Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates
KAPITEL I: Allgemeine Bestimmungen
(1) Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
(2) Gemäß dieser Richtlinie haben die Mitgliedstaaten
(3) Diese Richtlinie hindert die Mitgliedstaaten nicht daran, zum Schutz der Rechte und Freiheiten der betroffenen Person bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie.
(1) Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.
(2) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(3) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten
Im Sinne dieser Richtlinie bezeichnet der Ausdruck:
KAPITEL II: Grundsätze
(1) Die Mitgliedstaaten sehen vor dass personenbezogene Daten
(2) Eine Verarbeitung durch denselben oder einen anderen Verantwortlichen für einen anderen der in Artikel 1 Absatz 1 genannten Zwecke als den, für den die personenbezogenen Daten erhoben werden, ist erlaubt, sofern
(3) Die Verarbeitung durch denselben oder einen anderen Verantwortlichen kann die Archivierung im öffentlichen Interesse und die wissenschaftliche, statistische oder historische Verwendung für die in Artikel 1 Absatz 1 genannten Zwecke umfassen, sofern geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorhanden sind.
(4) Der Verantwortliche ist für die Einhaltung der Absätze 1, 2 und 3 verantwortlich und muss deren Einhaltung nachweisen können.
(1) Die Mitgliedstaaten sehen vor, dass bei personenbezogenen Daten so weit wie möglich zwischen faktenbasierten Daten und auf persönlichen Einschätzungen beruhenden Daten unterschieden wird.
(2) Die Mitgliedstaaten sehen vor, dass die zuständigen Behörden alle angemessenen Maßnahmen ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. ²Zu diesem Zweck überprüft jede zuständige Behörde, soweit durchführbar, die Qualität der personenbezogenen Daten vor ihrer Übermittlung oder Bereitstellung. ³Bei jeder Übermittlung personenbezogener Daten werden nach Möglichkeit die erforderlichen Informationen beigefügt, die es der empfangenden zuständigen Behörde gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der personenbezogenen Daten sowie deren Aktualitätsgrad zu beurteilen.
(3) Wird festgestellt, dass unrichtige personenbezogene Daten übermittelt worden sind oder die personenbezogenen Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. ²In diesem Fall ist gemäß Artikel 16 eine Berichtigung oder Löschung oder die Einschränkung der Verarbeitung der personenbezogenen Daten vorzunehmen.
(1) Die Mitgliedstaaten sehen vor, dass die Verarbeitung nur dann rechtmäßig ist, wenn und soweit diese Verarbeitung für die Erfüllung einer Aufgabe erforderlich ist, die von der zuständigen Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken wahrgenommenen wird, und auf Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erfolgt.
(2) Im Recht der Mitgliedstaaten, das die Verarbeitung innerhalb des Anwendungsbereichs dieser Richtlinie regelt, werden zumindest die Ziele der Verarbeitung, die personenbezogenen Daten, die verarbeitet werden sollen, und die Zwecke der Verarbeitung angegeben.
(1) Personenbezogene Daten, die von zuständigen Behörden für die in Artikel 1 Absatz 1 genannten Zwecke erhoben werden, dürfen nicht für andere als die in Artikel 1 Absatz 1 genannten Zwecke verarbeitet werden, es sei denn, eine derartige Verarbeitung ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig. ²Wenn personenbezogene Daten für solche andere Zwecke verarbeitet werden, gilt die Verordnung (EU) 2016/679, es sei denn, die Verarbeitung erfolgt im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt.
(2) Sind nach dem Recht der Mitgliedstaaten zuständige Behörden mit der Wahrnehmung von Aufgaben betraut, die sich nicht mit den für die in Artikel 1 Absatz 1 genannten Zwecke wahrgenommenen Aufgaben decken, gilt die Verordnung (EU) 2016/679 für die Verarbeitung zu diesen Zwecken — wozu auch im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke zählen —, es sei denn, die Verarbeitung erfolgt im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt.
(3) Die Mitgliedstaaten sehen vor, dass immer dann, wenn nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem die übermittelnde zuständige Behörde unterliegt, für die Verarbeitung besondere Bedingungen gelten, die übermittelnde zuständige Behörde den Empfänger der Daten darauf hinweist, dass diese Bedingungen gelten und einzuhalten sind.
(4) Die Mitgliedstaaten sehen vor, dass die übermittelnde zuständige Behörde auf Empfänger in anderen Mitgliedstaaten oder nach Titel V Kapitel 4 und 5 AEUV errichtete Einrichtungen und sonstige Stellen keine Bedingungen nach Absatz 3 anwendet, die nicht auch für entsprechende Datenübermittlungen innerhalb ihres eigenen Mitgliedstaats gelten.
(1) Die Mitgliedstaaten sehen vor, dass eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung — einschließlich Profiling —, die eine nachteilige Rechtsfolge für die betroffene Person hat oder sie erheblich beeinträchtigt, verboten ist, es sei denn, sie ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt und das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bietet, zumindest aber das Recht auf persönliches Eingreifen seitens des Verantwortlichen, erlaubt.
(2) Entscheidungen nach Absatz 1 dieses Artikels dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 10 beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
(3)
Profiling, das zur Folge hat, dass natürliche Personen auf Grundlage von besonderen Datenkategorien nach Artikel 10 diskriminiert werden, ist nach dem Unionsrecht verboten.
KAPITEL III: Rechte der betroffenen Person
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche alle angemessenen Maßnahmen trifft, um der betroffenen Person alle Informationen gemäß Artikel 13 sowie alle Mitteilungen gemäß den Artikeln 11, 14 bis 18 und 31, die sich auf die Verarbeitung beziehen, in präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. ²Die Übermittlung der Informationen erfolgt in einer beliebigen geeigneten Form, wozu auch die elektronische Übermittlung zählt. ³Grundsätzlich übermittelt der Verantwortliche die Informationen in derselben Form, in der er den Antrag erhalten hat.
(2) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die Ausübung der den betroffenen Personen gemäß den Artikeln 11 und 14 bis 18 zustehenden Rechte erleichtert.
(3) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die betroffene Person unverzüglich schriftlich darüber in Kenntnis setzt, wie mit ihrem Antrag verfahren wurde.
(4)
Die Mitgliedstaaten sehen vor, dass die Informationen gemäß Artikel 13 und alle gemachten Mitteilungen und getroffenen Maßnahmen gemäß den Artikeln 11, 14 bis 18 und 31 unentgeltlich zur Verfügung gestellt werden. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
(5) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 14 oder 16 stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche der betroffenen Person zumindest die folgenden Informationen zur Verfügung stellt:
(2) Zusätzlich zu den in Absatz 1 genannten Informationen sehen die Mitgliedstaaten durch Rechtsvorschriften vor, dass der Verantwortliche der betroffenen Person in besonderen Fällen die folgenden zusätzlichen Informationen erteilt, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:
(3) Die Mitgliedstaaten können Gesetzgebungsmaßnahmen erlassen, nach denen die Unterrichtung der betroffenen Person gemäß Absatz 2 soweit und so lange aufgeschoben, eingeschränkt oder unterlassen werden kann, wie diese Maßnahme in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
(4) Die Mitgliedstaaten können Gesetzgebungsmaßnahmen zur Festlegung der Verarbeitungskategorien erlassen, für die einer der Buchstaben des Absatz 3 vollständig oder teilweise zur Anwendung kommt.
(1) Die Mitgliedstaaten können Gesetzgebungsmaßnahmen erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit und so lange wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
(2) Die Mitgliedstaaten können Gesetzgebungsmaßnahmen zur Festlegung der Verarbeitungskategorien erlassen, für die Absatz 1 Buchstaben a bis e vollständig oder teilweise zur Anwendung kommen.
(3) Für die in den Absätzen 1 und 2 genannten Fälle sehen die Mitgliedstaaten vor, dass der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür unterrichtet. ²Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in Absatz 1 genannten Zwecke zuwiderliefe. ³Die Mitgliedstaaten sehen vor, dass der Verantwortliche die betroffene Person über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(4) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die sachlichen oder rechtlichen Gründe für die Entscheidung dokumentiert. ²Diese Angaben sind der Aufsichtsbehörde zur Verfügung zu stellen.
(1) Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger Daten zu verlangen. ²Unter Berücksichtigung der Zwecke der Verarbeitung sehen die Mitgliedstaaten vor, dass die betroffene Person das Recht hat, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
(2) Die Mitgliedstaaten verlangen vom Verantwortlichen, personenbezogene Daten unverzüglich zu löschen, und sehen vor, dass die betroffene Person das Recht hat, von dem Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten unverzüglich zu verlangen, wenn die Verarbeitung gegen die nach den Artikeln 4, 8 und 10 erlassenen Vorschriften verstößt oder wenn die personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen, der der Verantwortliche unterliegt.
(3)
Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche deren Verarbeitung einschränken, wenn
Unterliegt die Verarbeitung einer Beschränkung gemäß Unterabsatz 1 Buchstabe a, unterrichtet der Verantwortliche die betroffene Person, bevor er die Beschränkung aufhebt.
(4)
Die Mitgliedstaaten sehen vor, dass der Verantwortliche die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung und über die Gründe für die Verweigerung unterrichtet. Die Mitgliedstaaten können Gesetzgebungsmaßnahmen erlassen, die zu nachstehenden Zwecken die Pflicht, diese Informationen zur Verfügung zu stellen, teilweise oder vollständig einschränken, soweit diese Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:
Die Mitgliedstaaten sehen vor, dass der Verantwortliche die betroffene Person über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
(5) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die Berichtigung von unrichtigen personenbezogenen Daten der zuständigen Behörde, von der die unrichtigen Daten stammen, mitteilt.
(6) Die Mitgliedstaaten sehen vor, dass in Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1, 2 und 3 der Verantwortliche die Empfänger in Kenntnis setzt und dass die Empfänger die ihrer Verantwortung unterliegenden personenbezogenen Daten berichtigen, löschen oder deren Verarbeitung einschränken.
(1) In den in Artikel 13 Absatz 3, Artikel 15 Absatz 3 und Artikel 16 Absatz 4 genannten Fällen erlassen die Mitgliedstaaten Maßnahmen, in denen vorgesehen ist, dass die Rechte der betroffenen Person auch über die zuständige Aufsichtsbehörde ausgeübt werden können.
(2) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die betroffene Person über die Möglichkeit unterrichtet, ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 auszuüben.
(3) Wird das in Absatz 1 genannte Recht ausgeübt, unterrichtet die Aufsichtsbehörde die betroffene Person zumindest darüber, dass alle erforderlichen Prüfungen oder eine Überprüfung durch die Aufsichtsbehörde erfolgt sind. ²Die Aufsichtsbehörde hat zudem die betroffene Person über ihr Recht auf einen gerichtlichen Rechtsbehelf zu unterrichten.
Die Mitgliedstaaten können vorsehen, dass die Ausübung der Rechte nach den Artikeln 13, 14 und16 im Einklang mit dem Recht der Mitgliedstaaten erfolgt, wenn es um personenbezogene Daten in einer gerichtlichen Entscheidung oder einem Dokument oder einer Verfahrensakte geht, die in strafrechtlichen Ermittlungen und in Strafverfahren verarbeitet werden.
KAPITEL IV: Verantwortlicher und Auftragsverarbeiter
Abschnitt 1: Allgemeine Pflichten
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung in Übereinstimmung mit dieser Richtlinie erfolgt. ²Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Richtlinie zu genügen und die Rechte der betroffenen Personen zu schützen.
(2) Die Mitgliedstaaten sehen vor, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen trifft, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. ²Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. ³Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(1) Die Mitgliedstaaten sehen vor, dass in dem Fall, dass zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sie gemeinsam Verantwortliche sind. ²Sie legen in einer Vereinbarung in transparenter Form ihre jeweiligen Aufgaben gemäß dieser Richtlinie fest insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß Artikel 13 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch das Unionsrecht oder das Recht der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. ³In der Vereinbarung wird eine Anlaufstelle für die betroffenen Personen angegeben. ⁴Die Mitgliedstaaten können angeben, welcher der gemeinsam Verantwortlichen als zentrale Anlaufstelle für die betroffenen Personen handeln kann, wenn es um die Ausübung ihrer Rechte geht.
(2) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 können die Mitgliedstaaten vorsehen, dass die betroffene Person ihre Rechte im Rahmen der nach dieser Richtlinie erlassenen Vorschriften bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen kann.
(1) Die Mitgliedstaaten sehen vor, dass in dem Fall, dass eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt, dieser nur mit Auftragsverarbeitern arbeitet, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Richtlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2) Die Mitgliedstaaten sehen vor, dass der Auftragsverarbeiter keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nimmt. ²Im Fall einer allgemeinen schriftlichen Genehmigung unterrichtet der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3) Die Mitgliedstaaten sehen vor, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und der den Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt. Der Vertrag oder das andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
(4) Der Vertrag oder das andere Rechtsinstrument im Sinne von Absatz 3 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
(5) Ein Auftragsverarbeiter, der unter Verstoß gegen diese Richtlinie die Zwecke und Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.
(1) Die Mitgliedstaaten sehen vor, dass jeder Verantwortliche ein Verzeichnis aller Kategorien von Tätigkeiten der Verarbeitung, die seiner Zuständigkeit unterliegen, führt. Dieses Verzeichnis enthält alle der folgenden Angaben:
(2) Die Mitgliedstaaten sehen vor, dass jeder Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führt, die Folgendes enthält:
(3)
Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
Der Verantwortliche und der Auftragsverarbeiter stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
(1) Die Mitgliedstaaten sehen vor, dass in automatisierten Verarbeitungssystemen zumindest die folgenden Verarbeitungsvorgänge protokolliert werden: Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung. ²Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identifizierung der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers solcher personenbezogenen Daten festzustellen.
(2) Die Protokolle werden ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der personenbezogenen Daten sowie für Strafverfahren verwendet.
(3) Der Verantwortliche sowie der Auftragsverarbeiter stellen die Protokolle der Aufsichtsbehörde auf Anforderung zur Verfügung.
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so sehen die Mitgliedstaaten vor, dass der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführt.
(2) Die Folgenabschätzung gemäß Absatz 1 trägt den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung und enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Richtlinie eingehalten wird.
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateisystemen die Aufsichtsbehörde konsultiert, wenn
(2) Die Mitgliedstaaten sehen vor, dass bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen, die Aufsichtsbehörde konsultiert wird.
(3) Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen kann, die der Pflicht zur vorherigen Konsultation nach Absatz 1 unterliegen.
(4) Die Mitgliedstaaten sehen vor, dass der Verantwortliche der Aufsichtsbehörde die Datenschutz-Folgenabschätzung gemäß Artikel 27 vorlegt und ihr auf Anfrage alle sonstigen Informationen übermittelt, die sie benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(5)
Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde, wenn sie der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 dieses Artikels gegen die nach dieser Richtlinie erlassenen Vorschriften verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu sechs Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen unterbreitet und ihre in Artikel 47 genannten Befugnisse ausüben kann. ²Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um einen weiteren Monat verlängert werden. ³Die Aufsichtsbehörde unterrichtet den Verantwortliche oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung.
Abschnitt 2: Sicherheit personenbezogener Daten
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 10.
(2) Die Mitgliedstaaten sehen im Hinblick auf die automatisierte Verarbeitung vor, dass der Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreift, die Folgendes bezwecken:
(1) Die Mitgliedstaaten sehen vor, dass im Falle einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde meldet, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. ²Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
(5) Die Mitgliedstaaten sehen vor, dass der Verantwortliche Verletzungen des Schutzes personenbezogener Daten nach Absatz 1 einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. ²Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.
(6) Die Mitgliedstaaten sehen vor, dass, soweit von der Verletzung des Schutzes personenbezogener Daten personenbezogene Daten betroffen sind, die von dem oder an den Verantwortlichen eines anderen Mitgliedstaats übermittelt wurden, die in Absatz 3 genannten Informationen dem Verantwortlichen jenes Mitgliedstaats unverzüglich übermittelt werden.
(1) Die Mitgliedstaaten sehen vor, dass, wenn die Verletzung des Schutzes personenbezogener voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, der Verantwortliche die betroffene Person unverzüglich von der Verletzung benachrichtigt.
(2) Die in Absatz 1 dieses Artikels genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 30 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
(3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
(4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
(5)
Die Benachrichtigung der betroffenen Person gemäß Absatz 1 dieses Artikels kann unter zu den in Artikel 13 Absatz 3 genannten Voraussetzungen und aus den dort genannten Gründen aufgeschoben, eingeschränkt oder unterlassen werden.
Abschnitt 3: Datenschutzbeauftragter
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche einen Datenschutzbeauftragten benennt. ²Mitgliedstaaten können Gerichte und andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit von dieser Pflicht befreien.
(2) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 34 genannten Aufgaben.
(3) Ein Datenschutzbeauftragter kann für mehrere zuständige Behörden gemeinsam ernannt werden, wobei deren Organisationsstruktur und Größe Rechnung getragen wird.
(4) Die Mitgliedstaaten sehen vor, dass der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitteilt.
(1) Die Mitgliedstaaten sehen vor, dass der Verantwortliche sicherstellt, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
(2) Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 34, indem er die hierfür erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
Die Mitgliedstaaten sehen vor, dass der Verantwortliche den Datenschutzbeauftragten mit zumindest folgenden Aufgaben betraut:
KAPITEL V: Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen
(1) Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, einschließlich der Weiterübermittlung an ein anderes Drittland oder eine andere internationale Organisation, nur unter Einhaltung der nach Maßgabe anderer Bestimmungen dieser Richtlinie erlassenen nationalen Bestimmungen, zulässig ist, wenn die in diesem Kapitel festgelegten Bedingungen eingehalten werden, nämlich
(2) Die Mitgliedstaaten sehen vor, dass Übermittlungen ohne vorherige Genehmigung durch einen anderen Mitgliedstaat gemäß Absatz 1 Buchstabe c nur dann zulässig sind, wenn die Übermittlung der personenbezogenen Daten erforderlich ist, um eine unmittelbare und ernsthafte Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlandes oder für die wesentlichen Interessen eines Mitgliedstaats abzuwehren, und die vorherige Genehmigung nicht rechtzeitig eingeholt werden kann. ²Die Behörde, die für die Erteilung der vorherigen Genehmigung zuständig ist, wird unverzüglich unterrichtet.
(3) Sämtliche Bestimmungen dieses Kapitels werden angewendet, um sicherzustellen, dass das durch diese Richtlinie gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden dürfen, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. ²Eine solche Datenübermittlungen bedarf keiner besonderen Genehmigung.
(2) Bei der Prüfung der Angemessenheit des Schutzniveaus berücksichtigt die Kommission insbesondere
(3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland beziehungsweise ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 dieses Artikels bietet. ²In dem Durchführungsrechtsakt wird ein Mechanismus für die regelmäßige Überprüfung vorgesehen, die mindestens alle vier Jahre erfolgt und bei der allen maßgeblichen Entwicklungen in dem Drittland oder der internationalen Organisation Rechnung getragen wird. ³Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b dieses Artikels genannte Aufsichtsbehörde oder die dort genannten Aufsichtsbehörden angegeben. ⁴Der Durchführungsrechtsakt wird gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren erlassen.
(4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 erlassenen Beschlüsse beeinträchtigen könnten.
(5)
Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. ²Diese Durchführungsrechtsakte werden gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren oder in äußerst dringlichen Fällen gemäß dem in Artikel 58 Absatz 3 genannten Verfahren erlassen.
In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 58 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.
(6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem Beschluss nach Absatz 5 geführt hat.
(7) Die Mitgliedstaaten sehen vor, dass Übermittlungen personenbezogener Daten an das betreffende Drittland, an das Gebiet oder einen oder mehrere spezifischen Sektoren in einem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 37 und 38 durch einen Beschluss nach Absatz 5 nicht berührt werden.
(8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländern beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese ein beziehungsweise kein angemessenes Schutzniveau für personenbezogene Daten bieten.
(1) Liegt kein Beschluss nach Artikel 36 Absatz 3 vor, so sehen die Mitgliedstaaten vor, dass eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erfolgen darf, wenn
(2) Der Verantwortliche unterrichtet die Aufsichtsbehörde über Kategorien von Übermittlungen gemäß Absatz 1 Buchstabe b.
(3) Übermittlungen gemäß Absatz 1 Buchstabe b werden dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogenen Daten, der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt.
(1) Falls weder ein Angemessenheitsbeschluss nach Artikel 36 vorliegt noch geeignete Garantien nach Artikel 37 bestehen, sehen die Mitgliedstaaten vor, dass eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur zulässig ist, wenn die Übermittlung aus einem der folgenden Gründe erforderlich ist
(2) Personenbezogene Daten dürfen nicht übermittelt werden, wenn die übermittelnde zuständige Behörde feststellt, dass Grundrechte und Grundfreiheiten der betroffenen Person das öffentliche Interesse an der Übermittlung im Sinne des Absatzes 1 Buchstaben d und e überwiegen.
(3) Übermittlungen gemäß Absatz 1 werden dokumentiert und die Dokumentation einschließlich Datum und Zeitpunkt der Übermittlung, Informationen über die empfangende zuständige Behörde, Begründung der Übermittlung und übermittelte personenbezogene Daten, der Aufsichtsbehörde auf Anforderung zur Verfügung gestellt.
(1) Abweichend von Artikel 35 Absatz 1 Buchstabe b und unbeschadet der in Absatz 2 dieses Artikels genannten internationalen Übereinkünfte kann das Unionsrecht oder das Recht der Mitgliedstaaten vorsehen, dass die in Artikel 3 Nummer 7 Buchstabe a genannten zuständigen Behörden im speziellen Einzelfall nur dann personenbezogene Daten direkt an in Drittländern niedergelassene Empfänger übermitteln dürfen, wenn die übrigen Bestimmungen dieser Richtlinie eingehalten werden und alle der folgende Voraussetzungen gegeben sind:
(2) Eine internationale Übereinkunft im Sinne des Absatzes 1 ist jede in Kraft befindliche bilaterale oder multilaterale internationale Übereinkunft zwischen Mitgliedstaaten und Drittländern im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit.
(3) Die übermittelnde zuständige Behörde unterrichtet die Aufsichtsbehörde über die Übermittlungen gemäß diesem Artikel.
(4) Übermittlungen gemäß Absatz 1 werden dokumentiert.
In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Mitgliedstaaten geeignete Maßnahmen zur
KAPITEL VI: Unabhänge Aufsichtsbehörden
Abschnitt 1: Unabhängigkeit
(1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Richtlinie zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
(2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Richtlinie in der gesamten Union. ²Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII.
(3) Die Mitgliedstaaten können vorsehen, dass die gemäß der Verordnung (EU) 2016/679 in den Mitgliedstaaten errichtete Aufsichtsbehörde die in dieser Richtlinie genannte Aufsichtsbehörde ist und die Verantwortung für die Aufgaben der nach Absatz 1 zu errichtenden Aufsichtsbehörde übernimmt.
(4) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im in Artikel 51 genannten Ausschuss zu vertreten hat.
(1) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Richtlinie völlig unabhängig handelt.
(2) Die Mitgliedstaaten sehen vor, dass das Mitglied oder die Mitglieder ihrer Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Richtlinie weder direkter noch indirekter Beeinflussung von außen unterliegen und dass sie weder um Weisung ersuchen noch Weisungen entgegennehmen.
(3) Die Mitglieder der Aufsichtsbehörden der Mitgliedstaaten sehen von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.
(4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
(5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihre eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.
(6) Jeder Mitgliedstaaten stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt, und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.
(1) Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar
(2) Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen.
(3) Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats.
(4) Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Erfüllung seiner Aufgaben nicht mehr erfüllt.
(1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor
(2)
Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. ²Während ihrer Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstöße gegen diese Richtlinie.
Abschnitt 2: Zuständigkeit, Aufgaben und Befugnisse
(1) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde dafür zuständig ist, im Hoheitsgebiet ihres eigenen Mitgliedstaats die ihr gemäß dieser Richtlinie zugewiesenen Aufgaben und übertragenen Befugnisse zu erfüllen bzw. auszuüben.
(2) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde nicht für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist. ²Die Mitgliedstaaten können vorsehen, dass ihre Aufsichtsbehörde nicht für die Überwachung der von anderen unabhängigen Justizbehörden im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen zuständig ist.
(1) Jeder Mitgliedstaat sieht vor, dass jede Aufsichtsbehörde in seinem Hoheitsgebiet
(2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
(3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und für den Datenschutzbeauftragten unentgeltlich.
(4) Bei offenkundig unbegründeten oder — besonders wegen häufiger Wiederholung — exzessiven Anträgen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage ihrer Verwaltungskosten verlangen oder sich weigern, aufgrund des Antrags tätig zu werden. ²In diesem Fall trägt die Aufsichtsbehörde die Beweislast dafür, dass der Antrag offensichtlich unbegründet oder exzessiv ist.
(1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass jede Aufsichtsbehörde über wirksame Untersuchungsbefugnisse verfügt. ²Diese Befugnisse umfassen zumindest die Befugnis, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten, die verarbeitet werden, und auf alle Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten.
(2) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass jede Aufsichtsbehörde über wirksame Abhilfebefugnisse wie etwa die beispielhaft genannten folgenden verfügt, die es ihr gestatten,
(3) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass jede Aufsichtsbehörde über wirksame Beratungsbefugnisse verfügt, die es ihr gestatten, gemäß dem Verfahren der vorherigen Konsultation nach Artikel 28 den Verantwortlichen zu beraten und zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Antrag Stellungnahmen an ihr nationales Parlament, ihre Regierung oder im Einklang mit seinem nationalen Recht an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten.
(4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
(5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass jede Aufsichtsbehörde befugt ist, Verstöße gegen nach dieser Richtlinie erlassene Vorschriften den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die nach dieser Richtlinie erlassenen Vorschriften durchzusetzen.
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der verhängten Sanktionen enthalten kann. ²Die Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. ³Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.
KAPITEL VII: Zusammenarbeit
(1) Jeder Mitgliedstaat sieht vor, dass seine Aufsichtsbehörden einander maßgebliche Informationen übermitteln und Amtshilfe gewähren, um diese Richtlinie einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. ²Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um Konsultation oder um Vornahme von Nachprüfungen und Untersuchungen.
(2) Jeder Mitgliedstaaten sieht vor, dass jede Aufsichtsbehörde alle geeigneten Maßnahmen ergreift, um dem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. ²Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören.
(3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. ²Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden.
(4) Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
(5) Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. ²Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens.
(6) Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats.
(7) Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Gebühren. ²Die Aufsichtsbehörden können untereinander Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten.
(8) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss festlegen. ²Diese Durchführungsrechtsakte werden gemäß dem in Artikel 58 Absatz 2 genannten Prüfverfahren erlassen.
(1)
Der mit der Verordnung (EU) 2016/679 eingesetzte Europäische Ausschuss nimmt in Bezug auf Verarbeitungsvorgänge im Anwendungsbereich dieser Richtlinie folgende Aufgaben wahr:
In Bezug auf Unterabsatz 1 Buchstabe g stellt die Kommission dem Ausschuss alle erforderlichen Unterlagen zur Verfügung, darunter den Schriftwechsel mit der Regierung des Drittlandes, mit dem Gebiet oder spezifischen Sektor in diesem Drittland oder mit der internationalen Organisation.
(2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.
(3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 58 Absatz 1 genannten Ausschuss weiter und veröffentlicht sie.
(4)
Die Kommission setzt den Ausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die von ihm herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren ergriffen hat.
KAPITEL VIII: Rechtsbehelfe, Haftung und Sanktionen
(1) Die Mitgliedstaaten sehen vor, dass jede betroffene Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die nach dieser Richtlinie erlassenen Vorschriften verstößt.
(2) Die Mitgliedstaaten sehen vor, dass eine Beschwerde, die nicht bei der gemäß Artikel 45 Absatz 1 zuständigen Aufsichtsbehörde eingereicht wird, von der Aufsichtsbehörde, bei der die Beschwerde eingelegt wird, ohne unverzüglich an die zuständige Aufsichtsbehörde übermittelt wird. ²Die betroffene Person wird über die Übermittlung unterrichtet.
(3) Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde, bei der die Beschwerde eingelegt wurde, auf Ersuchen der betroffenen Person weitere Unterstützung leistet.
(4) Die betroffene Person wird von der zuständigen Aufsichtsbehörde über den Stand und das Ergebnis der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 53 unterrichtet.
(1) Die Mitgliedstaaten sehen vor, dass jede natürliche oder juristische Person unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde hat.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die gemäß Artikel 45 Absatz 1 zuständige Aufsichtsbehörde sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 52 erhobenen Beschwerde in Kenntnis gesetzt hat.
(3) Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.
Die Mitgliedstaaten legen fest, welche Sanktionen bei einem Verstoß gegen die nach dieser Richtlinie erlassenen Vorschriften zu verhängen sind, und treffen die zu deren Anwendung erforderlichen Maßnahmen. ²Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
KAPITEL IX: Durchführungsrechtsakte
(1) Die Kommission wird von dem mit Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
(2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
(3)
Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.
KAPITEL X: Schlussbestimmungen
(1) Der Rahmenbeschluss 2008/977/JI wird mit Wirkung vom 6. Mai 2018 aufgehoben.
(2) Verweise auf den in Absatz 1 genannten aufgehobenen Beschluss gelten als Verweise auf diese Richtlinie.
(1) Bis zum 6. Mai 2022 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Richtlinie vor. ²Die Berichte werden öffentlich gemacht.
(2) Im Rahmen der Bewertungen und Überprüfungen gemäß Absatz 1prüft die Kommission insbesondere die Anwendung und Wirkungsweise des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen und vor allem die Beschlüsse nach Artikel 36 Absatz 3 und Artikel 39.
(3) Für die in den Absätzen 1 und 2 genannten Zwecke kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern.
(4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates sowie der anderen einschlägigen Stellen und Quellen.
(5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Richtlinie vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft.
(6) Bis zum 6. Mai 2019 überprüft die Kommission andere Rechtsakte der Union über die Verarbeitung durch die zuständigen Behörden für die in Artikel 1 Absatz 1 genannten Zwecke, einschließlich der auf der Grundlage von Artikel 60 erlassenen Rechtsakte, um festzustellen, inwieweit eine Anpassung an diese Richtlinie notwendig ist, und um gegebenenfalls die erforderlichen Vorschläge zur Änderung dieser Rechtsakte zu unterbreiten, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist.
(1)
Die Mitgliedstaaten erlassen und veröffentlichen bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften, die erforderlich sind, um dieser Richtlinie nachzukommen. ²Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit. ³Sie wenden diese Vorschriften ab dem 6. Mai 2018 an.
⁴Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. ⁵Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.
(2) Abweichend von Absatz 1 können die Mitgliedstaaten vorsehen, dass in Ausnahmefällen, in denen dies für die vor dem 6. Mai 2016 eingerichteten automatisierten Verarbeitungssysteme mit einem unverhältnismäßigen Aufwand verbunden ist, diese bis zum 6. Mai 2023 mit Artikel 25 Absatz 1 in Einklang gebracht werden müssen.
(3) Abweichend von Absätzen 1 und 2 dieses Artikels kann ein Mitgliedstaat in außergewöhnlichen Umständen ein automatisiertes Verarbeitungssystem im Sinne des Absatzes 2 dieses Artikels innerhalb einer bestimmten Frist nach Ablauf der in Absatz 2 dieses Artikels genannten Frist mit Artikel 25 Absatz 1 in Einklang bringen, wenn hierdurch sonst schwerwiegende Schwierigkeiten für den Betrieb dieses automatisierten Verarbeitungssystems entstehen würden. ²Der betreffende Mitgliedstaat begründet gegenüber der Kommission, weshalb diese schwerwiegenden Schwierigkeiten entstehen würden und die Gründe für die bestimmte Frist, innerhalb derer er das automatisierte Verarbeitungssystem mit Artikel 25 Absatz 1 in Einklang bringen wird. ³Diese Frist muss vor dem 6. Mai 2026 enden.
(4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten nationalen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
© freiRecht.deQuelle: © Europäische Union, http://eur-lex.europa.eu, 1998–2018