Erwägungsgründe EU-Datenschutzverordnung

Hinweis

Wir können keine Verantwortung für die Aktualität, Vollständigkeit oder korrekte Übernahme der Texte übernehmen.

Fragen? Kontaktieren Sie uns einfach!

Hier finden Sie den Entwurf der EU-Datenschutzverordnung vom 25.01.2012 [461 KB] als PDF-Download.

Fragen? Kontaktieren Sie uns einfach!

ENTWURFSFASSUNG 25.01.2012


Vorschlag für
VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und
zum freien Datenverkehr (Datenschutz-Grundverordnung)
(Text von Bedeutung für den EWR)
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf
Artikel 16 Absatz 2 und Artikel 114 Absatz 1,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,
nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses41,
nach Anhörung des Europäischen Datenschutzbeauftragten42,
gemäß dem ordentlichen Gesetzgebungsverfahren,
in Erwägung nachstehender Gründe:

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein
Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen
Union sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen
Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen
Daten.
(2) Die Verarbeitung personenbezogener Daten steht im Dienste des Menschen; die
Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung
ihrer personenbezogenen Daten sollten gewährleisten, dass ungeachtet der
Staatsangehörigkeit oder des gewöhnlichen Aufenthaltsorts der natürlichen Personen
deren Grundrechte und Grundfreiheiten und insbesondere deren Recht auf Schutz
personenbezogener Daten gewahrt bleiben. Die Datenverarbeitung sollte zur
Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer
Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarktes sowie
zum Wohlergehen der Menschen beitragen.
(3) Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr43 ist die Harmonisierung der
Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen
bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs
personenbezogener Daten zwischen den Mitgliedstaaten.
(4) Die wirtschaftliche und soziale Integration als Folge eines funktionierenden
Binnenmarktes hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs
geführt. Der unionsweite Datenaustausch zwischen wirtschaftlichen und sozialen
Akteuren, staatlichen Stellen und Privatpersonen hat zugenommen. Das Unionsrecht
verpflichtet die Verwaltungen der Mitgliedstaaten zur Zusammenarbeit und zum
Austausch personenbezogener Daten, um ihren Pflichten nachkommen oder für eine
Behörde eines anderen Mitgliedstaats Aufgaben durchführen zu können.
(5) Der rasche technologische Fortschritt und die Globalisierung stellen den Datenschutz
vor neue Herausforderungen. Das Ausmaß, in dem Daten ausgetauscht und erhoben
werden, ist dramatisch gestiegen. Die Technik macht es möglich, dass Privatwirtschaft
und Staat zur Ausübung ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf
personenbezogene Daten zugreifen können. Zunehmend werden auch private
Informationen ins weltweite Netz gestellt und damit öffentlich zugänglich gemacht.
Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert, weshalb
der Datenverkehr innerhalb der Union sowie die Datenübermittlung an Drittländer und
internationale Organisationen noch weiter erleichtert werden muss, wobei gleichzeitig
ein hohes Maß an Datenschutz zu gewährleisten ist.
(6) Diese Entwicklungen erfordern einen soliden, kohärenteren und durchsetzbaren
Rechtsrahmen im Bereich des Datenschutzes in der Union, um eine Vertrauensbasis zu
schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter
wachsen zu können. Jede Person sollte die Kontrolle über ihre eigenen Daten besitzen,
und private Nutzer, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht
über mehr Sicherheit verfügen.
(7) Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit,
doch hat die Richtlinie eine unterschiedliche Handhabung des Datenschutzes in der
Union, Rechtsunsicherheit sowie die weit verbreitete öffentliche Meinung, dass
speziell im Internet der Datenschutz nicht immer gewährleistet ist, nicht verhindern
können. Unterschiede beim Schutz der Rechte und Grundfreiheiten von Personen im
Zusammenhang mit der Verarbeitung personenbezogener Daten in den
Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, kann den freien
Verkehr solcher Daten in der gesamten Union behindern. Diese Unterschiede im
Schutzniveau können ein Hemmnis für die unionsweite Ausübung von
Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der
Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie
95/46/EG.
(8) Um ein hohes Maß an Datenschutz für den Einzelnen zu gewährleisten und die
Hemmnisse für den Verkehr personenbezogener Daten zu beseitigen, sollte der Schutz
der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen
Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und
Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener
Daten sollten unionsweit kohärent und einheitlich angewandt werden.
(9) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert eine Stärkung
und Präzisierung der Rechte der betroffenen Personen sowie eine Verschärfung der
Auflagen für diejenigen, die personenbezogene Daten verarbeiten und darüber
entscheiden, aber ebenso gleiche Befugnisse der Mitgliedstaaten bei der Überwachung
und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener
Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.
(10) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union
ermächtigt das Europäische Parlament und den Rat, Vorschriften zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Verkehr solcher Daten festzulegen.
(11) Damit jeder in der Union das gleiche Maß an Datenschutz genießt und Unterschiede,
die den freien Datenverkehr im Binnenmarkt behindern könnten, beseitigt werden, ist
eine Verordnung erforderlich, die überall in der Union für Wirtschaftsteilnehmer
einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen
Rechtsicherheit und Transparenz schafft, den Einzelnen mit denselben durchsetzbaren
Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die für die
Verarbeitung Verantwortlichen und Auftragsverarbeiter vorsieht und eine einheitliche
Kontrolle der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten sowie
gleiche Sanktionen und eine wirksame Zusammenarbeit zwischen den
Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Um der besonderen
Situation von Kleinstunternehmen sowie kleinen und mittleren Unternehmen
Rechnung zu tragen, enthält diese Verordnung eine Reihe von abweichenden
Regelungen. Außerdem werden die Organe und Einrichtungen der Union sowie die
Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung
dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen
und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs des
Kleinstunternehmens sowie kleiner und mittlerer Unternehmen sollte die Empfehlung
2003/361/EG der Kommission vom 6. Mai 2003 maßgebend sein.
(12) Der durch diese Verordnung gewährte Schutz betrifft die Verarbeitung
personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit
oder ihres Wohnorts. Im Falle juristischer Personen und insbesondere von als
juristische Person gegründeten Unternehmen, deren Daten, zum Beispiel deren Name,
Rechtsform oder Kontaktdaten, verarbeitet werden, sollte eine Berufung auf diese
Verordnung nicht möglich sein. Dies sollte auch dann gelten, wenn der Name der
juristischen Person die Namen einer oder mehrerer natürlichen Personen enthält.
(13) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den
verwendeten Verfahren abhängen, da andernfalls das Risiko einer Umgehung der Vorschriften groß wäre. Er sollte für die automatisierte Verarbeitung
personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von
personenbezogenen Daten, die in einem Ablagesystem gespeichert sind oder
gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die
nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der
Verordnung ausgenommen werden.
(14) Die Verordnung behandelt weder Fragen des Schutzes von Grundrechten und
Grundfreiheiten und des freien Datenverkehrs im Zusammenhang mit Tätigkeiten, die
nicht in den Anwendungsbereich des Unionsrechts fallen, noch die Verarbeitung
personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der
Union, für die die Verordnung (EG) Nr. 45/200144 maßgeblich ist, noch die von den
Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der
Union durchgeführte Verarbeitung personenbezogener Daten.
(15) Die Verordnung sollte nicht für die von einer natürlichen Person vorgenommene
Verarbeitung von personenbezogenen Daten rein persönlicher oder familiärer Natur zu
nichtgewerblichen Zwecken und somit ohne Bezug zu einer beruflichen oder
wirtschaftlichen Tätigkeit gelten, wie zum Beispiel das Führen eines Schriftverkehrs
oder von Anschriftenverzeichnissen. Ebenfalls nicht ausgenommen werden sollten für
die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die die Instrumente für die
Verarbeitung personenbezogener Daten für solche persönlichen oder familiären
Tätigkeiten bereitstellen.
(16) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die
der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder
Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden dienen,
sowie der freie Verkehr solcher Daten sind in einem eigenen EU-Rechtsinstrument
geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art
keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser
Verordnung verarbeitet werden, sollten jedoch, wenn sie zum Zwecke der Verhütung,
Aufdeckung, Untersuchung oder strafrechtlichen Verfolgung von Straftaten oder der
Vollstreckung von Strafurteilen verwendet werden, dem spezifischeren EU-Instrument
(Richtlinie XX/YYYY) unterliegen.
(17) Die vorliegende Verordnung sollte die Anwendung der Richtlinie 2000/31/EG und
speziell die Vorschriften der Artikel 12 bis 15 zur Verantwortlichkeit von Anbietern
reiner Vermittlungsdienste nicht berühren.
(18) Diese Verordnung ermöglicht es, dass bei der Anwendung ihrer Vorschriften der
Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt
wird.
(19) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer
Niederlassung eines für die Verarbeitung Verantwortlichen oder eines
Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob
die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die
effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine
Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist
dabei unerheblich.
(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach
dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener
Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der
Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung
unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und
Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten.
(21) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt,
sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von
Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil
zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder
anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten
analysiert oder vorausgesagt werden sollen.
(22) Ist nach internationalem Recht das innerstaatliche Recht eines Mitgliedstaats
anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines
Mitgliedstaats, sollte die Verordnung auch auf einen nicht in der EU niedergelassenen
für die Verarbeitung Verantwortlichen Anwendung finden.
(23) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte
oder bestimmbare Person beziehen. Um festzustellen, ob eine Person bestimmbar ist,
sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung
Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen aller
Voraussicht nach zur Identifizierung der Person genutzt werden. Die Grundsätze des
Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden
sind, dass die betroffene Person nicht mehr identifiziert werden kann.
(24) Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen
Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder
Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann
Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim
Server eingehenden Informationen dazu benutzt werden können, um Profile der
betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass
Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche
nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu
betrachten sind.
(25) Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine
ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene
Willensbekundung der betroffenen Person in Form einer Erklärung oder einer
eindeutigen Handlung ermöglicht, die sicherstellt, dass der betreffenden Person
bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten
gibt, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch
jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem
jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten
Verarbeitung ihrer personenbezogenen Daten signalisiert. Eine stillschweigende
Einwilligung ohne Zutun der betroffenen Person stellt daher keine Einwilligung dar.

Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken
vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf
elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer
und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen
Bereitstellung eingewilligt wird, erfolgen.
(26) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die
sich auf den Gesundheitszustand eines von der Verarbeitung Betroffenen beziehen,
außerdem Informationen über die Vormerkung der betreffenden Person zur
Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die
Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder
Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für
medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die
betreffende Person, die im Rahmen der Erbringung von medizinischen
Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder
Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter
biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer
einer Gesundheitsleistung für die betroffene Person sowie Informationen etwa über
Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische
Beahndlungen oder den physiologischen oder biomedizinischen Zustand der
betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem
Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem
medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.
(27) Zur Bestimmung der Hauptniederlassung eines für die Verarbeitung Verantwortlichen
in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte
dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine
feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung
der Zwecke, Bedingungen und Mittel der Verarbeitung getroffen werden. Dabei sollte
nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten
tatsächlich an diesem Ort ausgeführt wird; das Vorhandensein und die Verwendung
technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten
begründet an sich noch keine Hauptniederlassung und ist daher kein
ausschlaggebender Faktor für das Bestehen einer solchen Niederlassung. Die
Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem sich seine
Hauptverwaltung in der Union befindet.
(28) Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von
diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen
dasjenige sein sollte, das zum Beispiel aufgrund von Eigentümerschaft, finanzieller
Beteiligung oder sonstiger Bestimmungen, die die Tätigkeit des Unternehmens regeln,
oder der Befugnis, Datenschutzvorschriften einzuführen, einen beherrschenden
Einfluss auf die übrigen Unternehmen ausüben kann.
(29) Die personenbezogenen Daten von Kindern müssen besonderen Schutz genießen, da
Kinder sich der Risiken, Folgen, Vorsichtsmaßnahmen und ihrer Rechte bei der
Verarbeitung personenbezogener Daten weniger bewusst sein dürften. Bei der
Definition, wann eine Person als Kind gilt, sollte die Definition in der UN-Konvention
über die Rechte des Kindes zugrunde gelegt werden.

(30) Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenen
Personen nach Recht und Gesetz sowie nach Treu und Glauben und in transparenter
Form erfolgen. Insbesondere sollten die besonderen Zwecke, zu denen die Daten
verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der
Datenerfassung feststehen. Die erfassten Daten sollten dem Zweck angemessen und
sachlich relevant sowie auf das für die Zwecke der Datenverarbeitung notwendige
Minimum beschränkt sein; dies heißt vor allem, dass nicht unverhältnismäßig viele
Daten erfasst werden und die Speicherfrist auf das unbedingt erforderliche
Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet
werden dürfen, wenn der Zweck der Verarbeitung nicht durch andere Mittel erreicht
werden kann. Es sollten alle vertretbaren Schritte unternommen werden, damit
unzutreffende oder unvollständige personenbezogene Daten gelöscht oder berichtigt
werden. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden,
sollte der für die Verarbeitung Verantwortliche Fristen für deren Löschung oder
regelmäßige Überprüfung vorsehen.
(31) Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit
Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen
Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder – wann
immer in dieser Verordnung darauf Bezug genommen wird – aus dem sonstigen
Unionsrecht oder dem Recht der Mitgliedstaaten ergibt.
(32) Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte die
Beweislast, dass die betroffene Person ihre Einwilligung zu dem
Verarbeitungsvorgang gegeben hat, bei dem für die Verarbeitung Verantwortlichen
liegen. Vor allem bei Abgabe einer schriftlichen Erklärung in anderem
Zusammenhang sollten Vorkehrungen getroffen werden, die sicherstellen, dass die
betroffene Person weiß, dass und wozu sie ihre Einwilligung erteilt.
(33) Um sicherzugehen, dass die Einwilligung ohne Zwang erfolgt, sollte klargestellt
werden, dass die Einwilligung keine rechtswirksame Grundlage für die Verarbeitung
liefert, wenn die betreffende Person keine echte Wahlfreiheit hat und somit nicht in
der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne dadurch
Nachteile zu erleiden.
(34) Die Einwilligung liefert keine rechtliche Handhabe für die Verarbeitung
personenbezogener Daten, wenn zwischen der Position der betroffenen Person und des
für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Dies ist vor
allem dann der Fall, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis
von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn
personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von
Beschäftigungsverhältnissen verarbeitet werden. Handelt es sich bei dem für die
Verarbeitung Verantwortlichen um eine Behörde, bestünde ein Ungleichgewicht nur
bei Verarbeitungsvorgängen, bei denen die Behörde aufgrund ihrer jeweiligen
obrigkeitlichen Befugnisse eine Verpflichtung auferlegen kann und deshalb die
Einwilligung nicht als ohne Zwang abgegeben gelten kann, wobei die Interessen der
betroffenen Person zu berücksichtigen sind.
(35) Die Verarbeitung von Daten sollte rechtmäßig sein, wenn sie für die Erfüllung oder
den geplanten Abschluss eines Vertrags erforderlich ist.

(36) Erfolgt die Verarbeitung durch den für die Verarbeitung Verantwortlichen aufgrund
einer ihm obliegenden gesetzlichen Verpflichtung oder ist die Verarbeitung zur
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung hoheitlicher
Gewalt erforderlich, muss hierfür eine Rechtsgrundlage im Unionsrecht oder im
nationalen Recht bestehen, die im Falle einer Beschneidung von Rechten und
Freiheiten den Anforderungen der Charta der Grundrechte der Europäischen Union
genügt. Desgleichen muss im Unionsrecht oder im nationalen Recht geregelt werden,
ob es sich bei dem für die Verarbeitung Verantwortlichen, der mit der Wahrnehmung
einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung
hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das
öffentliche Recht fallende natürliche oder juristische Person oder eine natürliche oder
juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung,
handeln soll.
(37) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen
werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen
Person zu schützen.
(38) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines für
die Verarbeitung Verantwortlichen begründet sein, sofern die Interessen oder die
Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese
Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen
Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Die betroffene
Person sollte das Recht haben, aus Gründen, die sich aus ihrer besonderen Situation
ergeben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen.
Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet
werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich
darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr
Widerspruchsrecht zu belehren. Da es dem Gesetzgeber obliegt, per Gesetz die
Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift
dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in
Erfüllung ihrer Aufgaben vornehmen.
(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer
Emergency Response Teams – CERT beziehungsweise Computer Security Incident
Response Teams - CSIRT), Betreiber von elektronischen Kommunikationsnetzen und
–diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in
dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung
Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und
Informationssicherheit unbedingt notwendig ist, d. h. soweit dadurch die Fähigkeit
eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen
Grad der Zuverlässigkeit Störungen oder widerrechtliche mutwillige Eingriffe
abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit
von gespeicherten oder übermittelten Daten sowie die Sicherheit damit
zusammenhängender Dienste, die über diese Netze oder Informationssysteme
angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes
Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu
elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes,
die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of
access“-Angriffe) sowie Schädigungen von Computer- und elektronischen
Kommunikationssystemen zu verhindern.
(40) Die Verarbeitung personenbezogener Daten für andere Zwecke sollte nur zulässig
sein, wenn diese mit den Zwecken, für die sie ursprünglich erhoben wurden, vereinbar
sind, beispielsweise dann, wenn die Verarbeitung für historische oder statistische
Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist. Ist der
andere Zweck nicht mit dem ursprünglichen Zweck, für den die Daten erhoben
wurden, vereinbar, muss der für die Verarbeitung Verantwortliche hierfür die
Einwilligung der betroffenen Person einholen oder die Verarbeitung auf einen anderen
Rechtmäßigkeitsgrund stützen, der sich beispielsweise aus dem Unionsrecht oder dem
Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt,
ergibt. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung
niedergelegten Grundsätze angewandt werden und die betroffene Person über diese
anderen Zwecke unterrichtet wird.
(41) Personenbezogene Daten, die ihrem Wesen nach besonders sensibel und anfällig für
eine Verletzung von Grundrechten oder der Privatsphäre sind, bedürfen eines
besonderen Schutzes. Derartige Daten dürfen nicht ohne ausdrückliche Einwilligung
der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot sollten im
Bedarfsfall jedoch ausdrücklich vorgesehen werden, insbesondere wenn die
Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder
Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten
einsetzen.
(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann
erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich
bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer
Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell
wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen
Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der
Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der
Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden
soll, oder wenn die Verarbeitung historischen oder statistischen Zwecke oder
wissenschaftliche Forschungszwecken dient.
(43) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen für
verfassungsrechtlich oder im internationalen Recht verankerte Ziele von staatlich
anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses.
(44) Wenn es in einem Mitgliedstaat zum Funktionieren des demokratischen Systems
gehört, dass die politischen Parteien im Zusammenhang mit Wahlen Daten über die
politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten
aus Gründen des öffentlichen Interesses zugelassen werden, sofern angemessene
Garantien vorgesehen werden.
(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten
Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur
bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen,
um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem
Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht
haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die
Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten
zu lokalisieren.

(46) Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die
betroffene Person bestimmte Information leicht zugänglich sowie in einfacher und
verständlicher Sprache abgefasst ist. Dies gilt ganz besonders für bestimmte
Situationen wie etwa Werbung im Internet, wo die große Zahl der Beteiligten und die
Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen zu
erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck seine Daten
erfasst werden. Wenn sich die Verarbeitung speziell an Kinder richtet, sollten
aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise
in einer kindgerechten Sprache erfolgen.
(47) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die
ihr nach diese Verordnung zustehenden Rechte wahrzunehmen, etwa dass sie ein
kostenfreies Auskunftsrecht oder ein Recht auf Berichtigung oder Löschung von
Daten besitzt oder von ihrem Widerspruchsrecht Gebrauch machen kann. Der für die
Verarbeitung Verantwortliche sollte verpflichtet werden, innerhalb einer bestimmten
Frist auf das Ansuchen der betroffenen Person zu antworten und eine etwaige
Ablehnung des Ansuchens zu begründen.
(48) Die Grundsätze von Treu und Glauben und Transparenz bei der Verarbeitung setzen
voraus, dass die betroffene Person insbesondere über die Existenz des
Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft
sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht
informiert wird. Werden die Daten bei der betroffenen Person erhoben, sollte dieser
darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und
welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde.
(49) Die Unterrichtung einer betroffenen Person, dass sie betreffende personenbezogene
Daten verarbeitet werden, sollte zum Zeitpunkt der Erhebung erfolgen oder für den
Fall, dass die Daten nicht bei ihr erhoben werden, innerhalb einer angemessenen Frist,
die sich nach dem konkreten Einzelfall richtet. Wenn die Daten rechtmäßig an einen
anderen Empfänger weitergegeben werden dürfen, sollte die betroffene Person bei der
erstmaligen Weitergabe der Daten an diesen Empfänger darüber aufgeklärt werden.
(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist
oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder
wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit
unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei
Verarbeitungen für historische oder statistische Zwecke oder zum Zwecke der
wissenschaftlichen Forschung der Fall sein; als Anhaltspunkt können dabei die Zahl
der betroffenen Personen, das Alter der Daten oder etwaige Ausgleichsmaßnahmen
dienen.
(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben
worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von
der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person
sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken
die Daten verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger
der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen
eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung
auf Profiling basiert. Dabei dürfen die Grundrechte und Grundfreiheiten anderer
Personen, etwa das Geschäftsgeheimnis oder die Rechte an geistigem Eigentum und insbesondere das Urheberrecht an Software, nicht angetastet werden. Dies darf jedoch
nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.
(52) Der für die Verarbeitung Verantwortliche sollte alle vertretbaren Mittel nutzen, um die
Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im
Rahmen von Online-Diensten und im Falle von Online-Kennungen. Ein für die
Verarbeitung Verantwortlicher sollte personenbezogene Daten nicht nur deshalb
speichern, um auf mögliche Ansuchen reagieren zu können.
(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen
Daten besitzen sowie ein ‚Recht auf Vergessenwerden’, wenn die Speicherung ihrer
Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene
Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und
nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben
wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die
Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie
betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung
ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die
Verordnung erfolgt ist. Dieses Recht ist besonders wichtig in Fällen, in denen die
betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die
mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte
und die Daten – besonders die im Internet gespeicherten – später löschen möchte. Die
weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische
oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus
Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur
Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür
eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten
anstatt ihrer Löschung gerechtfertigt ist.
(54) Um dem ‚Recht auf Vergessenwerden’ im Netz mehr Geltung zu verschaffen, sollte
das Recht auf Löschung so weit gehen, dass ein für die Verarbeitung Verantwortlicher,
der die personenbezogenen Daten öffentlich gemacht hat, die Pflicht hat, Dritten, die
diese Daten verarbeiten, mitzuteilen, dass eine betroffene Person die Löschung von
Links zu diesen Daten oder von Kopien oder Reproduktionen dieser Daten verlangt.
Der für die Verarbeitung Verantwortliche sollte im Hinblick auf Daten, für deren
Veröffentlichung er die Verantwortung trägt, alle vertretbaren Schritte, auch
technischer Art, unternehmen, damit diese Information die betroffenen Dritten auch
tatsächlich erreicht. Werden personenbezogene Daten von Dritten veröffentlicht, sollte
der für die Verarbeitung Verantwortliche für die Veröffentlichung in die Pflicht
genommen werden, wenn er die Veröffentlichung gestattet hat.
(55) Damit die betroffenen Personen eine bessere Kontrolle über ihre eigenen Daten haben
und ihr Auskunftsrecht besser ausüben können, sollten sie im Falle einer
elektronischen Verarbeitung ihrer personenbezogenen Daten in einem strukturierten
gängigen Format ebenfalls Anspruch auf Erhalt einer Kopie der sie betreffenden Daten
in einem gängigen elektronischen Format haben. Die betroffene Person sollte auch
befugt sein, die von ihr zur Verfügung gestellten Daten von einer automatisierten
Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu
übertragen. Dies sollte dann möglich sein, wenn die betroffene Person die Daten dem
automatisierten Verarbeitungssystem mit ihrer ausdrücklichen Einwilligung oder im
Zuge der Erfüllung eines Vertrags zur Verfügung gestellt hat.
(56) In Fällen, in denen die personenbezogenen Daten zum Schutz der lebenswichtigen
Interessen der betroffenen Person oder im öffentlichen Interesse, in Ausübung
hoheitlicher Gewalt oder aufgrund der berechtigten Interessen des für die Verarbeitung
Verantwortlichen rechtmäßig verarbeitet werden dürfen, sollte jede betroffene Person
trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sie betreffenden
Daten einzulegen. Die Beweislast sollte bei dem für die Verarbeitung
Verantwortlichen liegen, der darlegen muss, dass seine berechtigten Interessen
Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen
Person haben.
(57) Werden personenbezogene Daten verarbeitet, um Direktwerbung für
nichtkommerzielle Zwecke zu betreiben, sollte die betroffene Person unentgeltlich,
einfach und effektiv Widerspruch gegen eine solche Verarbeitung einlegen können.
(58) Eine natürliche Person braucht sich keiner Maßnahme unterwerfen lassen, die auf
Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche
Maßnahme sollte allerdings erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt
wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn
die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine
solche Verarbeitung mit angemessenen Garantien verbunden werden wie der
Unterrichtung der betroffenen Person oder dem Anspruch auf direkten persönlichen
Kontakt sowie dem generellen Ausschluss von Kindern von einer solchen Maßnahme.
(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen
bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Auskunft, Berichtigung,
Löschung, Datenübertragbarkeit und Widerspruch, von Maßnahmen, die auf der
Erstellung von Profilen beruhen, und von Mitteilungen über eine Verletzung des
Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten
damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen
vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und
verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter
anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen
verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche
Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei
reglementierten Berufen gehört, und um sonstige öffentliche Interessen der Union oder
eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die
betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese
Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und
mit der Europäischen Konvention zum Schutz der Menschenrechte und
Grundfreiheiten im Einklang stehen.
(60) Die Verantwortung und Haftung des für die Verarbeitung Verantwortlichen für
jedwede durch diesen oder in dessen Auftrag erfolgende Verarbeitung
personenbezogener Daten sollte umfassend geregelt werden. Insbesondere sollte der
für die Verarbeitung Verantwortliche dafür Sorge tragen, dass jeder
Verarbeitungsvorgang im Einklang mit dieser Verordnung steht, und er sollte dies
auch nachweisen müssen.
(61) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden
Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete
technische und organisatorische Maßnahmen sowohl bei der Konzipierung der Verarbeitungsvorgänge als auch zum Zeitpunkt der Verarbeitung getroffen werden,
damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser
Anforderungen sicherzustellen und nachzuweisen, sollte der für die Verarbeitung
Verantwortliche interne Strategien festlegen und geeignete Maßnahmen ergreifen, die
insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by
design) und durch datenschutzfreundliche Voreinstellungen (data protection by
default) Genüge tun.
(62) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung
der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und
des Auftragsverarbeiters bedarf es – auch mit Blick auf die Überwachungs- und
sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der
Verantwortlichkeiten durch diese Verordnung, insbesondere für Fälle, in denen ein für
die Verarbeitung Verantwortlicher die Verarbeitungszwecke, -bedingungen und
-mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein
Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen
durchgeführt wird.
(63) Jeder für die Verarbeitung Verantwortliche ohne Niederlassung in der Union, dessen
Verarbeitungstätigkeiten sich auf in der Union ansässige betroffene Personen beziehen
und dazu dienen, diesen Personen Waren oder Dienstleistungen anzubieten oder deren
Verhalten zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, dieser
für die Verarbeitung Verantwortliche ist in einem Drittland niedergelassen, das einen
angemessenen Schutz bietet, oder es handelt sich um ein kleines oder mittleres
Unternehmen, um eine Behörde oder um eine öffentliche Einrichtung oder der
betreffende für die Verarbeitung Verantwortliche bietet den betroffenen Personen
nicht nur gelegentlich Waren oder Dienstleistungen an. Der Vertreter sollte im Namen
des für die Verarbeitung Verantwortlichen tätig werden und den Aufsichtsbehörden als
Ansprechpartner dienen.
(64) Zur Klärung der Frage, ob ein für die Verarbeitung Verantwortlicher in der Union
ansässigen betroffenen Personen nur gelegentlich Waren und Dienstleistungen
anbietet, sollte jeweils geprüft werden, ob aus dem allgemeinen Tätigkeitsprofil des
für die Verarbeitung Verantwortlichen ersichtlich ist, dass das Anbieten der
betreffenden Waren und Dienstleistungen lediglich eine zusätzlich zu seinen
Haupttätigkeiten hinzukommende Tätigkeit darstellt.
(65) Zum Nachweis der Einhaltung der in dieser Verordnung festgelegten Bestimmungen
sollte der für die Verarbeitung Verantwortliche jeden Verarbeitungsvorgang
dokumentieren. Jeder für die Verarbeitung Verantwortliche und jeder
Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde
zusammenzuarbeiten und dieser auf Verlangen die entsprechende Dokumentation
vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen
kontrolliert werden können.
(66) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese
Verordnung verstoßende Verarbeitung sollte der für die Verarbeitung Verantwortliche
oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln
und Maßnahmen zu deren Eindämmung ergreifen. Diese Maßnahmen müssen unter
Berücksichtigung des Standes der Technik und der dabei anfallenden Kosten ein
Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Die
Kommission sollte bei der Festlegung technischer Standards und organisatorischer
Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung die technologische
Neutralität, die Interoperabilität sowie Innovationen fördern und gegebenenfalls mit
Drittländern zusammenarbeiten.
(67) Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche
wirtschaftliche Schäden und soziale Nachteile einschließlich des Identitätsbetrugs für
die betroffene Person nach sich ziehen, wenn nicht rechtzeitig und angemessen
reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach
Bekanntwerden einer derartigen Verletzung die Aufsichtsbehörde ohne
unangemessene Verzögerung – falls möglich binnen 24 Stunden – davon in Kenntnis
setzen. Falls die Benachrichtigung nicht binnen 24 Stunden erfolgen kann, sollten in
ihr die Gründe für die Verzögerung angegeben werden müssen. Natürliche Personen,
für die eine derartige Verletzung des Schutzes ihrer personenbezogenen Daten
nachteilige Auswirkungen haben könnte, sollten ohne unangemessene Verzögerung
benachrichtigt werden, damit sie die erforderlichen Sicherheitsvorkehrungen treffen
können. Die Auswirkungen einer solchen Verletzung sollten als nachteilig für den
Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person
angesehen werden, wenn sie zum Beispiel einen Identitätsdiebstahl oder -betrug, eine
physische Schädigung, eine erhebliche Demütigung oder Rufschädigung zur Folge
haben. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des
Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete
Empfehlungen zur Minderung etwaiger negativer Auswirkungen dieser Verletzung
beinhalten. Die Benachrichtigung der betroffenen Person sollte stets so rasch wie nach
allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und
nach Maßgabe der von dieser oder von anderen zuständigen Behörden (z.B.
Strafverfolgungsbehörden) erteilten Weisungen erfolgen. Damit eine betroffene
Person das Risiko eines unmittelbaren Schadens für sich klein halten kann, bedarf es
beispielsweise ihrer sofortigen Benachrichtigung, wohingegen eine längere
Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete
Maßnahmen gegen fortlaufende oder ähnliche Verletzungen der Datensicherheit zu
ergreifen.
(68) Um bestimmen zu können, ob eine gegebene Verletzung des Schutzes
personenbezogener Daten der Aufsichtsbehörde und der betroffenen Person ohne
unangemessene Verzögerung gemeldet wurde, sollte jeweils überprüft werden, ob der
für die Verarbeitung Verantwortliche ausreichende technische Vorkehrungen und
organisatorische Maßnahmen getroffen hat, um sofort feststellen zu können, ob eine
Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die
Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können, noch
bevor persönliche oder wirtschaftliche Interessen Schaden nehmen können, wobei die
Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren
negative Folgen für die betroffene Person zu berücksichtigen sind.
(69) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von
Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der
Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene
Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die
Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs
wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die
Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in
unnötiger Weise behindert würde.
(70) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei
den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem
bürokratischen und finanziellen Aufwand verbunden und hat doch keineswegs in allen
Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese
unterschiedslose allgemeine Meldepflicht sollte daher abgeschafft und durch wirksame
Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit jenen
Verarbeitungsvorgängen befassen, die aufgrund ihres Wesens, ihres Umfangs oder
ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen
bergen können. In derartigen Fällen sollte der für die Verarbeitung Verantwortliche
oder der Auftragsverarbeiter vor der Verarbeitung eine Datenschutz-
Folgenabschätzung durchführen, die sich insbesondere mit den Maßnahmen,
Garantien und Verfahren befasst, durch die der Schutz personenbezogener Daten
sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen
werden sollen.
(71) Dies sollte insbesondere für neu geschaffene umfangreiche Dateien gelten, die dazu
dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder
supranationaler Ebene zu verarbeiten, und die eine große Zahl von Personen betreffen
könnten.
(72) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen
Gesichtspunkten sinnvoll sein, eine Datenschutz-Folgenabschätzung nicht auf ein
bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen –
beispielsweise wenn Behörden oder öffentliche Einrichtungen eine gemeinsame
Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere für die
Verarbeitung Verantwortliche eine gemeinsame Anwendung oder
Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes
Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.
(73) Datenschutz-Folgeabschätzungen sollten von einer Behörde oder öffentlichen
Einrichtung durchgeführt werden, sofern eine solche Folgenabschätzung nicht schon
anlässlich des Erlasses des Gesetzes erfolgt ist, auf dessen Grundlage die Behörde
oder Einrichtung ihre Aufgaben wahrnimmt und das den fraglichen
Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt.
(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte
Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von
betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue
Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können,
sollte die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante
risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu
Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine solche
Konsultation sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des
nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art
der Verarbeitung und geeignete Garantien festlegt.
(75) In Fällen, in denen die Verarbeitung im öffentlichen Sektor oder durch ein privates
Großunternehmen erfolgt oder in denen die Kerntätigkeit eines Unternehmens
ungeachtet seiner Größe Verarbeitungsvorgänge einschließt, die einer regelmäßigen
und systematischen Überwachung bedürfen, sollte der für die Verarbeitung
Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der
unternehmensinternen Einhaltung der Bestimmungen dieser Verordnung von einer
weiteren Person unterstützt werden. Derartige Datenschutzbeauftragte sollten
unabhängig davon, ob es sich um Angestellte des für die Verarbeitung
Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger
Unabhängigkeit ausüben können.
(76) Verbände oder andere Vertreter bestimmter Kategorien von für die Verarbeitung
Verantwortlichen sollten ermutigt werden, im Einklang mit dieser Verordnung
stehende Verhaltenskodizes zu erstellen, um eine wirksame Anwendung dieser
Verordnung zu erleichtern, bei der den Eigenheiten der in bestimmten Sektoren
erfolgenden Verarbeitungen Rechnung getragen wird.
(77) Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern,
sollte angeregt werden, dass Zertifizierungsmechanismen sowie Datenschutzsiegel und
–prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen
Überblick über das Datenschutzniveau einschlägiger Erzeugnisse und
Dienstleistungen ermöglichen.
(78) Der grenzüberschreitende Verkehr von personenbezogenen Daten ist für die
Entwicklung des internationalen Handels und der grenzübergreifenden
Zusammenarbeit notwendig. Durch die Zunahme dieser Datenströme sind neue
Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener
Daten entstanden. Der durch diese Verordnung unionsweit garantierte Schutz
natürlicher Personen sollte jedoch bei der Übermittlung von personenbezogenen Daten
aus der Union in Drittländer oder an internationale Organisationen nicht unterminiert
werden. In jedem Fall sollten derartige Datenübermittlungen an Drittländer nur unter
strikter Einhaltung dieser Verordnung zulässig sein.
(79) Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung
von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen
Personen werden von dieser Verordnung nicht berührt.
(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass
bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines
Drittlands oder eine internationale Organisation einen angemessenen Datenschutz
bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen
Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der
gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen.
In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an
diese Länder übermittelt werden.
(81) In Übereinstimmung mit den Grundwerten der Union, zu denen insbesondere der
Schutz der Menschenrechte zählt, sollte die Kommission bei der Inaugenscheinnahme
eines Drittlandes berücksichtigen, inwieweit dort die Rechtsstaatlichkeit gewahrt ist,
ein Rechtschutz existiert und die internationalen Menschenrechtsbestimmungen
eingehalten werden.
(82) Die Kommission kann ebenso per Beschluss feststellen, dass bestimmte Drittländer
oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine
internationale Organisation keinen angemessenen Datenschutz bieten. Die
Übermittlung personenbezogener Daten an derartige Drittländer sollte daher verboten
werden. In diesem Falle sollten Konsultationen zwischen der Kommission und den
betreffenden Drittländern oder internationalen Organisationen vorgesehen werden.
(83) Bei Fehlen eines Angemessenheitsbeschlusses sollte der für die Verarbeitung
Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland
bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der
betroffenen Person vorsehen. Diese Garantien können darin bestehen, dass auf
verbindliche unternehmensinterne Datenschutzvorschriften, von der Kommission oder
von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln, von einer
Aufsichtsbehörde genehmigte Vertragsklauseln oder auf sonstige geeignete,
angemessene, aufgrund der Umstände einer Datenübermittlung oder einer Kategorie
von Datenübermittlungen gerechtfertigte und von einer Aufsichtsbehörde gebilligte
Maßnahmen zurückgegriffen wird.
(84) Die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter offen
stehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde
erlassenen Standard-Datenschutzklauseln zurückzugreifen, sollte den für die
Verarbeitung Verantwortlichen oder den Auftragsverarbeiter keinesfalls daran
hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen zu
verwenden oder ihnen weitere Klauseln hinzuzufügen, solange letztere weder
mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer
Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die
Grundrechte und Freiheiten der betroffenen Personen beschneiden.
(85) Jede Unternehmensgruppe sollte für ihre grenzüberschreitenden Datenübermittlungen
aus der Union an Organisationen der gleichen Unternehmensgruppe genehmigte
verbindliche unternehmensinterne Datenschutzvorschriften anwenden dürfen, sofern in
diesen unternehmensinternen Vorschriften Grundprinzipien und durchsetzbare Rechte
enthalten sind, die geeignete Garantien für die Übermittlungen beziehungsweise
Kategorien von Übermittlungen personenbezogener Daten bieten.
(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich
wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im
Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im
Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen
Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich
vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit
berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche
Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register
enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme
durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf
Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten
der Übermittlung sind.
(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur
Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für
den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll- oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit
zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung
und Verfolgung von Straftaten zuständigen Behörden.
(88) Übermittlungen, die weder als häufig noch als massiv gelten können, sollten auch im
Falle berechtigter Interessen des für die Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters möglich sein, wenn letztere sämtliche Umstände der
Datenübermittlung geprüft haben. Bei der Verarbeitung zu historischen oder
statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die
legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs
berücksichtigt werden.
(89) In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in
einem Drittland bestehenden Schutzes vorliegt, sollte der für die Verarbeitung
Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, durch die
sichergestellt wird, dass die betroffenen Personen die für die Verarbeitung ihrer
personenbezogenen Daten in der Union geltenden Rechte und Garantien genießen,
sobald die Daten übermittelt sind.
(90) Manche Drittländer erlassen Gesetze, Verordnungen und sonstige Rechtsakte, durch
die die Datenverarbeitungstätigkeiten von natürlichen und juristischen Personen, die
der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar reguliert werden. Die
Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des
Hoheitsgebiets derartiger Drittländer kann gegen internationales Recht verstoßen und
dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher
Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn
die in dieser Verordnung festgelegten Bedingungen für Datenübermittlungen in
Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die
Weitergabe aus einem wichtigen öffentlichen Interesse erforderlich ist, das im
Unionsrecht oder im Recht des Mitgliedstaats, dem der für die Verarbeitung
Verantwortliche unterliegt, anerkannt ist. Die Bedingungen für das Bestehen eines
wichtigen öffentlichen Interesses sollten von der Kommission in einem delegierten
Rechtsakt näher festgelegt werden.
(91) Bei der Übermittlung personenbezogener Daten über Grenzen hinweg ist der Einzelne
womöglich weniger in der Lage, seine Datenschutzrechte wahrzunehmen und sich
insbesondere gegen die unrechtmäßige Nutzung oder Weitergabe dieser Informationen
zu schützen. Zugleich können die Aufsichtsbehörden unter Umständen nicht in der
Lage sein, Beschwerden nachzugehen oder Untersuchungen in Bezug auf Tätigkeiten
außerhalb der Grenzen ihres Mitgliedstaats durchzuführen. Ihre Bemühungen um
grenzübergreifende Zusammenarbeit können auch durch unzureichende Präventiv- und
Abhilfebefugnisse, nicht übereinstimmende rechtliche Regelungen und praktische
Hindernisse wie Ressourcenknappheit behindert werden. Daher bedarf es der
Förderung einer engeren Zusammenarbeit zwischen den Datenschutz-
Aufsichtsbehörden, damit sie Informationen austauschen und mit den
Aufsichtsbehörden in anderen Ländern Untersuchungen durchführen können.
(92) Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgabe völlig
unabhängig erfüllen, ist ein wesentliches Element des Schutzes des Einzelnen im
Hinblick auf die Verarbeitung personenbezogener Daten. Die Mitgliedstaaten können mehr als eine Aufsichtsbehörde errichten, wenn dies ihrer verfassungsmäßigen,
organisatorischen und administrativen Struktur entspricht.
(93) Errichtet ein Mitgliedstaat mehrere Aufsichtsbehörden, so sollte er durch ein
Rechtsinstrument sicherstellen, dass diese Aufsichtsbehörden am Kohärenz-Verfahren
beteiligt werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbehörde
bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser
Behörden an dem Verfahren fungiert und eine rasche und reibungslose
Zusammenarbeit mit anderen Aufsichtsbehörden, dem Europäischen
Datenschutzausschuss und der Kommission gewährleistet.
(94) Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer
Infrastruktur ausgestattet werden, die für die Wahrnehmung ihrer Aufgaben, auch der
Aufgaben im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen
Aufsichtsbehörden in der gesamten Union, notwendig und angemessen sind.
(95) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten
gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass
diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats
ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der
Mitglieder und ihre Stellung enthalten.
(96) Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung
überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen,
um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und
den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu
diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander
und mit der Kommission.
(97) Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der
Tätigkeit einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines
Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat statt, sollte eine
einzige Aufsichtsbehörde für die Überwachung der Tätigkeit des für die Verarbeitung
Verantwortlichen oder Auftragsverarbeiters in der gesamten Union zuständig sein und
die entsprechenden Beschlüsse fassen, damit die einheitliche Anwendung der
Vorschriften verbessert, Rechtssicherheit gewährleistet und der Verwaltungsaufwand
der für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verringert wird.
(98) Die zuständige Aufsichtsbehörde, die die Aufgaben einer solchen zentralen
Kontaktstelle übernimmt, sollte die Aufsichtsbehörde des Mitgliedstaats sein, in dem
der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seine
Hauptniederlassung hat.
(99) Obgleich diese Verordnung auch für die Tätigkeit der nationalen Gerichte gilt, sollten
- damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben
unangetastet bleibt - die Aufsichtsbehörden nicht für personenbezogene Daten
zuständig sein, die von Gerichten in ihrer gerichtlichen Eigenschaft verarbeitet
werden. Diese Ausnahme sollte allerdings streng begrenzt werden auf rein justizielle
Tätigkeiten in Gerichtsverfahren und sich nicht auf andere Tätigkeiten beziehen, mit
denen je nach dem nationalen Recht Richter betraut sein können.
(100) Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der
gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat
dieselben Aufgaben und Befugnisse haben, darunter, insbesondere im Fall von
Beschwerden Einzelner, Untersuchungsbefugnisse sowie rechtsverbindliche
Interventions-, Beschluss- und Sanktionsbefugnisse sowie die Befugnis,
Gerichtsverfahren anzustrengen. Die Aufsichtsbehörden sollten ihre
Untersuchungsbefugnisse, was den Zugang zu Räumlichkeiten anbelangt, im Einklang
mit dem Unionsrecht und dem einzelstaatlichen Recht ausüben. Dies betrifft vor allem
das Erfordernis einer vorherigen richterlichen Genehmigung.
(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen entgegennehmen
und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung
sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall
angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines
angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde
unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen
Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert
werden.
(102) Die Aufklärungsmaßnahmen der Aufsichtsbehörden für die breite Öffentlichkeit
sollten an die für die Verarbeitung Verantwortlichen, die Auftragsverarbeiter
einschließlich Kleinst-, Klein- und Mittelunternehmen und die betroffenen Personen
gerichtete spezifische Maßnahmen einschließen.
(103) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben
unterstützen, damit eine einheitliche Anwendung und Durchsetzung dieser
Verordnung im Binnenmarkt gewährleistet ist.
(104) Jede Aufsichtsbehörde sollte berechtigt sein, an gemeinsamen Maßnahmen von
Aufsichtsbehörden teilzunehmen. Die ersuchte Aufsichtsbehörde sollte auf das
Ersuchen binnen einer festgelegten Frist antworten müssen.
(105) Um die einheitliche Anwendung dieser Verordnung in der gesamten Union
sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen
Rechtsanwendung (Kohärenz-Verfahren) eingeführt werden, das die
Aufsichtsbehörden verpflichtet, untereinander und mit der Kommission
zusammenzuarbeiten. Dieses Verfahren sollte insbesondere dann angewendet werden,
wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme in Bezug auf
Verarbeitungsvorgänge zu treffen, die mit dem Angebot von Waren oder
Dienstleistungen für Personen in mehreren Mitgliedstaaten oder der Beobachtung des
Verhaltens dieser Personen im Zusammenhang stehen oder die den freien Verkehr
personenbezogener Daten erheblich beeinträchtigen könnten. Ferner sollte es zur
Anwendung kommen, wenn eine Aufsichtsbehörde oder die Kommission beantragen,
dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Dieses
Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in
Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen.
(106) Bei Anwendung des Kohärenzverfahrens sollte der Europäische
Datenschutzausschuss, falls von der einfachen Mehrheit seiner Mitglieder so
entschieden wird oder falls eine andere Aufsichtsbehörde oder die Kommission darum
ersuchen, binnen einer festgelegten Frist eine Stellungnahme abgeben.

(107) Um die Übereinstimmung mit dieser Verordnung zu gewährleisten, kann die
Kommission eine Stellungnahme in der Angelegenheit abgeben oder einen Beschluss
fassen, der die Aufsichtsbehörde verpflichtet, die geplante Maßnahme auszusetzen.
(108) Es kann dringender Handlungsbedarf zum Schutz der Interessen von betroffenen
Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung
des Rechts einer betroffenen Person droht. Daher sollten die Aufsichtsbehörden bei
der Anwendung des Kohärenzverfahrens einstweilige Maßnahmen mit einer
festgelegten Geltungsdauer treffen können.
(109) Die Anwendung dieses Verfahrens sollte eine Bedingung für die rechtliche Gültigkeit
und die Durchsetzung des entsprechenden Beschlusses durch eine Aufsichtsbehörde
sein. In anderen Fällen von grenzübergreifender Relevanz können die betroffenen
Aufsichtsbehörden auf bilateraler oder multilateraler Ebene Amtshilfe leisten und
gemeinsame Untersuchungen durchführen, ohne auf das Kohärenz-Verfahren
zurückzugreifen.
(110) Auf Unionsebene sollte ein Europäischer Datenschutzausschuss eingerichtet werden.
Dieser ersetzt die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den
Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten. Er
sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem
Europäischen Datenschutzbeauftragten gebildet werden. Die Kommission sollte sich
an seinen Tätigkeiten beteiligen. Der Europäische Datenschutzausschuss sollte zur
einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die
Kommission beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union
fördern. Der Europäische Datenschutzausschuss sollte bei der Erfüllung seiner
Aufgaben unabhängig handeln.
(111) Jede betroffene Person, die sich in ihren Rechten verletzt sieht, die ihr aufgrund dieser
Verordnung zustehen, sollte das Recht auf Beschwerde bei einer Aufsichtsbehörde in
einem Mitgliedstaat sowie das Recht auf einen gerichtlichen Rechtsbehelf haben,
wenn die Aufsichtsbehörde auf die Beschwerde nicht reagiert oder nicht tätig wird,
obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.
(112) Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und
Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt
haben und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht
haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder
einen gerichtlichen Rechtsbehelf einzulegen oder unabhängig von der Beschwerde
einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach
der Schutz personenbezogener Daten verletzt wurde.
(113) Jede natürliche oder juristische Person sollte das Recht auf einen gerichtlichen
Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde haben. Für
Verfahren gegen eine Aufsichtsbehörde sollten die Gerichte des Mitgliedstaats
zuständig sein, in dem die Aufsichtsbehörde ihren Sitz hat.
(114) Um den gerichtlichen Schutz der betroffenen Person in Situationen zu stärken, in
denen die zuständige Aufsichtsbehörde ihren Sitz in einem anderen Mitgliedstaat als
dem Mitgliedstaat hat, in dem die betroffene Person ansässig ist, sollte die betroffene
Person eine Einrichtung, Organisation oder einen Verband, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum
Ziel gesetzt haben, darum ersuchen können, in ihrem Namen vor dem zuständigen
Gericht in dem anderen Mitgliedstaat Klage gegen die Aufsichtsbehörde zu erheben.
(115) In Fällen, in denen die zuständige Aufsichtsbehörde mit Sitz in einem anderen
Mitgliedstaat nicht tätig wird oder unzureichende Maßnahmen in Bezug auf eine
Beschwerde getroffen hat, sollte die betroffene Person die Aufsichtsbehörde in dem
Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen können, vor dem zuständigen
Gericht im anderen Mitgliedstaat Klage gegen die dortige Aufsichtsbehörde zu
erheben. Die ersuchte Aufsichtsbehörde sollte entscheiden können, ob es angemessen
ist, dem Ersuchen stattzugeben; diese Entscheidung sollte von einem Gericht
nachgeprüft werden können.
(116) Bei Verfahren gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter
sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft,
in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter eine
Niederlassung hat oder in dem die betroffene Person ihren gewöhnlichen Aufenthalt
hat; dies gilt nicht, wenn es sich bei dem für die Verarbeitung Verantwortlichen um
eine Behörde handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden
ist.
(117) Gibt es Hinweise auf in verschiedenen Mitgliedstaaten anhängige Parallelverfahren,
sollten die Gerichte verpflichtet sein, sich miteinander in Verbindung zu setzen. Die
Gerichte sollten die Möglichkeit haben, ein Verfahren auszusetzen, wenn in einem
anderen Mitgliedstaat ein Parallelverfahren anhängig ist. Die Mitgliedstaaten sollten
sicherstellen, dass effiziente Klagemöglichkeiten vorhanden sind, mit denen rasch
Maßnahmen zur Abstellung oder Verhinderung eines Verstoßes gegen diese
Verordnung erwirkt werden können.
(118) Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen,
sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter
ersetzt werden, die von ihrer Haftung befreit werden können, wenn sie nachweisen,
dass ihnen der Schaden nicht angelastet werden kann, insbesondere weil ein
Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.
(119) Gegen jede – privatem oder öffentlichem Recht unterliegende – Person, die gegen
diese Verordnung verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten
sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend
sind, und alle Maßnahmen zu ihrer Anwendung treffen.
(120) Um die verwaltungsrechtlichen Sanktionen, die bei Verstößen gegen diese
Verordnung verhängt werden können, zu vereinheitlichen und ihnen mehr Wirkung zu
verleihen, sollte jede Aufsichtsbehörde befugt sein, verwaltungsrechtliche Vergehen
zu ahnden. Diese Vergehen sollten in dieser Verordnung zusammen mit der
Obergrenze der entsprechenden Geldbußen aufgeführt werden, die in jedem Einzelfall
im Verhältnis zu den besonderen Umständen des Falls und unter Berücksichtigung
insbesondere der Art, Schwere und Dauer des Verstoßes festzusetzen sind.
Abweichungen bei der Anwendung verwaltungsrechtlicher Sanktionen können im
Kohärenzverfahren behandelt werden.

(121) Für die Verarbeitung personenbezogener Daten zu ausschließlich journalistischen
Zwecken oder zu künstlerischen oder literarischen Zwecken sind Ausnahmen von
bestimmten Vorschriften dieser Verordnung vorzusehen, um das Recht auf Schutz der
personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung und
insbesondere dem Recht, Informationen zu empfangen und weiterzugeben, wie es
unter anderem in Artikel 11 der Charta der Grundrechte der Europäischen Union
garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung
personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und
Pressearchiven gelten. Die Mitgliedstaaten sollten deshalb Rechtsvorschriften zur
Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der
Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten
solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die
Rechte der betroffenen Person, den für die Verarbeitung Verantwortlichen und den
Auftragsverarbeiter, die Übermittlung von Daten in Drittländer oder an internationale
Organisationen, die unabhängigen Aufsichtsbehörden sowie in Bezug auf die
Zusammenarbeit und die einheitliche Rechtsanwendung regeln. Die Mitgliedstaaten
sollten dies jedoch nicht zum Anlass nehmen, Ausnahmeregelungen für die anderen
Bestimmungen dieser Verordnung vorzusehen. Um der Bedeutung des Rechts auf
freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen,
müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt
werden. Die Mitgliedstaaten sollten deshalb für die nach dieser Verordnung zu
regelnden Abweichungen und Ausnahmen Tätigkeiten als „journalistisch“ einstufen,
wenn das Ziel dieser Tätigkeit in der Weitergabe von Informationen, Meinungen und
Vorstellungen an die Öffentlichkeit besteht, unabhängig davon, auf welchem Wege
dies geschieht. Diese Tätigkeiten sind mit oder ohne Erwerbszweck möglich und
sollten nicht auf Medienunternehmen beschränkt werden.
(122) Für die Verarbeitung von personenbezogenen Gesundheitsdaten als besonderer
Datenkategorie, die eines höheren Schutzes bedarf, lassen sich häufig berechtigte
Gründe zugunsten des Einzelnen wie der Gesellschaft insgesamt anführen,
insbesondere wenn es darum geht, die Kontinuität der Gesundheitsversorgung über die
Landesgrenzen hinaus zu gewährleisten. Diese Verordnung sollte daher vorbehaltlich
besonderer und geeigneter Garantien zum Schutz der Grundrechte und der
personenbezogenen Daten natürlicher Personen die Bedingungen für die Verarbeitung
personenbezogener Gesundheitsdaten harmonisieren. Dies schließt das Recht
natürlicher Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein,
etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen,
Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu
Behandlungen oder Eingriffen enthalten.
(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit
kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung
der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff
„öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des
Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu
Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und
Sicherheit am Arbeitsplatz ausgelegt werden und alle Elemente im Zusammenhang
mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und
Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten,
den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu
Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die
Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche
Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen
Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitnehmer,
Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen
Zwecken verarbeiten.
(124) Die allgemeinen Grundsätze des Schutzes natürlicher Personen bei der Verarbeitung
personenbezogener Daten sollten auch im Beschäftigungskontext gelten. Die
Mitgliedstaaten sollten daher in den Grenzen dieser Verordnung die Verarbeitung
personenbezogener Daten im Beschäftigungskontext gesetzlich regeln können.
(125) Die Verarbeitung personenbezogener Daten zu historischen oder statistischen
Zwecken oder zum Zwecke der wissenschaftlichen Forschung sollte, um rechtmäßig
zu sein, auch anderen einschlägigen Rechtsvorschriften unter anderem zu klinischen
Versuchen genügen.
(126) Wissenschaftliche Forschung im Sinne dieser Verordnung sollte
Grundlagenforschung, angewandte Forschung und privat finanzierte Forschung
einschließen und darüber hinaus dem in Artikel 179 Absatz 1 des Vertrags über die
Arbeitsweise der Europäischen Union festgeschriebenen Ziel, einen europäischen
Raum der Forschung zu schaffen, Rechnung tragen.
(127) Hinsichtlich der Befugnisse der Aufsichtsbehörden, von dem für die Verarbeitung
Verantwortlichen oder vom Auftragsverarbeiter Zugang zu personenbezogenen Daten
oder zu seinen Räumlichkeiten zu erlangen, können die Mitgliedstaaten in den
Grenzen dieser Verordnung den Schutz des Berufsgeheimnisses oder anderer
gleichwertiger Geheimhaltungspflichten gesetzlich regeln, soweit dies notwendig ist,
um das Recht auf Schutz der personenbezogenen Daten mit einer Pflicht zur Wahrung
des Berufsgeheimnisses in Einklang zu bringen.
(128) Im Einklang mit Artikel 17 des Vertrags über die Arbeitsweise der Europäischen
Union achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen
oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen,
und beeinträchtigt ihn nicht. Wendet eine Kirche in einem Mitgliedstaat zum
Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz
natürlicher Personen bei der Verarbeitung personenbezogener Daten an, sollten diese
Regeln weiter gelten, wenn sie mit dieser Verordnung in Einklang gebracht werden.
Kirchen und religiöse Vereinigungen oder Gemeinschaften sollten verpflichtet werden,
eine völlig unabhängige Datenschutzaufsicht einzurichten.
(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und
Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer
personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener
Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis
übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise
der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere
erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der
Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung
besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der
betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf
die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in
Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling
basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend
die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz
durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf
Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die
Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und
Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener
Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter
denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene
Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für
Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist,
zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter
Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die
Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf
Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für
Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage
verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für
Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in
Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext
und zu historischen und statistischen Zwecken sowie zum Zwecke der
wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im
Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen
durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter
Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die
entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.
(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen,
sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung
von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern,
Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person,
Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und
-vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit,
Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen
in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der
Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des
Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die
Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz-
Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und
vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren
für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus
in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands
oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im
Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen
Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse
sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen
Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der
Durchführungsbefugnisse durch die Kommission kontrollieren,45 ausgeübt werden.
Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und
Mittelunternehmen erwägen.
(131) Die Standardvorlagen für die Einwilligung im Falle von Kindern, die
Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person,
die Standardvorlagen für die Unterrichtung der betroffenen Person, die
Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf
Datenübertragbarkeit, die Standardvorlagen betreffend die Pflichten des für die
Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und
datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, die
besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und
Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen
Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person,
die Standards und Verfahren für Datenschutz-Folgenabschätzungen, die Verfahren und
Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der
Aufsichtsbehörde, die technischen Standards und Verfahren für die Zertifizierung, die
Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland
oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer
internationalen Organisation, die Fälle der Datenweitergabe, die nicht im Einklang mit
dem Unionsrecht stehen, die Vorschriften für die Amtshilfe, für gemeinsame
Maßnahmen und Beschlüsse im Rahmen des Kohärenzverfahrens sollten im Wege des
Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite
handelt.
(132) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die
ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder
eine internationale Organisation betreffen, die kein angemessenes Schutzniveau
gewährleisten, und sich auf Angelegenheiten beziehen, die von Aufsichtsbehörden im
Rahmen des Kohärenzverfahrens mitgeteilt wurden, sofort geltende
Durchführungsrechtsakte erlassen.
(133) Da die Ziele dieser Verordnung, nämlich ein gleiches Maß an Datenschutz für den
Einzelnen und freier Datenverkehr in der Union, auf Ebene der Mitgliedstaaten nicht
ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs oder
der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann
die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags
über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel
genannten Verhältnismäßigkeitsprinzip geht diese Verordnung nicht über das für die
Erreichung dieser Ziele erforderliche Maß hinaus.
(134) Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Die
Genehmigungen der Aufsichtsbehörden und die Beschlüsse der Kommission auf der
Grundlage der Richtlinie 95/46/EG sollten jedoch in Kraft bleiben.

(135) Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und
Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden,
die nicht den in der Richtlinie 2002/58/EG festgelegten spezifischen Pflichten, die
dasselbe Ziel verfolgen, unterliegen einschließlich der Pflichten des für die
Verarbeitung Verantwortlichen und der Rechte des Einzelnen. Um das Verhältnis
zwischen dieser Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die
Richtlinie entsprechend geändert werden.
(136) Für Island und Norwegen stellt diese Verordnung, soweit sie auf die Verarbeitung
personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung
des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands
im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der
Republik Island und dem Königreich Norwegen über die Assoziierung der beiden
letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des
Schengen-Besitzstands46 dar.
(137) Für die Schweiz stellt diese Verordnung, soweit sie auf die Verarbeitung
personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung
des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands
im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen
Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung
dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-
Besitzstands47 dar.
(138) Für Lichtenstein stellt diese Verordnung, soweit sie auf die Verarbeitung
personenbezogener Daten durch Behörden Anwendung findet, die an der Umsetzung
des Schengen-Besitzstands beteiligt sind, eine Weiterentwicklung dieses Besitzstands
im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen
Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum
Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen
zwischen der Europäischen Union, der Europäischen Gemeinschaft und der
Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen
Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-
Besitzstands48 dar.
(139) Diese Verordnung steht, in Anbetracht des Umstands, dass, wie der Gerichtshof der
Europäischen Union betont hat, das Recht auf Schutz der personenbezogenen Daten
keine uneingeschränkte Geltung beanspruchen kann, sondern im Hinblick auf seine
gesellschaftliche Funktion gesehen werden und unter Wahrung des
Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss, im
Einklang mit allen Grundrechten und Grundsätzen, die mit der Charta der Grundrechte
der Europäischen Union anerkannt wurden und in den Europäischen Verträgen
verankert sind, insbesondere mit dem Recht auf Achtung des Privat- und
verankert sind, insbesondere mit dem Recht auf Achtung des Privat- und
Familienlebens, der Wohnung und der Kommunikation, dem Recht auf Schutz
personenbezogener Daten, der Gedanken-, Gewissens- und Religionsfreiheit, der
Freiheit der Meinungsäußerung und der Informationsfreiheit, der unternehmerischen Freiheit, dem Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren sowie
mit der Achtung der Vielfalt der Kulturen, Religionen und Sprachen –

Fragen? Kontaktieren Sie uns einfach!