Begründung Datenschutzverordnung 25.01.2012

Hinweis

Wir können keine Verantwortung für die Aktualität, Vollständigkeit oder korrekte Übernahme der Texte übernehmen.

Fragen? Kontaktieren Sie uns einfach!

Hier finden Sie den Entwurf der EU-Datenschutzverordnung vom 25.01.2012 [461 KB] als PDF-Download.

1. KONTEXT

ENTWURFSFASSUNG 25.01.2012

Der in der Mitteilung KOM(2012) 91 skizzierte Vorschlag der Kommission für einen neuen
Rechtsrahmen zum Schutz personenbezogener Daten in der EU wird im Folgenden näher
erläutert. Die vorgeschlagene neue Datenschutzregelung besteht aus zwei Teilen:
– einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum
freien Datenverkehr (Datenschutz-Grundverordnung) und
– einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die
zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder
Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr2.
Diese Begründung bezieht sich auf den Legislativvorschlag für die Datenschutz-
Grundverordnung.
Kernstück der EU-Vorschriften zum Schutz personenbezogener Daten ist die Richtlinie
95/46/EG3 aus dem Jahr 1995, die auf zweierlei abzielt: Schutz des Grundrechts auf
Datenschutz und Garantie des freien Verkehrs personenbezogener Daten zwischen den
Mitgliedstaaten. Ergänzt wurde die Richtlinie durch den Rahmenbeschluss 2008/977/JI, der
den Schutz personenbezogener Daten im Bereich der polizeilichen und justiziellen
Zusammenarbeit in Strafsachen regelt.4
Der rasche technologische Fortschritt stellt den Datenschutz vor neue Herausforderungen. Das
Ausmaß, in dem Daten ausgetauscht und erhoben werden, hat rasant zugenommen. Die
Technik macht es möglich, dass Privatwirtschaft und Staat im Rahmen ihrer Tätigkeiten in
einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.
Zunehmend werden auch private Informationen ins weltweite Netz gestellt und damit
öffentlich zugänglich gemacht. Die Informationstechnologie hat das wirtschaftliche und
gesellschaftliche Leben gründlich verändert.
Die wirtschaftliche Entwicklung setzt Vertrauen in die Online-Umgebung voraus.
Verbraucher, denen es an Vertrauen mangelt, scheuen Online-Einkäufe und neue Dienste.
Hierdurch könnte sich die Entwicklung innovativer Anwendungen neuer Technologien verlangsamen. Der Schutz personenbezogener Daten spielt daher eine zentrale Rolle in der
Digitalen Agenda für Europa5 und allgemein in der Strategie Europa 20206.
In Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV),
der mit dem Vertrag von Lissabon eingeführt wurde, ist der Grundsatz verankert, wonach jede
Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Seit dem
Vertrag von Lissabon verfügt die Union mit Artikel 16 Absatz 2 AEUV überdies über eine
besondere Rechtsgrundlage für den Erlass von Datenschutzvorschriften. Der Schutz
personenbezogener Daten ist in Artikel 8 der EU-Grundrechtecharta als Grundrecht
ausgestaltet.
Der Europäische Rat hat die Kommission ersucht, die Funktionsweise der verschiedenen
Rechtsinstrumente zum Datenschutz zu bewerten und erforderlichenfalls weitere Initiativen
legislativer und nicht-legislativer Art vorzulegen.7 In seiner Entschließung zum Stockholmer
Programm begrüßte das Europäische Parlament8 den Vorschlag, eine umfassende Regelung
für den Schutz personenbezogener Daten innerhalb der Europäischen Union zu schaffen, und
forderte unter anderem eine Überarbeitung des Rahmenbeschlusses 2008/977/JI. In ihrem
Aktionsplan zur Umsetzung des Stockholmer Programms9 betonte die Kommission die
Notwendigkeit, in allen Bereichen der EU-Politik für eine konsequente Anwendung des
Grundrechts auf Datenschutz zu sorgen.
Die EU braucht, wie die Kommission in ihrer Mitteilung über ein Gesamtkonzept für den
Datenschutz in der Europäischen Union10 feststellte, ein umfassenderes, kohärenteres Konzept
für das Grundrecht auf Schutz personenbezogener Daten.
Die Ziele und Grundsätze der derzeitigen Datenschutzregelung bleiben gültig, aber sie hat
eine unterschiedliche Handhabung des Datenschutzes in der Union, Rechtsunsicherheit sowie
die weit verbreitete öffentliche Meinung, dass speziell im Internet der Datenschutz nicht
immer gewährleistet ist, nicht verhindern können.11 Deshalb ist es jetzt an der Zeit, eine
konsequentere, kohärentere Datenschutzregelung in der EU zu schaffen, die durchsetzbar ist
und die Voraussetzungen dafür bietet, dass die digitale Wirtschaft im Binnenmarkt weiter Fuß
fasst, die Bürger Kontrolle über ihre eigenen Daten erhalten und die Sicherheit für Wirtschaft
und Staat in rechtlicher wie praktischer Hinsicht erhöht wird.

2. ERGEBNISSE DER ANHÖRUNGEN UND FOLGENABSCHÄTZUNG

Diese Initiative zur Überarbeitung der derzeitigen Datenschutzbestimmungen ist das Ergebnis
umfassender Konsultationen, die über zwei Jahre andauerten und an denen die wichtigsten Interessengruppen beteiligt waren. Im Mai 200912 wurde eine Konferenz abgehalten, an der
hochrangige Vertreter aus den Mitgliedstaaten teilnahmen. Die öffentliche Konsultation fand
in zwei Phasen statt:
– 9. Juli bis 31. Dezember 2009 – Konsultation zum Rechtsrahmen für das Grundrecht auf
Schutz personenbezogener Daten:
Bei der Kommission gingen 168 Antworten ein: 127
von Einzelpersonen, Vereinigungen, Wirtschafts- und Fachverbänden sowie 12 von
öffentlicher Seite.13
– 4. November 2010 bis 15. Januar 2011 – Konsultation zum Gesamtkonzept der
Kommission für den Datenschutz in der Europäischen Union.
Die Kommission erhielt
305 Antworten: 54 von Bürgern, 31 von staatlicher Seite und 220 von privaten
Organisationen, insbesondere von Unternehmensverbänden und
Nichtregierungsorganisationen.14
Daneben fanden Anhörungen mit wichtigen Interessenträgern zu speziellen Themen statt. Im
Juni und Juli 2010 wurden Veranstaltungen für die Behörden der Mitgliedstaaten und private
Interessengruppen sowie für Datenschutz- und Verbraucherverbände organisiert.15 Im
November 2010 veranstaltete die Vizepräsidentin der Europäischen Kommission Reding
einen Runden Tisch zur Datenschutzreform. Am 28. Januar 2011 (Tag des Datenschutzes)
veranstaltete die Europäische Kommission gemeinsam mit dem Europarat eine Konferenz mit
hochrangigen Vertretern, auf der Themen im Zusammenhang mit der Datenschutzreform der
EU sowie die Notwendigkeit gemeinsamer weltweiter Datenschutzstandards erörtert
wurden.16 Zwei weitere Konferenzen fanden am 16./17. Juni 2011 und 21. September 2011
auf Betreiben der ungarischen bzw. der polnischen Ratspräsidentschaft statt.
Daneben wurden 2011 im Laufe des Jahres Fachseminare und Workshops zu einzelnen
Themenschwerpunkten abgehalten. Im Januar veranstaltete die Europäische Agentur für Netzund
Informationssicherheit (ENISA)17 einen Workshop, der sich mit der Meldung von
Datenschutzverstößen in Europa befasste18. Im Februar fand ein Workshop der Kommission
mit Behörden der Mitgliedstaaten statt, auf dem über Datenschutz bei der polizeilichen und
justiziellen Zusammenarbeit in Strafsachen und über die Umsetzung des Rahmenbeschlusses
gesprochen wurde. Gleichzeitig veranstaltete die Grundrechte-Agentur eine
Konsultationssitzung zum Thema „Datenschutz und Schutz der Privatsphäre“. Eine
Diskussion mit nationalen Datenschutzbehörden über Kernpunkte der Reform fand am
13. Juli 2011 statt. Die EU-Bürger konnten sich bei einer Eurobarometer-Umfrage äußern, die
von November bis Dezember 2010 durchgeführt wurde19. Darüber hinaus sind auch eine
Reihe von Studien in Auftrag gegeben worden.20 Von der Artikel-29-Datenschutzgruppe,21 die mehrere Stellungnahmen abgab, erhielt die Kommission sachdienliche Beiträge22. Zu den
Fragen, die die Kommission in ihrer Mitteilung vom November 2010 aufgeworfen hatte,
nahm auch der Europäische Datenschutzbeauftragte umfassend Stellung.23
Mit seiner Entschließung vom 6. Juli 2011 billigte das Europäische Parlament einen Bericht,
der das Konzept der Kommission für die Reform des Datenschutzrechts unterstützte.24 Am
24. Februar 2011 nahm der Rat der Europäischen Union Schlussfolgerungen an, in denen er
das Reformvorhaben der Kommission generell befürwortete und der Vorgehensweise der
Kommission in vielen Punkten zustimmte. Auch der Europäische Wirtschafts- und
Sozialausschuss unterstützte das Ziel der Kommission, durch eine angemessene
Überarbeitung der Richtlinie 95/46/EG für eine kohärente Anwendung der EUDatenschutzregeln
in allen Mitgliedstaaten zu sorgen.25
Im Zuge der Konsultationen zum Datenschutz-Gesamtkonzept stellte eine breite Mehrheit der
Teilnehmer fest, dass die allgemeinen Grundsätze zwar nach wie vor gültig sind, die
derzeitige Regelung aber angepasst werden muss, um besser auf die rasante Entwicklung
neuer Technologien (vor allem von Online-Technologien) und die zunehmende
Globalisierung reagieren zu können. Die Datenschutzregelung sollte allerdings
technologieneutral bleiben. Die unterschiedliche Handhabung des Datenschutzes in der Union
wurde vor allem von der Wirtschaft stark kritisiert. Gefordert wurde mehr Rechtssicherheit
und eine stärkere Angleichung der Datenschutzvorschriften. Die komplexen Vorschriften für
den internationalen Transfer personenbezogener Daten werden von den Unternehmen, die
regelmäßig personenbezogene Daten aus der EU ins Ausland transferieren müssen, als
beträchtliches Hemmnis für ihre Tätigkeit angesehen.
Entsprechend ihrer Strategie für eine bessere Rechtsetzung hat die Kommission eine
Folgenabschätzung der in Frage kommenden Optionen vorgenommen26. Grundlage der
Folgenabschätzung waren drei Zielsetzungen: Stärkung der Binnenmarktdimension beim
Datenschutz, wirksamere Ausübung der Datenschutzrechte durch den Einzelnen und
Schaffung einer umfassenden, kohärenten Regelung für alle Zuständigkeitsbereiche der Union
einschließlich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Drei Optionen mit unterschiedlicher Eingriffswirkung wurden geprüft: Die erste Option sieht
minimale legislative Änderungen und Mitteilungen zu Auslegungsfragen sowie
unterstützende Maßnahmen wie Finanzierungsprogramme und technische Hilfsmittel vor. Die
zweite Option besteht aus einer punktuellen Regelung der in der Analyse festgestellten
Problemstellungen, während die dritte Option eine Verankerung des Datenschutzes auf EUEbene
durch präzise, detaillierte Vorschriften für alle Sektoren und die Gründung einer EUAgentur
für die Überwachung und Durchsetzung der Vorschriften vorsieht.
Bei jeder Option wurde entsprechend der üblichen Vorgehensweise der Kommission mithilfe
einer Lenkungsgruppe mit Vertretern aus den beteiligten Generaldirektionen der Kommission
geprüft, inwieweit mit der Option die Zielvorgaben erreicht werden, wie sich die Option
wirtschaftlich auswirkt (auch auf den Haushalt der EU-Organe), welche sozialen
Auswirkungen mit ihr verbunden sind und welche Auswirkungen auf die Grundrechte zu
erwarten sind. Auswirkungen auf die Umwelt wurden nicht festgestellt. Nach Betrachtung der
einzelnen Optionen in ihrer Gesamtwirkung wurde die hier favorisierte Option ausgearbeitet,
die auf der zweiten Option basiert mit Elementen aus den anderen beiden Optionen. Diese
Option wird der Folgenabschätzung zufolge erhebliche Verbesserungen bringen unter
anderem durch mehr Rechtssicherheit für die Bürger und für die für die Datenverarbeitung
Verantwortlichen, durch einen geringeren Verwaltungsaufwand, eine einheitlichere
Anwendung des Datenschutzrechts in der Union, durch die konkrete Möglichkeit für den
Einzelnen, seine Rechte auf Schutz seiner personenbezogenen Daten innerhalb der EU
wahrzunehmen, und durch eine wirksame Überwachung und Durchsetzung des
Datenschutzes. Es wird erwartet, dass die hier bevorzugte Option auch dazu beitragen wird,
die Ziele, die sich die Kommission in Bezug auf Verwaltungsvereinfachung und Verringerung
des Verwaltungsaufwands gesteckt hat, sowie die Zielvorgaben der Digitalen Agenda für
Europa, des Stockholmer Aktionsplans und der Strategie Europa 2020 zu erreichen.
Der Ausschuss für Folgenabschätzung nahm am 9. September 2011 zum Entwurf der
Folgenabschätzung Stellung. Die Folgenabschätzung wurde daraufhin wie folgt abgeändert:
– Präzisiert wurde, inwieweit die Ziele der derzeitigen Datenschutzregelung erreicht oder
nicht erreicht worden sind. Die Reformziele wurden klarer formuliert.
– Die Dokumentation im Abschnitt „Problemstellung“ wurde ergänzt und es wurden
zusätzliche Erläuterungen eingefügt.
– Zum Thema „Verhältnismäßigkeit“ wurde ein neuer Abschnitt aufgenommen.
– Alle Berechnungen und Schätzungen, die den Verwaltungsaufwand im Ausgangsszenario
und in der bevorzugten Option betrafen, wurden vollständig überprüft und korrigiert. Das
Verhältnis zwischen den Meldekosten und den durch die unterschiedliche Rechtslage
bedingten Gesamtkosten wurde präzisiert (einschließlich Anhang 10).
– Die Auswirkungen auf Kleinst-, Klein- und Mittelunternehmen, insbesondere in Bezug auf
den Datenschutzbeauftragten und die Datenschutz-Folgenabschätzung, wurden detaillierter
beschrieben.
Die Folgenabschätzung und deren Kurzfassung werden zusammen mit den Vorschlägen
veröffentlicht.

3. RECHTLICHE ASPEKTE

3.1. Rechtsgrundlage

Dieser Vorschlag ist auf Artikel 16 AEUV, der neuen durch den Vertrag von Lissabon
eingeführten Rechtsgrundlage für den Erlass von Datenschutzvorschriften, gestützt. Danach
kann die Union den Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten durch die Mitgliedstaaten regeln, wenn die Verarbeitung im Rahmen der Ausübung von
Tätigkeiten erfolgt, die in den Anwendungsbereich des Unionsrechts fallen. Auch
Vorschriften für den freien Verkehr personenbezogener Daten – auch solcher, die von den
Mitgliedstaaten oder von nicht-öffentlichen Stellen verarbeitet werden – können auf dieser
Grundlage erlassen werden.
Zur Regelung des Schutzes personenbezogener Daten in der Union ist eine Verordnung als
Rechtsinstrument am besten geeignet. Aufgrund ihrer unmittelbaren Anwendbarkeit nach
Artikel 288 AEUV trägt sie zur Rechtsvereinheitlichung bei und erhöht die Rechtssicherheit
durch die Einführung harmonisierter Kernbestimmungen und durch einen besseren
Grundrechtsschutz. Auf diese Weise sorgt sie gleichzeitig für einen besser funktionierenden
Binnenmarkt.
Die Bezugnahme auf Artikel 114 Absatz 1 AEUV ist für die Änderung der
Richtlinie 2002/58/EG nur insoweit notwendig, als diese Richtlinie auch den Schutz der
berechtigten Interessen von Teilnehmern vorsieht, bei denen es sich um juristische Personen
handelt.

3.2. Subsidiarität und Verhältnismäßigkeit

Nach dem Subsidiaritätsprinzip (Artikel 5 Absatz 3 EUV) wird die Union nur tätig, sofern
und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten allein
nicht ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder
ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind. Im Hinblick auf die
beschriebene Problematik zeigt die Subsidiaritätsanalyse, dass aus folgenden Gründen
Maßnahmen auf EU-Ebene notwendig sind:
– Das Recht auf Schutz personenbezogener Daten, das in Artikel 8 der Grundrechtecharta
verankert ist, verlangt ein unionsweit einheitliches Datenschutzniveau. Ohne gemeinsame
EU-Vorschriften bestünde die Gefahr, dass der Datenschutz in den Mitgliedstaaten nicht in
gleichem Maße gewährleistet ist, was den grenzüberschreitenden Verkehr
personenbezogener Daten zwischen Mitgliedstaaten mit unterschiedlichen
Datenschutzanforderungen behindern würde.
– Der Transfer personenbezogener Daten sowohl in andere EU-Staaten als auch in
Drittstaaten nimmt rasant zu. Die praktischen Schwierigkeiten bei der Durchsetzung der
Datenschutzvorschriften und die hierzu notwendige Zusammenarbeit zwischen den
Mitgliedstaaten und ihren Behörden erfordern eine Organisation auf EU-Ebene, um die
einheitliche Anwendung des Unionsrechts zu gewährleisten. Die EU ist auch die geeignete
Ebene, um sicherzustellen, dass alle Betroffenen bei der Übermittlung personenbezogener
Daten in Drittländer effektiv in gleichem Maße geschützt sind.
– Die Mitgliedstaaten können die derzeitigen Probleme – vor allem die durch die
Uneinheitlichkeit der nationalen Vorschriften bedingten Probleme – nicht allein
überwinden. Es besteht daher ein besonderer Bedarf an einer harmonisierten, kohärenten
Regelung, die einen reibungslosen Transfer personenbezogener Daten innerhalb der EU
ermöglicht und gleichzeitig EU-weit allen Betroffenen einen wirksamen Datenschutz
garantiert.
– Wegen Art und Umfang der Probleme, die nicht auf einen oder mehrere Mitgliedstaaten
beschränkt sind, werden die vorgeschlagenen Legislativmaßnahmen der EU eine größere
Wirkung entfalten als vergleichbare Maßnahmen auf Ebene der Mitgliedstaaten.
Nach dem Verhältnismäßigkeitsprinzip muss jedes Handeln zielgerichtet sein und darf nicht
über das hinausgehen, was für die Erreichung der angestrebten Ziele notwendig ist. An
diesem Grundsatz hat sich die Ausarbeitung dieses Vorschlags von der Feststellung und
Analyse der möglichen Optionen bis hin zu seiner Formulierung orientiert.

3.3. Zusammenfassung der Grundrechtsaspekte

Das Recht auf Schutz personenbezogener Daten ist in Artikel 8 der Grundrechtecharta,
Artikel 16 AEUV und in Artikel 8 der EMRK verankert. Wie der Gerichtshof der EU betont
hat,27 kann das Recht auf Schutz der personenbezogenen Daten jedoch keine
uneingeschränkte Geltung beanspruchen, sondern muss im Hinblick auf seine
gesellschaftliche Funktion gesehen werden.28 Datenschutz und Achtung des Privat- und
Familienlebens, das durch Artikel 7 der Charta geschützt ist, hängen eng zusammen. Dies
geht aus Artikel 1 Absatz 1 der Richtlinie 95/46/EG hervor, wonach die Mitgliedstaaten nach
den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und
insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung
personenbezogener Daten gewährleisten.
Auch andere in der Charta verankerte Grundrechte können betroffen sein: z. B. die Freiheit
der Meinungsäußerung (Artikel 11 der Charta), die unternehmerische Freiheit (Artikel 16),
das Recht auf Eigentum, insbesondere der Schutz des geistigen Eigentums (Artikel 17
Absatz 2), das Verbot einer Diskriminierung unter anderem wegen der Rasse, der ethnischen
Herkunft, der genetischen Merkmale, der Religion oder der Weltanschauung, der politischen
oder sonstigen Anschauung, einer Behinderung oder der sexuellen Ausrichtung (Artikel 21),
die Rechte des Kindes (Artikel 24), das Recht auf ein hohes Gesundheitsschutzniveau
(Artikel 35), das Recht auf Zugang zu Dokumenten (Artikel 42) und das Recht auf einen
wirksamen Rechtsbehelf und ein faires Verfahren (Artikel 47).

3.4. Erläuterung des Vorschlags im Einzelnen

3.4.1. KAPITEL I – ALLGEMEINE BESTIMMUNGEN

Artikel 1 bestimmt den Gegenstand der Verordnung und – wie Artikel 1 der Richtlinie
95/46/EG – ihre beiden Zielsetzungen.

Artikel 2 bestimmt den sachlichen Anwendungsbereich der Verordnung.
Artikel 3 bestimmt den räumlichen Anwendungsbereich der Verordnung.
Artikel 4 enthält die Begriffsbestimmungen. Einige Definitionen stammen aus der Richtlinie
95/46/EG, andere wurden abgeändert, ergänzt oder neu eingeführt („Verletzung des Schutzes
personenbezogener Daten“ auf der Grundlage von Artikel 2 Buchstabe h der
Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG29 in der durch die
Richtlinie 2009/136/EG30 geänderten Fassung, „genetische Daten“, „biometrische Daten“,
„Gesundheitsdaten“, „Hauptniederlassung“, „Vertreter“, „Unternehmen“,
„Unternehmensgruppe“, „verbindliche unternehmensinterne Vorschriften“, „Kind“ im Sinne
der UN-Kinderrechtskonvention31 und „Aufsichtsbehörde“).
Bei der Definition des Begriffs „Einwilligung“ wurde das Kriterium „explizit“ eingefügt, um
eine Verwechslung mit einer „ohne jeden Zweifel“ erteilten Einwilligung zu vermeiden und
sicherzustellen, dass der betroffenen Person bewusst ist, dass sie eine Einwilligung erteilt hat
und worin sie eingewilligt hat.

3.4.2. KAPITEL II – GRUNDSÄTZE

In Artikel 5 sind die Grundsätze für die Verarbeitung personenbezogener Daten niedergelegt,
die denen in Artikel 6 der Richtlinie 95/46/EG entsprechen. Neu hinzugekommen ist unter
anderem das Transparenzprinzip, der Grundsatz der Datenminimierung wurde klarer gefasst,
und es wurde eine umfassende Verantwortung und Haftung des für die Datenverarbeitung
Verantwortlichen eingeführt.
Artikel 6, der auf Artikel 7 der Richtlinie 95/46/EG gestützt ist, enthält die Kriterien für eine
rechtmäßige Verarbeitung, die weiter konkretisiert werden in Bezug auf die
Interessenabwägung und die Erfüllung rechtlicher Verpflichtungen und Aufgaben im
öffentlichen Interesse.
Artikel 7 bestimmt, unter welchen Voraussetzung eine Einwilligung eine rechtswirksame
Grundlage für eine rechtmäßige Verarbeitung darstellt.
Artikel 8 enthält weitere Bedingungen für die Rechtmäßigkeit der Verarbeitung
personenbezogener Daten von Kindern im Zusammenhang mit Diensten der
Informationsgesellschaft, die Kindern direkt angeboten werden.
Artikel 9 enthält in Anlehnung an Artikel 8 der Richtlinie 95/46/EG das allgemeine Verbot
für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Ausnahmen
von diesem Verbot.
Artikel 10 stellt klar, dass ein für die Verarbeitung Verantwortlicher allein zur Einhaltung
einer Vorschrift dieser Verordnung keine zusätzlichen Informationen einholen muss, um die
betroffene Person zu identifizieren.

3.4.3. KAPITEL III – RECHTE DER BETROFFENEN PERSON

3.4.3.1. Abschnitt 1 – Transparenz und Modalitäten

Artikel 11 führt eine Verpflichtung zur Bereitstellung transparenter, leicht zugänglicher und
verständlicher Informationen ein, die sich insbesondere an die Madrider Entschließung zu
Internationalen Standards zum Schutz der Privatsphäre32 anlehnt.
Artikel 12 verpflichtet den für die Verarbeitung Verantwortlichen, Verfahren und
Vorkehrungen für die Ausübung der Rechte der betroffenen Personen einschließlich
Möglichkeiten für die Antragstellung auf elektronischem Weg vorzusehen, innerhalb einer
bestimmten Frist auf den Antrag einer betroffenen Person zu reagieren und eine Ablehnung
des Antrags zu begründen.
Artikel 13 erstreckt die auf der Grundlage von Artikel 12 Buchstabe c der Richtlinie
95/46/EG in Bezug auf die Empfänger vorgesehenen Rechte auf alle Empfänger, d. h. auch
auf die gemeinsam für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter.

3.4.3.2 Abschnitt 2 Information und Auskunftsrecht

In Artikel 14 werden die Informationspflichten des für die Verarbeitung Verantwortlichen
gegenüber der betroffenen Person weiter ausgeführt, die über die Artikel 10 und 11 der
Richtlinie 95/46/EG hinaus über die Speicherfrist, das Beschwerderecht, die
Datenübermittlung ins Ausland und die Quelle, aus der die Daten stammen, zu unterrichten
ist. Die Ausnahmebestimmungen der Richtlinie 95/46/EG werden beibehalten, d. h. die
Informationspflicht besteht nicht, wenn die Erfassung oder Weitergabe der Daten per Gesetz
ausdrücklich vorgesehen ist. Beispiele hierfür sind Verfahren der Wettbewerbs-, Steuer- oder
Zollbehörden oder von Diensten, die für Angelegenheiten der sozialen Sicherheit zuständig
sind.
Artikel 15, der auf Artikel 12 Buchstabe a der Richtlinie 95/46/EG gestützt ist, regelt das
Recht der betroffenen Person auf Auskunft über ihre personenbezogenen Daten und darüber
hinaus das Recht, über die Speicherfrist informiert zu werden, das Recht auf Berichtigung,
das Recht auf Löschung sowie das Beschwerderecht.

3.4.3.3. Abschnitt 3 – Berichtigung und Löschung

In Artikel 16 ist das Recht der betroffenen Person auf Berichtigung ihrer Daten in Anlehnung
an Artikel 12 Buchstabe b der Richtlinie 95/46/EG festgeschrieben.
Artikel 17 garantiert dem Betroffenen das Recht, vergessen zu werden, sowie das Recht auf
Löschung. Das in Artikel 12 b der Richtlinie 95/46/EG geregelte Recht auf Löschung wird
weiter ausgeführt und präzisiert einschließlich der Bedingungen für das Recht auf
Vergessenwerden. Hierzu zählt auch die Pflicht des für die Verarbeitung Verantwortlichen,
der die personenbezogenen Daten veröffentlicht hat, Dritte über den Antrag der betroffenen
Person auf Löschung aller Verbindungen zu diesen personenbezogenen Daten oder auf
Löschung von Kopien oder Replikationen dieser Daten zu informieren. Darüber hinaus wird
ein Recht auf Beschränkung der Datenverarbeitung in bestimmten Fällen eingeführt. Der
mehrdeutige Ausdruck „Sperrung“ wird dabei vermieden.
In Artikel 18 wird das Recht des Betroffenen auf Datenportabilität eingeführt, d. h. das Recht,
seine Daten aus einem automatisierten Datenverarbeitungssystem auf ein anderes System zu
übertragen, ohne dass der für die Verarbeitung Verantwortliche ihn daran hindern kann. Als
Voraussetzung für die Ausübung dieses Rechts und um den Zugang natürlicher Personen zu
ihren Daten weiter zu verbessern, ist vorgesehen, dass der für die Verarbeitung
Verantwortliche diese Daten in einem strukturierten, gängigen elektronischen Format zur
Verfügung stellen muss.

Fragen? Kontaktieren Sie uns einfach!

3.4.3.4 Abschnitt 4 Widerspruchsrecht und Profiing

Artikel 19 gewährleistet das Widerspruchsrecht der betroffenen Person. Der Artikel ist auf
Artikel 14 der Richtlinie 95/46/EG gestützt mit einigen Änderungen unter anderem
hinsichtlich der Beweislastregelung und deren Anwendung im Fall der Direktwerbung.
In Artikel 20 geht es um das Recht des Betroffenen, keiner Maßnahme unterworfen zu
werden, die auf Profiling basiert. Grundlage dieser Bestimmung ist – mit einigen Änderungen
und zusätzlichen Garantien – Artikel 15 Absatz 1 der Richtlinie 95/46/EG über automatisierte
Einzelentscheidungen. Berücksichtigt wurde auch die Empfehlung des Europarats zum
Profiling33.

3.4.3.5. Abschnitt 5 – Beschränkungen

Artikel 21 präzisiert das Recht der EU und ihrer Mitgliedstaaten, Einschränkungen der
Grundsätze in Artikel 5 sowie Beschränkungen von Datenschutzrechten im Sinne der
Artikel 11 bis 20 und Artikel 32 beizubehalten oder einzuführen. Diese Bestimmung ist auf
Artikel 13 der Richtlinie 95/46/EG sowie auf die Anforderungen aus der Grundrechtecharta
und der Europäischen Menschenrechtskonvention im Sinne der Auslegung des Gerichtshofs
der EU und des Europäischen Menschenrechtsgerichtshofs gestützt.

3.4.4. KAPITEL IV

FÜR DIE VERARBEITUNG VERANTWORTLICHER UND AUFTRAGSVERARBEITER

3.4.4.1. Abschnitt 1 – Allgemeine Pflichten

Artikel 22, in den die Diskussion über den Grundsatz der Rechenschaftspflicht eingeflossen
ist, enthält eine detaillierte Beschreibung der dem für die Verarbeitung Verantwortlichen
obliegenden Verpflichtung, für die Einhaltung der Verordnung zu sorgen und dies nachzuweisen, unter anderem durch die Einführung hierzu geeigneter interner Maßnahmen
und Verfahren.
Artikel 23 regelt die Pflichten, die dem für die Verarbeitung Verantwortlichen aus dem
Grundsatz des Datenschutzes durch Technik und dem Gebot datenschutzfreundlicher
Voreinstellungen erwachsen.
Artikel 24 präzisiert die Verantwortung der gemeinsam für die Verarbeitung
Verantwortlichen in Bezug auf ihr Verhältnis untereinander sowie gegenüber der betroffenen
Person.
Artikel 25 schreibt vor, dass jeder für die Verarbeitung Verantwortliche, der keine
Niederlassung in der Europäischen Union besitzt und auf dessen Verarbeitungstätigkeit die
Verordnung Anwendung findet, in bestimmten Fällen einen Vertreter in der Europäischen
Union benennen muss.
Artikel 26, der zum Teil auf Artikel 17 Absatz 2 der Richtlinie 95/46/EG gestützt ist,
präzisiert Stellung und Pflichten des Auftragsverarbeiters und bestimmt unter anderem, dass
ein Auftragsverarbeiter, der über die Anweisungen des für die Verarbeitung Verantwortlichen
hinaus Daten verarbeitet, gemeinsam mit diesem für die Verarbeitung verantwortlich ist.
Artikel 27, der die Verarbeitung unter der Aufsicht des für die Verarbeitung Verantwortlichen
und des Auftragsverarbeiters regelt, ist auf Artikel 16 der Richtlinie 95/46/EG gestützt.
Artikel 28 führt anstelle der allgemeinen Meldepflicht gegenüber der Aufsichtsbehörde
gemäß Artikel 18 Absatz 1 und Artikel 19 der Richtlinie 95/46/EG für den für die
Verarbeitung Verantwortlichen und für den Auftragsverarbeiter die Pflicht ein, die unter ihrer
Verantwortung vollzogenen Verarbeitungsvorgänge zu dokumentieren.
Artikel 29 regelt die Pflicht des für die Verarbeitung Verantwortlichen und des
Auftragsverarbeiters zur Zusammenarbeit mit der Aufsichtsbehörde.

3.4.4.2. Abschnitt 2 – Datensicherheit

Artikel 30 verpflichtet den für die Verarbeitung Verantwortlichen und den
Auftragsverarbeiter, geeignete Maßnahmen zur Gewährleistung der Sicherheit der
Datenverarbeitung zu ergreifen. Ausgehend von Artikel 17 Absatz 1 der Richtlinie 95/46/EG
wird diese Pflicht jetzt auf Auftragsverarbeiter ausgedehnt ungeachtet ihres
Vertragsverhältnisses mit dem für die Verarbeitung Verantwortlichen.
Artikel 31 und 32 führen ausgehend von Artikel 4 Absatz 3 der Datenschutzrichtlinie für
elektronische Kommunikation 2002/58/EG eine entsprechende Meldepflicht für Verstöße
gegen den Schutz personenbezogener Daten ein.

3.4.4.3 Abschnitt 3 Datenschutz-Folgenabschätzug

Datenschutz-Folgenabschätzung und vorherige Genehmigung

Artikel 33 verpflichtet den für die Verarbeitung Verantwortlichen und den
Auftragsverarbeiter, vor einer risikobehafteten Datenverarbeitung eine datenschutzspezifische
Folgenabschätzung durchzuführen.
Artikel 34 betrifft Fälle, in denen vor der Verarbeitung der Daten die Aufsichtsbehörde zurate
zu ziehen und deren Genehmigung einzuholen ist. Diese Bestimmung fußt auf dem Prinzip
der Vorabkontrolle gemäß Artikel 20 der Richtlinie 95/46/EG.

3.4.4.4. Abschnitt 4 – Datenschutzbeauftragter

Artikel 35 schreibt die Einsetzung eines Datenschutzbeauftragten für den öffentlichen Sektor
sowie im privaten Sektor für Großunternehmen und in Fällen vor, in denen die Kerntätigkeit
des für die Verarbeitung Verantwortlichen oder des Auftragverarbeiters aus
Verarbeitungsvorgängen besteht, die einer regelmäßigen, systematischen Überwachung
bedürfen. Gestützt ist diese Bestimmung auf Artikel 18 Absatz 2 der Richtlinie 95/46/EG, der
den Mitgliedstaaten die Möglichkeit bietet, als Ersatz für die allgemeine Meldepflicht die
Bestellung eines Datenschutzbeauftragten vorzusehen.
Artikel 36 regelt die Stellung des Datenschutzbeauftragten.
Artikel 37 regelt die Kernaufgaben des Datenschutzbeauftragten.

3.4.4.5. Abschnitt 5

Verhaltensregeln und Zertifizierung

Artikel 38, der auf Artikel 27 Absatz 1 der Richtlinie 95/46/EG gestützt ist, regelt den Inhalt
von Verhaltensregeln und Verfahren und ermächtigt die Kommission, über die allgemeine
Gültigkeit der Verhaltensregeln zu entscheiden.
Artikel 39 sieht die Möglichkeit zur Einführung von Zertifizierungsverfahren sowie von
Datenschutzsiegeln und -prüfzeichen vor.

3.4.5. KAPITEL V

ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN
DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN

Artikel 40 bestimmt als allgemeinen Grundsatz, dass personenbezogene Daten nur dann in
Drittländer oder an internationale Organisationen übermittelt oder weitergegeben werden
dürfen, wenn die in diesem Kapitel festgelegten Bedingungen erfüllt sind.
Artikel 41, der auf Artikel 25 der Richtlinie 95/46/EG gestützt ist, enthält die Kriterien,
Bedingungen und Verfahren für den Erlass eines Angemessenheitsbeschlusses der
Kommission. Danach beurteilt die Kommission die Angemessenheit des Schutzniveaus unter
anderem in Bezug auf die Rechtsstaatlichkeit, den gerichtlichen Rechtsschutz und die
Existenz einer unabhängigen Aufsicht. Bestätigt wird in diesem Artikel jetzt ausdrücklich die
Möglichkeit für die Kommission, das Schutzniveau zu beurteilen, das in einem Gebiet oder
einem Verarbeitungssektor eines Drittlands geboten wird.
Nach Artikel 42 sind für die Übermittlung von Daten in Drittländer in Fällen, in denen die
Kommission keinen Angemessenheitsbeschluss erlassen hat, ausreichende Garantien
erforderlich, insbesondere in Form von Standard-Datenschutzklauseln, verbindlichen
unternehmensinternen Vorschriften und Vertragsklauseln. Die Möglichkeit, auf die Standard-
Datenschutzklauseln der Kommission zurückzugreifen, basiert auf Artikel 26 Absatz 4 der
Richtlinie 95/46/EG. Neu ist, dass solche Standard-Datenschutzklauseln jetzt auch von einer
Aufsichtsbehörde festgelegt und von der Kommission als allgemein gültig erklärt werden
können. Als Garantie ausdrücklich genannt werden zudem verbindliche unternehmensinterne
Datenschutzregelungen. Die Möglichkeit, auf Vertragsklauseln zurückzugreifen, lässt dem für die Verarbeitung Verantwortlichen bzw. dem Auftragsverarbeiter einen gewissen Spielraum,
muss aber von der Aufsichtsbehörde zuvor genehmigt werden.
In Artikel 43 werden die Bedingungen für den Datentransfer auf der Grundlage verbindlicher
unternehmensinterner Datenschutzregelungen weiter ausgeführt. Die Bestimmung ist auf die
derzeitigen Praktiken und Anforderungen der Aufsichtsbehörden gestützt.
In Artikel 44, der Artikel 26 der Richtlinie 95/46/EG folgt, sind die Ausnahmen für den
Datentransfer in ein Drittland festgeschrieben. Zulässig ist der Datentransfer danach, wenn er
zur Wahrung eines wichtigen öffentlichen Interesses erforderlich ist, wie zum Beispiel für den
internationalen Datenaustausch zwischen Wettbewerbsbehörden, Steuer- oder
Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit
oder für die Fischerei zuständig sind. Der Datentransfer kann darüber hinaus unter
bestimmten, eng umrissenen Umständen mit einem berechtigten Interesse des für die
Verarbeitung Verantwortlichen oder des Auftragsverarbeiters gerechtfertigt werden. Zuvor
müssen die Umstände des Übermittlungsvorgangs allerdings geprüft und dokumentiert
worden sein.
In Artikel 45 ist ausdrücklich vorgesehen, dass die Kommission und die Aufsichtsbehörden
von Drittländern, insbesondere der Länder, deren Datenschutzniveau als angemessen
angesehen wird, ein Verfahren für die internationale Zusammenarbeit zum Schutz
personenbezogener Daten unter Berücksichtigung der Empfehlung der Organisation für
wirtschaftliche Zusammenarbeit und Entwicklung (OECD) vom 12. Juni 2007 zur
grenzübergreifenden Zusammenarbeit bei der Durchsetzung des Datenschutzrechts (crossborder
co-operation in the enforcement of laws protecting privacy) entwickeln.

3.4.6. KAPITEL VI

3.4.6. KAPITEL VI – UNABHÄNGIGKEIT DER AUFSICHTSBEHÖRDEN

3.4.6.1. Abschnitt 1 – Unabhängigkeit

95/46/EG, Aufsichtsbehörden einzurichten, zu deren Aufgaben auch die Zusammenarbeit
untereinander sowie mit der Kommission gehört.
Artikel 47 präzisiert die Kriterien für die Unabhängigkeit der Aufsichtsbehörden im Einklang
mit der Rechtsprechung des Gerichtshofs der Europäischen Union34 und in Anlehnung an
Artikel 44 der Verordnung (EG) Nr. 45/200135.
Artikel 48 regelt in Anlehnung an die einschlägige Rechtsprechung36 und Artikel 42
Absätze 2 bis 6 der Verordnung (EG) Nr. 45/2001 die allgemeinen Anforderungen an die
Mitglieder der Aufsichtsbehörde.
Artikel 49 bestimmt, welche Aspekte in Bezug auf die Aufsichtsbehörden von den
Mitgliedstaaten gesetzlich zu regeln sind.
Artikel 50 regelt in Anlehnung an Artikel 28 Absatz 7 der Richtlinie 95/46/EG das
Berufsgeheimnis der Mitglieder und Bediensteten der Aufsichtsbehörde.

3.4.6.2. Abschnitt 2 – Aufgaben und Befugnisse

Artikel 51 regelt die örtliche Zuständigkeit der Aufsichtsbehörden. Die allgemeine
Zuständigkeit im Hoheitsgebiet des eigenen Mitgliedstaats nach dem Vorbild des Artikels 28
Absatz 6 der Richtlinie 95/46/EG wird ergänzt durch die Zuständigkeit als federführende
Behörde, wenn ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter
Niederlassungen in mehreren Mitgliedstaaten hat. Auf diese Weise soll eine einheitliche
Rechtsanwendung gewährleistet werden (Prinzip einer zentralen Anlaufstelle für den
Datenschutz). Gerichte unterliegen dem materiellen Datenschutzrecht, sind aber von der
Überwachung durch die Aufsichtsbehörde ausgenommen, wenn sie in ihrer Eigenschaft als
Rechtsprechungsorgan tätig sind.
In Artikel 52 sind die Aufgaben der Aufsichtsbehörde aufgeführt, darunter die Untersuchung
und Verhandlung von Beschwerden sowie die Aufklärung der Öffentlichkeit über die Risiken,
Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung
personenbezogener Daten.
Artikel 53 regelt – zum Teil gestützt auf Artikel 28 Absatz 3 der Richtlinie 95/46/EG und
Artikel 47 der Verordnung (EG) Nr. 45/2001 – die Befugnisse der Aufsichtsbehörde mit
einigen neuen Aspekten, darunter die Befugnis zur Verhängung verwaltungsrechtlicher
Sanktionen.
Artikel 54 verpflichtet die Aufsichtsbehörden nach dem Vorbild des Artikels 28 Absatz 5 der
Richtlinie 95/46/EG zur jährlichen Berichterstattung über ihre Tätigkeit.

3.4.7. KAPITEL VII

ZUSAMMENARBEIT UND KOHÄRENZ

3.4.7.1. Abschnitt 1 – Zusammenarbeit

Artikel 55, der auf Artikel 28 Absatz 6 Unterabsatz 2 der Richtlinie 95/46/EG gestützt ist,
verpflichtet die Aufsichtsbehörden ausdrücklich, einander Amtshilfe zu leisten, und regelt die
Folgen, die sich aus der Nichtbeachtung des Ersuchens einer anderen Aufsichtsbehörde
ergeben.
Artikel 56 führt in Anlehnung an Artikel 17 des Ratsbeschlusses 2008/615/JI37 Vorschriften
für gemeinsame Maßnahmen sowie das Recht der Aufsichtsbehörden auf Teilnahme an
solchen Maßnahmen ein.

3.4.7.2. Abschnitt 2 – Kohärenz

Artikel 57 führt ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung
(Kohärenzverfahren) in Bezug auf Verarbeitungsvorgänge ein, die Personen in mehreren
Mitgliedstaaten betreffen können.
Artikel 58 legt die Modalitäten für Stellungnahmen des Europäischen Datenschutzausschusses
fest.
Artikel 59 betrifft die Stellungnahmen der Kommission zu Angelegenheiten, die im Rahmen
des Kohärenzverfahrens behandelt werden, wobei diese Stellungnahmen die Stellungnahmen
des Europäischen Datenschutzausschusses entweder bestätigen oder davon abweichen
können, sowie die geplante Maßnahme der Aufsichtsbehörde. Wurde die Angelegenheit vom
Europäischen Datenschutzausschuss nach Artikel 58 Absatz 3 aufgeworfen, ist zu erwarten,
dass die Kommission von ihrem Ermessen Gebrauch macht und gegebenenfalls eine
Stellungnahme abgibt.
Artikel 60 regelt die Aussetzung der Annahme der geplanten Maßnahme auf Beschluss der
Kommission, soweit dies für die korrekte Anwendung der Verordnung erforderlich ist.
Artikel 61 sieht die Möglichkeit vor, in einem Dringlichkeitsverfahren einstweilige
Maßnahmen zu erlassen.
In Artikel 62 sind die Modalitäten festgelegt, nach denen die Kommission
Durchführungsrechtsakte im Rahmen des Kohärenzverfahrens erlassen kann.
Artikel 63 schreibt vor, dass Maßnahmen einer Aufsichtsbehörde in allen betroffenen
Mitgliedstaaten zu vollstrecken sind. Diese Maßnahmen sind allerdings nur bei Anwendung
des Kohärenzverfahrens rechtsgültig und vollstreckbar.

3.4.7.3. Abschnitt 3

Der Europäische Datenschutzausschuss

Artikel 64 sieht die Einsetzung eines Europäischen Datenschutzausschusses vor, dem die
Leiter der Aufsichtsbehörden der Mitgliedstaaten und der Europäische
Datenschutzbeauftragte angehören. Der Europäische Datenschutzausschuss tritt an die Stelle
der durch Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von
Personen bei der Verarbeitung personenbezogener Daten. Die Kommission ist nicht Mitglied
des Europäischen Datenschutzausschusses, hat aber ein Recht auf Mitwirkung an seinen
Arbeiten und auf Teilnahme an den Sitzungen.
Artikel 65 schreibt die Unabhängigkeit des Europäischen Datenschutzausschusses fest.
Artikel 66 listet in Anlehnung an Artikel 30 Absatz 1 der Richtlinie 95/46/EG die Aufgaben
des Europäischen Datenschutzausschusses auf, die den erweiterten Tätigkeitsbereich dieses
Gremiums innerhalb der Union und darüber hinaus widerspiegeln. Um in dringenden Fällen
rasch reagieren zu können, erhält die Kommission die Möglichkeit, dem
Datenschutzausschuss eine Frist für seine Stellungnahme zu setzen.
Artikel 67 verpflichtet den Europäischen Datenschutzausschuss nach dem Vorbild des
Artikels 30 Absatz 6 der Richtlinie 95/46/EG zur jährlichen Berichterstattung über seine
Tätigkeit.
Artikel 68 regelt das Beschlussfassungsverfahren des Europäischen Datenschutzausschusses
und schreibt vor, dass sich der Ausschuss eine Geschäftsordnung gibt, in der er auch seine
Arbeitsweise festlegt.
Artikel 69 enthält Bestimmungen zum Vorsitz des Europäischen Datenschutzausschusses und
zu dessen Stellvertretung.
Artikel 70 präzisiert die Aufgaben des Vorsitzenden.
Artikel 71 bestimmt, dass das Sekretariat des Europäischen Datenschutzausschusses beim
Europäischen Datenschutzbeauftragten eingerichtet wird, und legt die Aufgaben des
Sekretariats fest.
Artikel 72 regelt die Vertraulichkeit der Arbeiten des Europäischen Datenschutzausschusses.

3.4.8. KAPITEL VIII

RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

In Artikel 73 ist das Recht des Betroffenen auf Beschwerde bei einer Aufsichtsbehörde in
Anlehnung an Artikel 28 Absatz 4 der Richtlinie 95/46/EG festgeschrieben. Darüber hinaus
können auch bestimmte Einrichtungen, Organisationen oder Verbände im Namen der
betroffenen Person Beschwerde führen. Im Fall einer Verletzung des Schutzes
personenbezogener Daten ist hierzu keine Beschwerde der betroffenen Person erforderlich.
Artikel 74 schreibt das Recht auf einen gerichtlichen Rechtsbehelf gegen eine
Aufsichtsbehörde fest. Er ist auf die allgemeine Regelung in Artikel 28 Absatz 3 der
Richtlinie 95/46/EG gestützt. In Artikel 74 ist ausdrücklich ein gerichtlicher Rechtsbehelf
vorgesehen, um eine Aufsichtsbehörde zu zwingen, im Fall einer Beschwerde tätig zu werden.
Zuständig sind in diesem Fall die Gerichte des Mitgliedstaats, in dem die Aufsichtsbehörde
ihren Sitz hat. Zudem wird der Aufsichtsbehörde des Mitgliedstaats, in dem die betroffene
Person ansässig ist, die Möglichkeit eingeräumt, im Namen der betroffenen Person Klage im
Sitzmitgliedstaat der zuständigen Aufsichtsbehörde zu erheben.

Artikel 75 betrifft das Recht auf einen gerichtlichen Rechtsbehelf gegen einen für die
Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in Anlehnung an Artikel 22
der Richtlinie 95/46/EG, wobei der Rechtsweg wahlweise in dem Mitgliedstaat eröffnet ist, in
dem der Beklagte niedergelassen bzw. die betroffene Person ansässig ist. Ist dieselbe
Angelegenheit Gegenstand des Kohärenzverfahrens, kann das Gericht sein Verfahren
aussetzen, es sei denn, es ist Eile geboten.
Artikel 76 legt gemeinsame Vorschriften für Gerichtsverfahren fest einschließlich des Rechts
von Datenschutzeinrichtungen, -organisationen oder -verbänden, betroffene Personen vor
Gericht zu vertreten, des Klagerechts der Aufsichtsbehörden, der Unterrichtung der Gerichte
über Parallelverfahren in einem anderen Mitgliedstaat und der Möglichkeit für die Gerichte,
bei einem solchen Parallelverfahren das eigene Verfahren auszusetzen.38 Die Mitgliedstaaten
müssen ihrerseits dafür sorgen, dass die Gerichtsverfahren zügig vonstatten gehen.39
Artikel 77 regelt die Haftung und das Recht auf Schadenersatz. Das Recht auf Schadenersatz,
das auf Artikel 23 der Richtlinie 95/46/EG gestützt ist, wird auf Schäden erweitert, die der
Auftragsverarbeiter verursacht hat. Näher geregelt wird auch die Haftung in Fällen, in denen
an der Datenverarbeitung mehrere Verantwortliche und Auftragsverarbeiter beteiligt sind.
Artikel 78 verpflichtet die Mitgliedstaaten, Vorschriften für Sanktionen einzuführen, Verstöße
gegen die Verordnung zu ahnden und dafür zu sorgen, dass diese Vorschriften angewandt
werden.
Nach Artikel 79 ist jede Aufsichtsbehörde verpflichtet, die dort aufgelisteten
verwaltungsrechtlichen Vergehen unter Beachtung der Umstände des Einzelfalls mit einer
Geldbuße bis in Höhe der angegebenen Höchstbeträge zu ahnden.

3.4.9. KAPITEL IX

VORSCHRIFTEN FÜR BESONDERE DATENVERARBEITUNGSSITUATIONEN

Artikel 81 verpflichtet die Mitgliedstaaten, Freistellungen und Ausnahmen von bestimmten
Vorschriften der Verordnung einzuführen, wenn dies erforderlich ist, um das Recht auf
Schutz der personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung in Einklang
zu bringen. Dieser Artikel ist auf Artikel 9 der Richtlinie 95/46/EG im Sinne der Auslegung
des Gerichtshofs der Europäischen Union gestützt.40
Artikel 81 verpflichtet die Mitgliedstaaten, über die Verarbeitungsbedingungen für bestimmte
Datenkategorien hinaus besondere Garantien für die Verarbeitung zu Gesundheitszwecken
vorzusehen.
Artikel 82 bietet den Mitgliedstaaten die Möglichkeit, die Verarbeitung personenbezogener
Daten im Beschäftigungskontext gesetzlich zu regeln.
Artikel 83 enthält besondere Vorschriften für die Verarbeitung personenbezogener Daten zu
historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen
Forschung.
Artikel 84 gestattet den Mitgliedstaaten in den Fällen, in denen der für die Verarbeitung
Verantwortliche der Geheimhaltung unterliegt, den Zugang der Aufsichtsbehörden zu
personenbezogenen Daten und zu Räumlichkeiten gesondert zu regeln.
Artikel 85 gestattet den Kirchen und religiösen Vereinigungen oder Gemeinschaften, die über
umfassende Datenschutzregeln verfügen, mit Blick auf Artikel 17 AEUV diese Regeln weiter
anzuwenden, sofern sie mit der Verordnung in Einklang gebracht werden.

3.4.10. KAPITEL X

DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

Artikel 86 enthält die Standardbestimmung für die Übertragung der Befugnis zum Erlass
delegierter Rechtsakte gemäß Artikel 290 AEUV. Der Gesetzgeber kann der Kommission
danach die Befugnis übertragen, Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften eines
Gesetzgebungsakts zu erlassen („quasi-legislative Rechtsakte“).
Artikel 87 regelt das Ausschussverfahren für die Übertragung von Durchführungsbefugnissen
auf die Kommission in Fällen, in denen es nach Artikel 291 AEUV einheitlicher Bedingungen
für die Durchführung der verbindlichen Rechtsakte der Union bedarf. Es gilt das
Prüfverfahren.

3.4.11. KAPITEL XI SCHLUSSBESTIMMUNGEN

Die Richtlinie 95/46/EG wird gemäß Artikel 88 aufgehoben.
Artikel 89 regelt das Verhältnis zur Datenschutzrichtlinie für elektronische Kommunikation
2002/58/EG und enthält Änderungsvorschriften für diese Richtlinie.
Artikel 90 verpflichtet die Kommission zur Bewertung der Verordnung und zur Vorlage
entsprechender Berichte.
Artikel 91 bestimmt den Zeitpunkt des Inkrafttretens der Verordnung und sieht für den
Beginn ihrer Anwendbarkeit eine zweijährige Übergangsphase vor.

4. AUSWIRKUNGEN AUF DEN HAUSHALT

Wie aus dem Finanzbogen zu diesem Vorschlag hervorgeht, ergeben sich die Auswirkungen
auf den Haushalt aus den Aufgaben, die dem Europäischen Datenschutzbeauftragten
übertragen werden. Dies erfordert eine Anpassung von Rubrik 5 der Finanziellen
Vorausschau.
Der Vorschlag hat keine Auswirkungen auf die operativen Ausgaben.
Der Finanzbogen zu diesem Verordnungsvorschlag gibt Aufschluss über die budgetären
Auswirkungen nicht nur der Verordnung, sondern auch der Richtlinie über den Datenschutz
bei der polizeilichen und justiziellen Zusammenarbeit.

Fragen? Kontaktieren Sie uns einfach!