundsätze übereinstimmen (Art. 4).

- Artikel 5 wird gestrichen, da hier der Bürokratie- und Kostenaufwand für die Mitgliedstaaten gesteigert wird und aber gleichzeitig eine Rechtsfolgenanordnung fehlt.

- Die Zweckbindung der Datenverarbeitung ist ein wichtiges Prinzip des Datenschutzrechts. Artikel 6 und 7 sind grundlegend überarbeitet und anhand des Rahmenbeschlusses 2008/977/JI (hier: Artikel 8 (sachliche Richtigkeit), Artikel 3 (Zweckbindung) und Artikel 13 (Zweckbindung hinsichtlich Daten aus anderen EU-Staaten) erweitert.

Kapitel III

Die Änderungen in Kapitel III stellen die Notwendigkeit der individuellen Betroffenheit und die individuelle, tatsächliche Nachfrage nach gespeicherten Informationen in den Fokus.

- Die Möglichkeit, das Recht auf Auskunft (Art.12) einzuschränken wird auf den Einzelfall mit Prüfung begrenzt, die individuellen Rechte werden so gestärkt.

- Das Recht auf Information, zum Zeitpunkt der Datenerhebung ohne dass eine Nachfrage besteht, wird zu Gunsten mitgliedstaatlicher Regelungen beschnitten.

- Das Recht auf Löschung und Berichtigung werden textlich überarbeitet und gestärkt. Es werden jedoch gleichzeitig Ausnahmen für das Löschrecht eingeführt, wie z.B. die gesetzliche Verpflichtung zur Aufbewahrung.

Kapitel IV

- Artikel 20 "Gemeinsam für die Verarbeitung Verantwortliche" wird gestrichen, da er den Datenschutzstandard senkt. Im Außenverhältnis sollte es zugunsten des Betroffenen bei einer gemeinsamen Haftung beider Verantwortlicher bleiben.

- Artikel 23 "Dokumentation" wird in Anlehnung an Artikel 10, Rahmenbeschluss 2008/977/JI gestrafft. Als Folge entfällt Artikel 24 "Aufzeichnung von Vorgängen".

-  Artikel 27 "Datensicherheit" wird an den Text von Artikel 22, Rahmenbeschluss, angepasst.

- Die Vorabkonsultation/Privacy Impact Assessment wird als Artikel 28a neu eingeführt, entnommen aus dem Rahmenbeschluss 2008/977/JI, Artikel 23.

- Die Meldung eines "Data Breaches" erfolgt nur noch an die Aufsichtsbehörde, nicht an die betroffene Person (Artikel 28 und 29)

Kapitel V

- Artikel 35b übernimmt die Bestimmungen aus Artikel 13 Rahmenbeschluss und trifft besondere Regelungen zum Umgang mit Daten die aus anderen Mitgliedstaaten stammen.

- Artikel 36 wird neu formuliert; In streng limitierten Einzelfällen muss eine Datenübermittlung an Drittstaaten trotz negativer Angemessenheitsentscheidung unter strengsten Bedingungen möglich sein, um höchstrangige Güter wie Leib und Leben zu schützen.

Kapitel VIII

- Das Verbandsklagerecht in Artikel 50 wird gestrichen. Die persönliche Betroffenheit und der Einzelfall müssen ausschlaggebend für eine Klage sein.

Delegated und Implementing Acts

- hier gilt es, den Kommissionsvorschlag dahingehend zu überarbeiten, dass für das Erlassen von delegated und implementing acts einheitliche Vorschriften gelten und keine Kompetenzabwanderung stattfindet. Hier werden, ähnlich zu den geplanten Änderungen am Entwurf für die Datenschutzgrundverordnung (KOM (2012) 11), delegierte Rechtsakte vorgezogen oder die Entscheidung auf die mitgliedstaatliche Ebene verlagert.

Außervertragliche Haftung

- es besteht die Möglichkeit, dass die Europäische Kommission eine Fehlentscheidung hinsichtlich der Adäquatheit des Datenschutzniveaus in einem Drittland oder einer internationalen Organisation trifft und dadurch Schäden entstehen. Dieser Fall sollte in der Richtlinie Erwähnung finden.

ÄNDERUNGSANTRÄGE

Der Rechtsausschuss ersucht den federführenden Ausschuss für bürgerliche Freiheiten, Justiz und Inneres, folgende Änderungsanträge in seinen Bericht zu übernehmen:

Änderungsantrag  1

Vorschlag für eine Richtlinie

Erwägung 7

Vorschlag der Kommission

Geänderter Text

(7) Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf muss dafür gesorgt werden, dass die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung in allen Mitgliedstaaten gleichermaßen geschützt werden. Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert nicht nur eine Stärkung der Rechte der betroffenen Personen und eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sondern auch gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.

(7) Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf müssen in allen Mitgliedstaaten bei jeder Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung Mindeststandards sichergestellt sein.

Änderungsantrag  2

Vorschlag für eine Richtlinie

Erwägung 15

Vorschlag der Kommission

Geänderter Text

(15) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, insbesondere im Bereich der nationalen Sicherheit, oder für Daten gelten, die von den Organen, Einrichtungen, Ämtern und Agenturen der Europäischen Union verarbeitet werden.

(15) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, insbesondere im Bereich der nationalen Sicherheit, gelten.

Änderungsantrag  3

Vorschlag für eine Richtlinie

Erwägung 16

Vorschlag der Kommission

Geänderter Text

(16) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen zur Identifizierung der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(16) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person, die mit dem für die Verarbeitung Verantwortlichen zusammenarbeitet, nach allgemeinem Ermessen zur Identifizierung der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

Änderungsantrag  4

Vorschlag für eine Richtlinie

Erwägung 23

Vorschlag der Kommission

Geänderter Text

(23) Bei der Verarbeitung personenbezogener Daten im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geht es naturgemäß um betroffene Personen verschiedener Kategorien. Daher sollte so weit wie möglich klar zwischen den personenbezogenen Daten der einzelnen Kategorien betroffener Personen unterschieden werden wie Verdächtigte, verurteilte Straftäter, Opfer und Dritte, beispielsweise Zeugen, Personen, die über einschlägige Informationen verfügen, oder Personen, die mit Verdächtigten oder verurteilten Straftätern in Kontakt oder in Verbindung stehen.

entfällt

Änderungsantrag  5

Vorschlag für eine Richtlinie

Erwägung 24

Vorschlag der Kommission

Geänderter Text

(24) Die personenbezogenen Daten sollten so weit wie möglich nach ihrer Richtigkeit und Zuverlässigkeit unterschieden werden. Fakten sollten von persönlichen Einschätzungen unterschieden werden, um den Schutz des Betroffenen und gleichzeitig auch die Qualität und Zuverlässigkeit der von den zuständigen Behörden verarbeiteten Informationen zu gewährleisten.

entfällt

Änderungsantrag  6

Vorschlag für eine Richtlinie

Erwägung 43

Vorschlag der Kommission

Geänderter Text

(43) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung einer Verletzung des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Schutzvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Missbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der zuständigen Behörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in unnötiger Weise behindert würde.

entfällt

Änderungsantrag  7

Vorschlag für eine Richtlinie

Erwägung 45

Vorschlag der Kommission

Geänderter Text

(45) Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn dies für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt. Daten dürfen übermittelt werden, wenn die Kommission durch Beschluss festgestellt hat, dass das betreffende Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet, oder wenn geeignete Garantien bestehen.

(45) Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn dies für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt.

Änderungsantrag  8

Vorschlag für eine Richtlinie

Erwägung 55

Vorschlag der Kommission

Geänderter Text

(55) Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt. Diese Ausnahme sollte allerdings begrenzt werden auf rein justizielle Tätigkeiten in Gerichtssachen und sich nicht auf andere Tätigkeiten beziehen, mit denen Richter nach nationalem Recht betraut werden können.

(55) Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt.

Änderungsantrag  9

Vorschlag für eine Richtlinie

Erwägung 70

Vorschlag der Kommission

Geänderter Text

(70) Da die Ziele dieser Richtlinie, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus.

entfällt

Änderungsantrag  10

Vorschlag für eine Richtlinie

Erwägung 73

Vorschlag der Kommission

Geänderter Text

(73) Damit personenbezogene Daten in der Union umfassend und in gleicher Weise geschützt werden, sollten die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen Übereinkünfte im Sinne dieser Richtlinie geändert werden.

entfällt

Änderungsantrag  11

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung.

1. Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung von Gefahren, der Aufdeckung, Untersuchung oder Verfolgung von Straftaten sowie der Strafvollstreckung.

Begründung

Bei der polizeilichen Gefahrenabwehr gibt es Schwierigkeiten bei der Abgrenzung der Anwendungsbereiche von Richtlinie und Verordnung. Wenn die abzuwehrende Gefahr nicht strafbewehrt ist und folglich die Polizei keine Straftat im Sinne von Artikel 1 Absatz 1 des Richtlinienentwurfs verhütet, bleibt die Richtlinie unanwendbar (Beispiele: Datei für Vermisste Personen, Selbstmörder). Die Vorschriften der Datenschutz-Grundverordnung sind für die Gefahrenabwehr völlig unpassend.

Änderungsantrag  12

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2. Gemäß dieser Richtlinie stellen die Mitgliedstaaten Folgendes sicher:

2. Die Mindestvorschriften dieser Richtlinie hindern die Mitgliedstaaten nicht daran, Bestimmungen zum Schutz personenbezogener Daten beizubehalten oder einzuführen, die einen höheren Schutzstandard gewährleisten.

Begründung

Es sollte Ziel der Richtlinie sein, einen europaweiten Mindestschutz-Standard zu schaffen und nicht, die bestehenden nationalen Regelungen zu ersetzen. Daher muss es den Mitgliedstaaten ausdrücklich erlaubt sein, strengere Bestimmungen zu erlassen.

Änderungsantrag  13

Vorschlag für eine Richtlinie

Artikel 1 – Absatz 2 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) Sicherstellung, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

entfällt

Änderungsantrag  14

Vorschlag für eine Richtlinie

Artikel 2 – Absatz 3 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

b) durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union.

entfällt

Begründung

Die Einrichtungen und Behörden der EU sollten ebenfalls unter die Anwendung der Richtlinie fallen.

Änderungsantrag  15

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 1

Vorschlag der Kommission

Geänderter Text

(1) „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung zu einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

(1) „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person, die mit dem für die Verarbeitung Verantwortlichen zusammenarbeitet, nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung zu einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

Änderungsantrag  16

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 9 a (neu)

Vorschlag der Kommission

Geänderter Text

 

(9a) „Einwilligung der betroffenen Person“ jede ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgte explizite Willensbekundung in Form einer Erklärung oder sonstigen eindeutigen Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

Begründung

Die Änderung führt die Einwilligung des Betroffenen innerhalb enger Grenzen ein. Auch wenn es grundsätzlich keine Augenhöhe zwischen Bürger und Staat geben kann, kann die Einwilligung im Einzelfall als Rechtfertigungsgrund dienen, zum Beispiel bei DNA-Massentests.

Änderungsantrag  17

Vorschlag für eine Richtlinie

Artikel 3 – Absatz 1 – Nummer 14

Vorschlag der Kommission

Geänderter Text

(14) „zuständige Behörde“ jede Behörde, die für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist;

(14) „zuständige Behörde“ jede Behörde, die für die Verhütung von Gefahren, die Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist, einschließlich der Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union;

Änderungsantrag  18

Vorschlag für eine Richtlinie

Artikel 4 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

a) auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren und überprüfbaren Weise verarbeitet werden;

Änderungsantrag  19

Vorschlag für eine Richtlinie

Artikel 4 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant und nicht exzessiv sind;

c) im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß beschränkt sind; sie dürfen nur verarbeitet werden, wenn eine anonymisierte Verarbeitung für den jeweiligen Zweck nicht ausreichend ist und solange die Zwecke der Verarbeitung nicht durch die Verarbeitung von anderen als personenbezogenen Daten erreicht werden können;

Änderungsantrag  20

Vorschlag für eine Richtlinie

Artikel 4 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

e) nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, jedoch höchstens so lange, wie es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist;

Begründung

Änderung passt die Richtlinie dem Text der Datenschutzverordnung an. Im Sinne des Paket-Ansatzes sollten für beide Rechtsakte dieselben Grundsätze für die Datenverarbeitung gelten.

Änderungsantrag  21

Vorschlag für eine Richtlinie

Artikel 4 – Buchstabe f

Vorschlag der Kommission

Geänderter Text

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

f) nur von zuständigem Personal in zuständigen Behörden im Rahmen der Ausübung ihrer Tätigkeit verarbeitet und verwendet werden dürfen;

Änderungsantrag  22

Vorschlag für eine Richtlinie

Artikel 4 – Buchstabe f

Vorschlag der Kommission

Geänderter Text

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

f) unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet und nachweist;

Änderungsantrag  23

Vorschlag für eine Richtlinie

Artikel 5 – Absatz 1a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Soweit dies möglich ist, können die Mitgliedstaaten eine Einteilung in Kategorien von Daten vornehmen, einschließlich der entsprechenden Auswirkungen, wobei sie die unterschiedlichen Zwecke, zu denen Daten erhoben werden, berücksichtigen, einschließlich der Bedingungen für die Datenerhebung, der Fristen für die Speicherung, möglicher Beschränkungen der Rechte der betroffenen Person auf Zugang und Information und der Modalitäten des Zugangs zu Daten durch zuständige Behörden.

Änderungsantrag  24

Vorschlag für eine Richtlinie

Artikel 6 – Überschrift

Vorschlag der Kommission

Geänderter Text

Unterscheidung der personenbezogenen Daten nach Richtigkeit und Zuverlässigkeit

Sachliche Richtigkeit

Änderungsantrag  25

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten tragen dafür Sorge, dass die zu verarbeitenden Datenkategorien so weit wie möglich nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden werden.

1. Die zuständigen Behörden tragen dafür Sorge, dass personenbezogene Daten so weit wie möglich sachlich richtig, vollständig und, wenn nötig, auf dem neuesten Stand sind.

Änderungsantrag  26

Vorschlag für eine Richtlinie

Artikel 6 – Absatz 2 and Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten tragen dafür Sorge, dass bei personenbezogenen Daten so weit wie möglich zwischen solchen unterschieden werden, die auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen.

2. Die zuständigen Behörden tragen dafür Sorge, dass personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. Zu diesem Zweck legen sie fest, dass die zuständigen Behörden die Qualität der personenbezogenen Daten vor deren Übermittlung oder Bereitstellung überprüfen, soweit dies praktisch möglich ist. Bei jeder Übermittlung von Daten werden nach Möglichkeit Informationen beigefügt, die es dem Empfängermitgliedstaat gestatten, die Richtigkeit, Vollständigkeit, Aktualität und die Zuverlässigkeit der Daten zu beurteilen. Werden personenbezogene Daten ohne vorheriges Ersuchen übermittelt, so prüft die empfangende Behörde unverzüglich, ob die Daten für den Zweck, für den sie übermittelt wurden, benötigt werden.

 

2a. Wird festgestellt, dass unrichtige Daten übermittelt worden sind oder Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. Dieser ist verpflichtet, die Daten unverzüglich gemäß Absatz 1 und Artikel 15 zu berichtigen oder gemäß Artikel 16 zu löschen.

Begründung

Textvorschlag orientiert sich an Artikel 8 des Rahmenbeschlusses 2008/977/JI und statuiert das Verbot, sachlich unrichtige Daten zu übermitteln

Änderungsantrag  27

Vorschlag für eine Richtlinie

Artikel 7 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 7a

 

Rechtmäßigkeit der Verarbeitung; Zweckbindung

 

1. Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn und soweit sie unter Beachtung der nachstehenden Grundsätze erfolgt.

 

2. Personenbezogene Daten dürfen von den zuständigen Behörden im Rahmen ihrer Aufgaben für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Rechtmäßigen Zwecken dienen insbesondere Datenerhebungen

 

(a) zur Wahrnehmung einer gesetzlichen Aufgabe, die eine zuständige Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken ausführt, or

 

(b) zur Erfüllung einer gesetzlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt, or

 

(c) zur Wahrung schutzwürdiger Interessen der betroffenen Person oder

 

(d) zur Wahrung berechtigter Interessen einer anderen Person, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung offensichtlich überwiegt;

 

(e) zur Abwehr einer Gefahr für die öffentliche Sicherheit.

 

3. Die Verarbeitung personenbezogener Daten muss den Zwecken entsprechen, für die sie erhoben werden. Die Weiterverarbeitung zu einem anderen Zweck ist zulässig, soweit sie

 

(a) rechtmäßigen Zwecken dient (Absatz 2),

 

(b) zu diesem anderen Zweck erforderlich ist,

 

(c) nicht unvereinbar ist mit den Zwecken, zu denen die Daten erhoben worden sind.

 

4. Für historische, statistische oder wissenschaftliche Zwecke dürfen personenbezogene Daten in Abweichung von Absatz 3 weiter verarbeitet werden, sofern die Mitgliedsstaaten geeignete Garantien vorsehen, wie das Anonymisieren der Daten.

Änderungsantrag  28

Vorschlag für eine Richtlinie

Artikel 7 b (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 7b

 

Besonderheiten bei personenbezogenen Daten aus anderen Mitgliedstaaten

 

Für personenbezogene Daten, die von der zuständigen Behörde eines anderen Mitgliedstaats übermittelt oder bereitgestellt wurden, ist in Ergänzung der allgemeinen Grundsätze der Datenverarbeitung folgendes zu beachten:

 

1. Die personenbezogenen Daten dürfen an nicht-öffentliche Stellen nur dann weitergeleitet werden, wenn

 

(a) die zuständige Behörde des Mitgliedstaats, von dem er die Daten erhalten hat, der Weiterleitung unter Beachtung ihres innerstaatlichen Rechts zugestimmt hat;

 

(b) überwiegende schutzwürdige Interessen der betroffenen Person nicht entgegenstehen und

 

(c) die Weiterleitung im Einzelfall für die zuständige Behörde, die die Daten an eine nicht-öffentliche Stelle weiterleitet, unerlässlich ist:

 

(i) für die Erfüllung einer ihr rechtmäßig zugewiesenen Aufgabe,

 

(ii) zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder zur Vollstreckung von strafrechtlichen Sanktionen,

 

(iii) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit oder

 

(iv) zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte Einzelner.

 

Die zuständige Behörde, die die Daten an eine nicht-öffentliche Stelle weiterleitet, weist diese darauf hin, zu welchen Zwecken die Daten ausschließlich verwendet werden dürfen.

 

2. Die personenbezogenen Daten dürfen unter den Voraussetzungen des Artikels 7 Absatz 3 nur für folgende andere Zwecke als diejenigen, für die sie übermittelt oder bereitgestellt wurden, weiter verarbeitet werden:

 

(a) die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Vollstreckung von strafrechtlichen Sanktionen, bei denen es sich nicht um die Straftaten oder Sanktionen handelt, für die sie übermittelt oder bereitgestellt wurden;

 

(b) andere justizielle und verwaltungsbehördliche Verfahren, die mit der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Vollstreckung von strafrechtlichen Sanktionen unmittelbar zusammenhängen;

 

(c) die Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit; or

 

(d) jeden anderen Zweck nur mit der vorherigen Zustimmung des übermittelnden Mitgliedstaats oder mit Einwilligung der betroffenen Person, die sie im Einklang mit dem innerstaatlichen Recht erteilt hat.

 

Artikel 7 Absatz 4 bleibt unberührt.

 

3. Gelten nach dem innerstaatlichen Recht des übermittelnden Mitgliedstaats unter besonderen Umständen besondere Verarbeitungsbeschränkungen für den Datenaustausch zwischen den zuständigen Behörden innerhalb dieses Mitgliedstaats, so weist die übermittelnde Behörde den Empfänger auf diese besonderen Beschränkungen hin. Der Empfänger stellt sicher, dass diese Verarbeitungsbeschränkungen eingehalten werden.

Begründung

Die in diesem Artikel vorgenommene Überarbeitung übernimmt die Regelungen des Rahmenbeschlusses 2088/977/JI, Artikel 13, zum Umgang mit Daten, die aus anderen MS stammen, und schützt diese Daten in besonderem Maße. Artikel 7a dient zugleich dem Schutz des MS, aus dem die Daten stammen, und schafft damit das für einen unionsinternen Datenaustausch erforderliche Vertrauen, das übermittelte Daten nicht nach Belieben des empfangenden Staates weiterverarbeitet werden.

Änderungsantrag  29

Vorschlag für eine Richtlinie

Artikel 7 c (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 7c

 

Festlegung von Löschungs- und Prüffristen

 

Für die Löschung von personenbezogenen Daten oder eine regelmäßige Überprüfung der Notwendigkeit ihrer Speicherung sind angemessene Fristen vorzusehen. Durch verfahrensrechtliche Vorkehrungen ist sicherzustellen, dass diese Fristen eingehalten werden.

Begründung

Die Ergänzung ist wörtlich Artikel 5 aus Rahmenbeschluss 2008/977/JI entnommen.

Änderungsantrag  30

Vorschlag für eine Richtlinie

Artikel 8

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, Religion oder Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten oder die Gesundheit oder das Sexualleben betreffenden Daten.

Die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über die Gesundheit oder das Sexualleben ist nur zulässig, wenn

2. Absatz 1 gilt nicht in folgenden Fällen:

 

a) Die Verarbeitung ist durch eine Vorschrift gestattet, die geeignete Garantien vorsieht;

a) die Verarbeitung unbedingt notwendig und durch eine Vorschrift gestattet ist, die geeignete Garantien vorsieht oder

b) die Verarbeitung ist zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich

b) die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist oder

c) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat.

c) die Verarbeitung sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat.

Begründung

Der Artikel wurde nach Vorbild von Artikel 6, Rahmenbeschlusses 2008/977/JI umformuliert. Auch wenn er in seiner Systematik vom Verbotsprinzip des RL-E abweicht, bleibt die Verarbeitung sensibler Daten jedoch nach wie vor nur unter strengen Voraussetzungen zulässig. Mit Blick auf die große Bedeutung von DNA-Beweisspuren ist das von der KOM neu etablierte grundsätzliche Verbot zur Verarbeitung genetischer Daten gestrichen.

Änderungsantrag  31

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass Maßnahmen, die eine nachteilige Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die ausschließlich aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, verboten sind, es sei denn, dies ist durch ein Gesetz erlaubt, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

1. Maßnahmen, die eine nachteilige Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die ausschließlich aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, sind nur zulässig, wenn dies durch ein Gesetz erlaubt ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

Begründung

Die in diesem Artikel vorgenommene Überarbeitung kehrt zum Wortlaut des Rahmenbeschlusses (2008/977/JI, Artikel 7) zurück. Profiling bleibt nach wie vor nur unter strengen Voraussetzungen zulässig, auch wenn vom Verbotsprinzip abgerückt wird.

Änderungsantrag  32

Vorschlag für eine Richtlinie

Artikel 9 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Aspekte der betroffenen Person darf sich nicht ausschließlich auf die in Artikel 8 genannten besonderen Kategorien personenbezogener Daten stützen.

entfällt

Begründung

Absatz 2 verleitet zu besonders umfangreichen Profiling und wäre leicht zu umgehen.

Änderungsantrag  33

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle vertretbaren Schritte unternimmt, um in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte nachvollziehbare und für jedermann leicht zugängliche Strategien zu verfolgen.

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche geeignete und zumutbare Schritte unternimmt, um in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte nachvollziehbare und für jedermann leicht zugängliche Strategien zu verfolgen.

Änderungsantrag  34

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen Sprache zur Verfügung stellt.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer möglichst klaren, einfachen Sprache zur Verfügung stellt.

Änderungsantrag  35

Vorschlag für eine Richtlinie

Artikel 10 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene Verzögerung von den Maßnahmen in Kenntnis setzt, die im Zusammenhang mit etwaigen Anträgen getroffen wurden.

entfällt

Änderungsantrag  36

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 1 – Buchstabe a (neu)

Vorschlag der Kommission

Geänderter Text

 

a) alle personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,

Änderungsantrag  37

Vorschlag für eine Richtlinie

Artikel 12 – Absatz 1 – Buchstabe g

Vorschlag der Kommission

Geänderter Text

g) diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

entfällt

Begründung

Dies bezieht sich auf das wichtigste Zugangsrecht der betroffenen Person und sollte deshalb am Anfang der Liste stehen.

Änderungsantrag  38

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 1 – Einleitung

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft im Einzelfall teilweise oder vollständig einschränken, soweit und solange diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

Änderungsantrag  39

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

(b) zur Gewährleistung, dass die Verhütung von Gefahren, die Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

Änderungsantrag  40

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e) zum Schutz der Rechte und Freiheiten anderer.

(e) zum Schutz der betroffenen Person oder der Rechte und Freiheiten anderer.

Änderungsantrag  41

Vorschlag für eine Richtlinie

Artikel 13 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten können gesetzlich Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 1 vollständig oder teilweise zur Anwendung kommt.

entfällt

Begründung

Die Verweigerung der Auskunft muss immer von Einzelfall abhängen.

Änderungsantrag  42

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass die betroffene Person besonders in den in Artikel 13 genannten Fällen das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

1. Die Mitgliedstaaten legen fest, dass die betroffene Person innerhalb der Grenzen der Artikel 12 und 13 das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

Änderungsantrag  43

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person auf Anfrage über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

Änderungsantrag  44

Vorschlag für eine Richtlinie

Artikel 14 – Absatz 3 – Unterabsatz 1 a

Vorschlag der Kommission

Geänderter Text

 

Die Mitgliedstaaten legen fest, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige Aufsichtsbehörde geltend machen kann.

Begründung

Hierdurch wird ein System für Anträge auf indirekten Zugang durch die betroffene Person geschaffen, indem die Formulierung des Rahmenbeschlusses 2008 benutzt wird.

Änderungsantrag  45

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Berichtigung von sie betreffenden unzutreffenden personenbezogenen Daten zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Daten, besonders in Form eines Korrigendums, zu verlangen.

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, die Berichtigung von sie betreffenden unzutreffenden personenbezogenen Daten zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Daten, besonders in Form eines Korrigendums, zu verlangen.

Änderungsantrag  46

Vorschlag für eine Richtlinie

Artikel 15 – Absatz 2 and Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Berichtigung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

2. Die Mitgliedstaaten legen fest, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige Aufsichtsbehörde geltend machen kann.

 

2a. Nimmt die betroffene Person ihre Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen wahr und lehnt dieser die Berichtigung oder Vervollständigung ab, hat er die betroffene Person schriftlich über die Verweigerung der Berichtigung und die Gründe hierfür sowie über die Möglichkeit zu unterrichten, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Begründung

Den Mitgliedstaaten sollte hier die Ausgestaltung überlassen werden.

Änderungsantrag  47

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4 Buchstaben a bis e sowie von Artikel 7 und 8 dieser Richtlinie vereinbar ist.

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4, 6, 7 und 8 dieser Richtlinie vereinbar ist.

Begründung

Änderung erweitert den Anwendungsbereich und stärkt die individuellen Rechte.

Änderungsantrag  48

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 2 and Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

2. Der für die Verarbeitung Verantwortliche nimmt die Löschung unverzüglich vor.

2. Die Mitgliedstaaten legen fest, ob die betroffene Person diese Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen oder über die zuständige Aufsichtsbehörde geltend machen kann.

 

2a. Nimmt die betroffene Person ihre Rechte direkt gegenüber dem für die Verarbeitung Verantwortlichen wahr und lehnt dieser die Berichtigung oder Vervollständigung ab, hat er die betroffene Person schriftlich über die Verweigerung der Berichtigung und die Gründe hierfür sowie über die Möglichkeit zu unterrichten, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Änderungsantrag  49

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 3 – Einleitung

Vorschlag der Kommission

Geänderter Text

3. Anstatt die personenbezogenen Daten zu löschen, markiert der für die Verarbeitung Verantwortliche diese, wenn

3. Anstatt die personenbezogenen Daten zu löschen, kann der für die Verarbeitung Verantwortliche deren Verarbeitung beschränken, wenn

Änderungsantrag  50

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 3 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

(c) die betroffene Person Einspruch gegen die Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert.

(c) eine Löschung die schutzwürdigen Interessen der betroffenen Person beeinträchtigen würde oder die betroffene Person Einspruch gegen die Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert.

Änderungsantrag  51

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 3 – Buchstabe c a bis c c (neu)

Vorschlag der Kommission

Geänderter Text

 

(ca) gesetzliche Dokumentations- oder Aufbewahrungspflichten einer Löschung entgegenstehen; in diesem Fall sind die Daten entsprechend der gesetzlichen Dokumentations- oder Aufbewahrungspflichten zu behandeln;

 

(cb) soweit sie nur zu Zwecken der Datensicherung oder der Datenschutzkontrolle gespeichert sind;

 

(cc) die Löschung technisch nur mit unverhältnismäßig hohem Aufwand möglich ist, z.B. wegen der besonderen Art der Speicherung.

Änderungsantrag  52

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 3 a (neu)

Vorschlag der Kommission

Geänderter Text

 

3a. Eingeschränkte Daten dürfen nur für den Zweck verwendet werden, für den die Löschung unterblieben ist. Sie dürfen auch verwendet werden, soweit dies zur Behebung einer bestehenden Beweisnot unerlässlich ist.

Begründung

Änderung stellt klar, zu welchen Rechtsfolgen eine Sperrung führen soll.

Änderungsantrag  53

Vorschlag für eine Richtlinie

Artikel 16 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder der Markierung der Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder der Einschränkung der Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Änderungsantrag  54

Vorschlag für eine Richtlinie

Artikel 17 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Die Mitgliedstaaten können vorsehen, dass für die Ausübung der in den Artikeln 11 bis 16 genannten Rechte auf Information, Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung das einzelstaatliche Strafprozessrecht zur Anwendung kommt, wenn es um personenbezogene Daten in einem Gerichtsbeschluss oder einem Gerichtsdokument geht, die in strafrechtlichen Ermittlungen und in Strafverfahren verarbeitet werden.

Die Mitgliedstaaten können vorsehen, dass die in Artikeln 11 bis 16 genannte Information, Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung im Einklang mit dem einzelstaatlichen Prozessrecht erfolgt, wenn es um personenbezogene Daten in einem Gerichtsbeschluss oder einem Gerichtsdokument geht, das mit dem Erlass eines Gerichtsbeschlusses in Verbindung steht.

Begründung

Artikel sollte auf alle Gerichte ausgeweitet werden und nicht nur Strafprozesse umfassen.

Änderungsantrag  55

Vorschlag für eine Richtlinie

Artikel 18 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Der für die Verarbeitung Verantwortliche setzt geeignete Mechanismen zur Überprüfung der Wirksamkeit der in Absatz 1 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies verhältnismäßig ist.

entfällt

Begründung

Artikel 18 Absatz 3 wurde ersatzlos gestrichen, weil ansonsten ein Prüfchaos zu entstehen droht. Datenschutzbeauftragter und Aufsichtsbehörde sollten zur Gewährleistung des Datenschutzes ausreichen; weitere externe oder interne Prüfer sind nicht erforderlich, sondern eher verwirrend.

Änderungsantrag  56

Vorschlag für eine Richtlinie

Artikel 21 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen und Verfahren so durchgeführt werden, dass die Verarbeitung im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet,

 

(a) dass die technischen und organisatorischen Maßnahmen des Artikels 27 Absatz 1 durchgeführt werden,

 

(b) dass die Verarbeitung auch sonst im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und der Schutz der Rechte der betroffenen Person sichergestellt wird und

 

(c) dass er die Weisungen des für die Verarbeitung Verantwortlichen beachtet.

Begründung

Die in diesem Artikel vorgenommene Überarbeitung ist angelehnt am Rahmenbeschluss 2008/977/JI von dem abzuweichen kein Grund ersichtlich ist. Teile von Absatz 1 im Kommissionstext wurden zu den Buchstaben a und b in dem durch das Parlament geänderten Text.

Änderungsantrag  57

Vorschlag für eine Richtlinie

Artikel 21 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten legen fest, dass die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Rechtsakts zu erfolgen hat, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem vor allem vorgesehen ist, dass der Auftragsverarbeiter, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist, nur auf Weisung des für die Verarbeitung Verantwortlichen handelt.

2. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Rechtsakts oder eines schriftlichen Vertrages zu erfolgen, in dem vorgesehen ist, dass der Auftragsverarbeiter nur auf Weisung des für die Verarbeitung Verantwortlichen handelt.

Begründung

Die in diesem Artikel vorgenommene Überarbeitung ist angelehnt am Rahmenbeschluss 2008/977/JI von dem abzuweichen kein Grund ersichtlich ist.

Änderungsantrag  58

Vorschlag für eine Richtlinie

Artikel 23 – Absatz 1 und Absätze 1 a und 1 b (neu)

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren dokumentieren.

1. Alle zuständigen Behörden dokumentieren im Einzelnen alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren.

 

1a. Übermittlungen personenbezogener Daten sind zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten zu protokollieren oder zu dokumentieren.

 

1b. Die Protokolle oder Dokumentationen werden der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt. Die Aufsichtsbehörde verwendet diese Informationen nur zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung sowie zur Sicherstellung der Integrität und Sicherheit der Daten

Begründung

Angelehnt an Artikel 10, Rahmenbeschluss 2008/977/JI. Durch diese Änderung werden Zuständigkeiten auf nationaler Ebene gestrichen und nur grenzübergreifende Übermittlungen erwähnt, wodurch der Zweck dieser Richtlinie zunichte gemacht wird und sie sich noch weiter von der Verordnung und dem so genannten harmonisierten Paket entfernt. Durch die vorstehende Änderung wird zumindest für eine gewisse Regelung auf nationaler Ebene gesorgt, wenn auch die Wiedereinsetzung des Originals zur Harmonisierung mit der Verordnung wünschenswert wäre.

Änderungsantrag  59

Vorschlag für eine Richtlinie

Artikel 27 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche technische und organisatorische Maßnahmen trifft, um

 

a) die unbeabsichtigte oder unerlaubte Vernichtung,

 

b) den unbeabsichtigten Verlust,

 

c) die unberechtigte Änderung,

 

d) die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übermittelt oder durch einen direkten automatischen Zugang zur Verfügung gestellt werden – sowie

 

e) jede andere Form der unerlaubten Verarbeitung personenbezogener Daten zu verhindern.

 

Die Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

Begründung

Die in diesem Artikel vorgenommene Überarbeitung ist Artikel 22 Absatz 1 RB entnommen.

Änderungsantrag  60

Vorschlag für eine Richtlinie

Artikel 27 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2. Die Mitgliedstaaten legen im Hinblick auf die automatisierte Datenverarbeitung fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreifen, die Folgendes bezwecken:

2. Die Mitgliedstaaten treffen im Hinblick auf die automatisierte Datenverarbeitung Maßnahmen, die geeignet sind, Folgendes zu erreichen:

Änderungsantrag  61

Vorschlag für eine Richtlinie

Artikel 27 – Absatz 2 – Buchstabe j

Vorschlag der Kommission

Geänderter Text

(j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

(j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems verfälscht werden können (Datenintegrität).

Änderungsantrag  62

Vorschlag für eine Richtlinie

Artikel 27 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

3. Die Mitgliedstaaten können erforderlichenfalls Vorschriften zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen.

Änderungsantrag  63

Vorschlag für eine Richtlinie

Artikel 28 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach deren Feststellung melden muss. Falls die Meldung nicht binnen 24 Stunden erfolgt, legt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde auf Aufforderung eine Begründung vor.

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach deren Feststellung melden muss. Für die schwersten Verletzungen legen die Mitgliedstaaten fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde die Verletzung binnen 24 Stunden nach deren Feststellung melden muss.

Begründung

Die Anforderung, dass der für die Verarbeitung Verantwortliche alle Verletzungen binnen 24 Stunden nach deren Feststellung melden und auch noch eine Begründung liefern muss, ist zu bürokratisch.

Änderungsantrag  64

Vorschlag für eine Richtlinie

Artikel 28 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Die Kommission ist ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Anforderungen für die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten und für die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

entfällt

Begründung

Die Kriterien und Anforderungen für die Feststellung einer Verletzung des Datenschutzes sind bereits ausreichend in Absatz 1 festgelegt. Die vorgeschlagene Übertragung legislativer Befugnisse würde ohnehin wesentliche Vorschriften betreffen, die nicht übertragen werden können, und sie sollten im Basisrechtsakt angegeben werden. Eine entsprechende Änderung wird auch bei der Datenschutz-Grundverordnung vorgeschlagen.

Änderungsantrag  65

Vorschlag für eine Richtlinie

Artikel 28 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 28a

 

Vorabkonsultation

 

Die Mitgliedstaaten gewährleisten, dass die zuständigen nationalen Aufsichtsbehörden vor der Verarbeitung personenbezogener Daten in neu zu errichtenden Dateien konsultiert werden, wenn

 

a) besondere Kategorien von Daten nach Artikel 8 verarbeitet werden oder

 

b) die Art der Verarbeitung, insbesondere aufgrund neuer Technologien, Mechanismen oder Verfahren, andernfalls spezifische Risiken für die Grundrechte und Grundfreiheiten und insbesondere der Privatsphäre der Betroffenen birgt.

Begründung

Übernimmt den Text aus Artikel 23 Rahmenbeschluss 2008/977/JI.

Änderungsantrag  66

Vorschlag für eine Richtlinie

Artikel 31 – Absatz 2 a (neu)

Vorschlag der Kommission

Geänderter Text

 

2a. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Eine Kündigung des Datenschutzbeauftragten ist während seiner Tätigkeit und im Jahr nach deren Beendigung unzulässig, es sei denn, dass Tatsachen vorliegen, die den für die Verarbeitung Verantwortlichen zur Kündigung aus wichtigem Grund berechtigen.

Änderungsantrag  67

Vorschlag für eine Richtlinie

Artikel 33 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a) die Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist

(a) die Übermittlung zur Verhütung von Gefahren, zur Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist und

Änderungsantrag  68

Vorschlag für eine Richtlinie

Artikel 33 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b) der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.

(b) die in diesem Kapitel niedergelegten Bedingungen eingehalten werden.

Änderungsantrag  69

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 2 – Einleitung

Vorschlag der Kommission

Geänderter Text

2. Liegt kein Beschluss nach Artikel 41 der Verordnung (EU) Nr. …./2012 vor, prüft die Kommission die Angemessenheit des Schutzniveaus unter Berücksichtigung

2. Liegt kein Beschluss nach Artikel 41 der Verordnung (EU) Nr. …./2012 vor, prüft die Kommission die Angemessenheit des Schutzniveaus unter Berücksichtigung aller Umstände, die allgemein bei Datenübermittlungen oder Kategorien von Datenübermittlungen eine Rolle spielen und losgelöst von konkreten Übermittlungsvorgängen beurteilt werden können. Die Prüfung erfolgt insbesondere unter Berücksichtigung

Änderungsantrag  70

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

3. Der Kommission wird die Befugnis übertragen, gemäß Artikel 56 zur Ergänzung der Liste in Anhang [x] von Drittländern, Gebieten oder Verarbeitungssektoren in Drittländern oder internationalen Organisationen, die ein angemessenes Schutzniveau im Sinne von Absatz 2 bieten, delegierte Rechtsakte zu erlassen. Bei der Bestimmung des Schutzniveaus hat die Kommission zu prüfen, ob die in dem Drittland oder der internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften wirksame administrative und gerichtliche Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, gewährleisten.

Begründung

Wegen des weit reichenden Charakters der entsprechenden Bestimmungen gehen sie weit über das hinaus, was für einheitliche Bedingungen für die Umsetzung erforderlich ist, und diese nicht wesentlichen Vorschriften müssen deshalb Gegenstand einer Übertragung legislativer Befugnisse im Einklang mit Artikel 290 AEUV sein. Eine entsprechende Änderung wird auch bei der Datenschutz-Grundverordnung vorgeschlagen.

Änderungsantrag  71

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 4

Vorschlag der Kommission

Geänderter Text

4. In jedem Durchführungsrechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

4. Gemäß Artikel 340 Absatz 2 AEUV und der ständigen Rechtsprechung des Gerichtshofs ersetzt die Union den durch ihre Organe in Ausübung ihrer Amtstätigkeit verursachten Schaden nach den allgemeinen Rechtsgrundsätzen, die den Rechtsordnungen der Mitgliedstaaten gemeinsam sind. Dies gilt auch für Schäden, die durch die missbräuchliche Benutzung personenbezogener Daten nach einer unzutreffenden Bestimmung gemäß den Absätzen 2 und 3 verursacht werden.

Begründung

Die außervertragliche Haftung der Union in Fällen, in denen eine unzutreffende Bestimmung auf der Grundlage der Kriterien in den Absätzen 2 und 3 erfolgt, sollte noch deutlicher erwähnt werden.

Änderungsantrag  72

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 oder – in Fällen, in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren – nach dem Verfahren gemäß Artikel 57 Absatz 3 erlassen.

entfällt

Änderungsantrag  73

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 6

Vorschlag der Kommission

Geänderter Text

6. Die Mitgliedstaaten stellen sicher, dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Übermittlungen nach Artikel 35 Absatz 1 oder Artikel 36 untersagt wird, wenn die Kommission eine Feststellung im Sinne des Absatzes 5 trifft. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

entfällt

Änderungsantrag  74

Vorschlag für eine Richtlinie

Artikel 34 – Absatz 8

Vorschlag der Kommission

Geänderter Text

8. Die Kommission überwacht die Anwendung der in den Absätzen 3 und 5 genannten Durchführungsrechtsakte.

entfällt

Änderungsantrag  75

Vorschlag für eine Richtlinie

Artikel 35

Vorschlag der Kommission

Geänderter Text

Artikel 35

entfällt

Datenübermittlung auf der Grundlage geeigneter Garantien

 

1. Hat die Kommission keinen Beschluss nach Artikel 34 erlassen, sorgen die Mitgliedstaaten dafür, dass personenbezogene Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn

 

a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind or

 

b) der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.

 

2. Die Entscheidung über eine Datenübermittlung nach Absatz 1 Buchstabe b wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Solche Datenübermittlungen müssen dokumentiert werden, und die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

 

Änderungsantrag  76

Vorschlag für eine Richtlinie

Artikel 35 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 35a

 

Übermittlung auf der Grundlage geeigneter Garantien

 

1. Hat die Kommission keinen Beschluss nach Artikel 34 erlassen, dürfen personenbezogene Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation übermittelt werden, wenn

 

a) in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind

 

b) der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die allgemein bei der Übermittlung von personenbezogenen Daten eine Rolle spielen (Artikel 34 Absatz 2), und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen, oder

 

c) die Übermittlung der personenbezogenen Daten auch nach der Feststellung der Kommission, dass kein angemessenes Schutzniveau besteht, im konkreten Fall zulässig wäre (Artikel 36).

Änderungsantrag  77

Vorschlag für eine Richtlinie

Artikel 35 b (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 35b

 

Übermittlung von aus anderen Mitgliedstaaten stammenden personenbezogenen Daten

 

1. Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die von der zuständigen Behörde eines anderen Mitgliedstaates übermittelt oder bereitgestellt wurden, einschließlich der Weitergabe an ein Drittland oder eine internationale Organisation, in Erweiterung der vorstehend genannten Voraussetzungen nur zulässig ist, wenn

 

a) der Empfänger in dem Drittstaat oder die empfangende internationale Einrichtung für die Verhütung von Gefahren, die Ermittlung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen zuständig ist,

 

b) der Mitgliedstaat, von dem die Daten übermittelt wurden, der Weiterleitung unter Beachtung seines innerstaatlichen Rechts zugestimmt hat, und

 

c) in den Fällen des Artikels 34a Absatz 3 und des Artikels 35 Buchstaben b und c auch der Mitgliedstaat, von dem die Daten übermittelt wurden, in Übereinstimmung mit seinem jeweiligen innerstaatlichen Recht die Garantien zum Schutz der übermittelten Daten für angemessen befindet.

 

2. Eine Weiterleitung ohne vorherige Zustimmung nach Absatz 1 Buchstabe b ist nur zulässig, wenn die Weiterleitung der Daten zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittstaats oder für die wesentlichen Interessen eines Mitgliedstaats unerlässlich ist und die vorherige Zustimmung nicht rechtzeitig eingeholt werden kann. Die für die Erteilung der Zustimmung zuständige Behörde wird unverzüglich unterrichtet.

 

3. Abweichend von Absatz 1 Buchstaben c dürfen personenbezogene Daten nur weitergeleitet werden, wenn dies im innerstaatlichen Recht des Mitgliedstaats, der die Daten weiterleitet, vorgesehen ist

 

a) wegen überwiegender schutzwürdiger Interessen der betroffenen Person or

 

b) wegen überwiegender berechtigter Interessen, insbesondere wichtiger öffentlicher Interessen.

 

4. Die Übermittlung an nicht-öffentliche Stellen ist nur unter den Voraussetzungen des Artikels 7a Absatz 1 und des Artikels 7b zulässig.

Begründung

Artikel 35b entspricht Artikel 13 des Rahmenbeschlusses 2088/977/JI. Er trifft besondere Regelungen zum Umgang mit Daten, die aus anderen Mitgliedstaaten stammen und schützt diese Daten in besonderem Maße. Die Vorschrift dient zugleich dem Schutz des Mitgliedstaats, aus dem die Daten stammen, und schafft damit das für einen unionsinternen Datenaustausch erforderliche Vertrauen, dass übermittelte Daten nicht nach Belieben des empfangenden Staates weiterverarbeitet werden.

Änderungsantrag  78

Vorschlag für eine Richtlinie

Artikel 36

Vorschlag der Kommission

Geänderter Text

Artikel 36

entfällt

Ausnahmen

 

Abweichend von den Artikeln 34 und 35 sehen die Mitgliedstaaten vor, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Übermittlung

 

a) zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

 

b) nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

 

c) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

 

d) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

 

e) in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

 

Änderungsantrag  79

Vorschlag für eine Richtlinie

Artikel 36 a (neu)

Vorschlag der Kommission

Geänderter Text

 

Artikel 36a

 

Ausnahmen bei Datenübermittlung nach Interessenabwägung im konkreten Einzelfall

 

1. Hat die Kommission gemäß Artikel 34 Absatz 5 festgestellt, dass kein angemessenes Schutzniveau besteht, unterbleibt die Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation, soweit auch im Einzelfall die schutzwürdigen Interessen der betroffenen Person am Ausschluss der Übermittlung das besondere öffentliche Interesse an der Datenübermittlung überwiegen.

 

2. Im Rahmen der Interessenabwägung nach Absatz 1 ist auch die Angemessenheit des Schutzniveaus im konkreten Fall zu berücksichtigen. Die Prüfung, ob im konkreten Fall ein angemessenes Schutzniveau besteht, erfolgt unter Berücksichtigung aller Umstände, die bei der beabsichtigten Datenübermittlung eine Rolle spielen, insbesondere

 

a) der Art der Daten, die übermittelt werden sollen,

 

b) der Zweckbestimmung sowie

 

c) der Dauer der im Drittstaat geplanten Verarbeitung.

 

3. Abweichend von Absatz 1 und Artikel 35 können die Mitgliedstaaten vorsehen, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn

 

a) die Übermittlung zur Wahrung besonders schützwürdiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist; dies betrifft insbesondere Leib und Leben;

 

b) die Übermittlung nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist or

 

c) zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

 

d) in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

 

4. Die Angemessenheit des Schutzniveaus kann im konkreten Fall insbesondere auch dann bestehen, wenn das betreffende Drittland, ein Gebiet, ein Verarbeitungssektor oder eine zwischen- oder überstaatliche Stelle in diesem Drittland oder die betreffende internationale Organisation im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert.

Begründung

Die Neuformulierung von Artikel 36 ist die logische Fortentwicklung der Artikel 34 und 35. In streng limitierten Einzelfällen muss eine Datenübermittlung an Drittstaaten trotz negativer Angemessenheitsentscheidung unter strengsten Bedingungen möglich sein, um höchstrangige Güter wie Leib und Leben zu schützen.

Änderungsantrag  80

Vorschlag für eine Richtlinie

Artikel 37

Vorschlag der Kommission

Geänderter Text

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden.

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden. Satz 1 gilt auch für Verarbeitungsbeschränkungen, die der für die Verarbeitung Verantwortliche gemäß Artikel 7a Absatz 3 zu beachten hat.

Begründung

Wenn Daten innerhalb der EU übermittelt werden, sollten innerstaatliche Verarbeitungsbeschränkungen auch erst recht gelten, wenn diese Daten dann wiederum an einen Drittstaat weitergeleitet werden. Anderenfalls entfiele das Vertrauen für einen EU-internen Datenaustausch.

Änderungsantrag  81

Vorschlag für eine Richtlinie

Artikel 38 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Zu den in Absatz 1 genannten Zwecken ergreift die Kommission geeignete Maßnahmen zur Förderung der Beziehungen zu Drittländern und internationalen Organisationen und insbesondere zu deren Aufsichtsbehörden, wenn sie gemäß Artikel 34 Absatz 3 durch Beschluss festgestellt hat, dass sie einen angemessenen Schutz bieten.

2. Zu den in Absatz 1 genannten Zwecken ergreift die Kommission innerhalb des Anwendungsbereichs dieser Richtlinie geeignete Maßnahmen zur Förderung der Beziehungen zu Drittländern und internationalen Organisationen und insbesondere zu deren Aufsichtsbehörden, wenn sie gemäß Artikel 34 Absatz 3 durch Beschluss festgestellt hat, dass sie einen angemessenen Schutz bieten. Dabei achtet und wahrt die Kommission die Kompetenzen der Mitgliedstaaten und die in Ausübung dieser Kompetenzen ergriffenen, rechtlichen oder tatsächlichen Maßnahmen.

Änderungsantrag  82

Vorschlag für eine Richtlinie

Artikel 41 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Endet die Amtszeit des Mitglieds oder tritt es zurück, übt es sein Amt so lange aus, bis ein neues Mitglied ernannt ist.

5. Endet die Amtszeit des Mitglieds oder tritt es zurück, übt es auf Ersuchen sein Amt so lange aus, bis ein neues Mitglied ernannt ist.

Begründung

Gerade im Fall einer Entlassung aufgrund schwerer Verfehlung kann eine bedingungslose Fortsetzung der Tätigkeit bis zur Ernennung eines Nachfolgers untragbar sein. Eine Fortsetzung der Tätigkeit sollte daher nur „auf Ersuchen“ erfolgen können.

Änderungsantrag  83

Vorschlag für eine Richtlinie

Artikel 44 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet die ihr nach Maßgabe dieser Richtlinie übertragenen Befugnisse ausübt.

1. Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet zumindest die ihr nach Maßgabe dieser Richtlinie übertragenen Befugnisse ausübt.

Änderungsantrag  84

Vorschlag für eine Richtlinie

Artikel 45 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a) die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

(a) zumindest die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

Änderungsantrag  85

Vorschlag für eine Richtlinie

Artikel 45 – Absatz 1 – Buchstabe b

Vorschlag der Kommission

Geänderter Text

(b) sich der Beschwerden von betroffenen Personen oder von Verbänden annimmt, die diese Personen gemäß Artikel 50 vertreten und von diesen hierzu ordnungsgemäß bevollmächtigt wurden, die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

(b) sich der Beschwerden von betroffenen Personen annimmt, die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

Begründung

Folgeänderung zur Streichung des Verbandsklagerechts in Artikel 50.

Änderungsantrag  86

Vorschlag für eine Richtlinie

Artikel 45 – Absatz 1 – Buchstabe e

Vorschlag der Kommission

Geänderter Text

(e) Untersuchungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet;

(e) Untersuchungen aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet; die Aufsichtsbehörden kann solche Untersuchungen innerhalb der Grenzen des innerstaatlichen Rechts auch auf eigene Initiative durchführen;

Änderungsantrag  87

Vorschlag für eine Richtlinie

Artikel 46 – Buchstabe c

Vorschlag der Kommission

Geänderter Text

c) das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften.

c) das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften. Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.

Begründung

Gegen beschwerende Entscheidungen der Aufsichtsbehörde steht der Rechtsweg offen. Die eingefügte Rechtsweggarantie ist eine Selbstverständlichkeit, die Formulierung wörtlich Artikel 25 Absatz 2 Buchstabe c Rahmenbeschluss 2008/977/JI entnommen.

Änderungsantrag  88

Vorschlag für eine Richtlinie

Artikel 49 – Absatz 1 – Buchstabe a

Vorschlag der Kommission

Geänderter Text

(a) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

(a) Beratung der europäischen Institutionen in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

Änderungsantrag  89

Vorschlag für eine Richtlinie

Artikel 52 – Absatz 1

Vorschlag der Kommission

Geänderter Text

Jede natürliche Person hat unbeschadet eines verfügbaren administrativen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die Rechte, die ihr aufgrund von nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, infolge einer Verarbeitung ihrer personenbezogenen Daten verletzt wurden, die nicht mit diesen Vorschriften vereinbar ist.

Jede natürliche Person hat unbeschadet eines verfügbaren administrativen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf, wenn die Rechte, die ihr aufgrund von nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, infolge einer Verarbeitung ihrer personenbezogenen Daten verletzt wurden, die nicht mit diesen Vorschriften vereinbar ist.

Änderungsantrag  90

Vorschlag für eine Richtlinie

Artikel 54 – Absatz 1

Vorschlag der Kommission

Geänderter Text

1. Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter hat.

1. Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter nach einzelstaatlichem Recht hat.

Änderungsantrag  91

Vorschlag für eine Richtlinie

Artikel 54 – Absatz 1 a (neu)

Vorschlag der Kommission

Geänderter Text

 

1a. Hat eine zuständige Behörde eines Mitgliedstaats personenbezogene Daten übermittelt, kann der Empfänger sich im Rahmen seiner Haftung nach Maßgabe des innerstaatlichen Rechts gegenüber dem Geschädigten zu seiner Entlastung nicht darauf berufen, dass die übermittelten Daten unrichtig gewesen sind. Leistet der Empfänger Schadensersatz wegen eines Schadens, der durch die Verwendung von unrichtig übermittelten Daten verursacht wurde, so erstattet die übermittelnde zuständige Behörde dem Empfänger den Betrag des geleisteten Schadensersatzes, wobei ein etwaiges Verschulden des Empfängers zu berücksichtigen ist

Begründung

Vergleiche Artikel 19 Absätze 1 und 2 aus Rahmenbeschluss 2008/977/JI

Änderungsantrag  92

Vorschlag für eine Richtlinie

Artikel 55

Vorschlag der Kommission

Geänderter Text

Die Mitgliedstaaten legen fest, welche Sanktionen bei einem Verstoß gegen die Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Anwendung erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die ordnungsgemäße Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere fest, welche Sanktionen bei einem Verstoß gegen die Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Anwendung erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Begründung

Vergleiche Artikel 24 Rahmenbeschluss 2008/977/JI.

Änderungsantrag  93

Vorschlag für eine Richtlinie

Artikel 56 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Die Befugnis gemäß Artikel 28 Absatz 5 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

2. Die Befugnis gemäß Artikel 34 Absatz 3 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

Begründung

Diese Änderung ist Folge der Streichung der Übertragung in Artikel 28 Absatz 5 und der Änderung von Durchführungsrechtsakten zu delegierten Rechtsakten in Artikel 34 Absatz 3.

Änderungsantrag  94

Vorschlag für eine Richtlinie

Artikel 56 – Absatz 3

Vorschlag der Kommission

Geänderter Text

3. Die Befugnisübertragung gemäß Artikel 28 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

3. Die Befugnisübertragung gemäß Artikel 34 Absatz 3 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

Begründung

Diese Änderung ist Folge der Streichung der Übertragung in Artikel 28 Absatz 5 und der Änderung von Durchführungsrechtsakten zu delegierten Rechtsakten in Artikel 34 Absatz 3.

Änderungsantrag  95

Vorschlag für eine Richtlinie

Artikel 56 – Absatz 5

Vorschlag der Kommission

Geänderter Text

5. Ein delegierter Rechtsakt, der gemäß Artikel 28 Absatz 5 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

5. Ein delegierter Rechtsakt, der gemäß Artikel 34 Absatz 3 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Begründung

Diese Änderung ist Folge der Streichung der Übertragung in Artikel 28 Absatz 5 und der Änderung von Durchführungsrechtsakten zu delegierten Rechtsakten in Artikel 34 Absatz 3.

Änderungsantrag  96

Vorschlag für eine Richtlinie

Artikel 57 – Absatz 2

Vorschlag der Kommission

Geänderter Text

2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

entfällt

Begründung

Folgt aus der Änderung des Artikels 34 Absatz 5.

Änderungsantrag  97

Vorschlag für eine Richtlinie

Artikel 60

Vorschlag der Kommission

Geänderter Text

Die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen internationalen Übereinkünfte werden erforderlichenfalls innerhalb von fünf Jahren nach Inkrafttreten dieser Richtlinie geändert.

1. Die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen internationalen Übereinkünfte werden erforderlichenfalls innerhalb von zehn Jahren nach Inkrafttreten dieser Richtlinie geändert sofern sie nicht ohnehin gesonderter Kontrolle unterliegen.

 

2. Ungeachtet Absatz 1 finden die Regelungen des Artikels 36 im Falle einer negativen Angemessenheitsentscheidung analoge Anwendung auf die vor Inkrafttreten dieser Richtlinie geschlossenen internationalen Übereinkünfte.

Begründung

Eine Anpassungsfrist von fünf Jahren aufgrund der Vielzahl und der Komplexität der bestehenden internationalen Abkommen unangemessen kurz. Der Regelungsgehalt des Artikels 36 kann nicht nur zwischen den Mitgliedstaaten gelten, sondern muss analog auch Anwendung auf bestehende internationale Abkommen finden.

Änderungsantrag  98

Vorschlag für eine Richtlinie

Anhang [x] (neu)

Vorschlag der Kommission

Geänderter Text

 

Anhang [x]

 

Liste von Drittländern, Gebieten oder Verarbeitungssektoren in Drittländern oder internationalen Organisationen, die ein angemessenes Schutzniveau im Sinne von Artikel 34 Absatz 2 bieten

Begründung

Folgt aus der Änderung des Artikels 34.

VERFAHREN

Titel

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie freier Datenverkehr (Richtlinie)

Bezugsdokumente – Verfahrensnummer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

LIBE

16.2.2012

 

 

 

Stellungnahme von

       Datum der Bekanntgabe im Plenum

JURI

14.6.2012

Verfasser(in) der Stellungnahme

       Datum der Benennung

Axel Voss

14.6.2012

Prüfung im Ausschuss

18.12.2012

21.2.2013

 

 

Datum der Annahme

19.3.2013

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

14

9

0

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter(innen)

Piotr Borys, Eva Lichtenberger, Axel Voss

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

Ricardo Cortés Lastra


VERFAHREN

Titel

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie freier Datenverkehr (Richtlinie)

Bezugsdokumente – Verfahrensnummer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Datum der Konsultation des EP

25.1.2012

 

 

 

Federführender Ausschuss

       Datum der Bekanntgabe im Plenum

LIBE

16.2.2012

 

 

 

Mitberatende(r) Ausschuss/Ausschüsse

       Datum der Bekanntgabe im Plenum

JURI

14.6.2012

 

 

 

Berichterstatter(-in/-innen)

       Datum der Benennung

Dimitrios Droutsas

25.4.2012

 

 

 

Prüfung im Ausschuss

27.2.2012

31.5.2012

9.7.2012

19.9.2012

 

5.11.2012

10.1.2013

21.1.2013

20.3.2013

 

7.5.2013

9.7.2013

21.10.2013

 

Datum der Annahme

21.10.2013

 

 

 

Ergebnis der Schlussabstimmung

+:

–:

0:

29

20

3

Zum Zeitpunkt der Schlussabstimmung anwesende Mitglieder

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Zum Zeitpunkt der Schlussabstimmung anwesende Stellvertreter(innen)

Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria

Zum Zeitpunkt der Schlussabstimmung anwesende Stellv. (Art. 187 Abs. 2)

Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski

Datum der Einreichung

22.11.2013

Rechtlicher Hinweis - Datenschutzbestimmungen