pludi
/
gesetze
mirror of https://git.ludikovsky.name/git/gesetze.git
1
0
Fork 0
Code Issues Releases Activity

Cleanup Markdown DSGVO

This commit is contained in:
Peter 2017-03-27 11:03:41 +02:00
parent f4eed9d7c8
commit 72cec9a717
Signed by: pludi
GPG Key ID: CFBA360E696EDC99
99 changed files with 3689 additions and 786 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

13
dsgvo/ch01/ch01-art01.md
View File

@ -1,9 +1,16 @@
Artikel 1 - Gegenstand und Ziele
--------------------------------
1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien
Verkehr solcher Daten.
2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten
natürlicher Personen und insbesondere deren Recht auf Schutz
personenbezogener Daten.
3. Der freie Verkehr personenbezogener Daten in der Union darf aus
Gründen des Schutzes natürlicher Personen bei der Verarbeitung
personenbezogener Daten weder eingeschränkt noch verboten werden.
3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

35
dsgvo/ch01/ch01-art02.md
View File

@ -1,19 +1,38 @@
Artikel 2 - Sachlicher Anwendungsbereich
----------------------------------------
1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
1. Diese Verordnung gilt für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie für die
nichtautomatisierte Verarbeitung personenbezogener Daten, die in
einem Dateisystem gespeichert sind oder gespeichert werden sollen.
2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
2. Diese Verordnung findet keine Anwendung auf die Verarbeitung
personenbezogener Daten
a. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
a. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich
des Unionsrechts fällt,
b. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
b. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den
Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
c. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
c. durch natürliche Personen zur Ausübung ausschließlich
persönlicher oder familiärer Tätigkeiten,
d. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
d. durch die zuständigen Behörden zum Zwecke der Verhütung,
Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
Strafvollstreckung, einschließlich des Schutzes vor und der
Abwehr von Gefahren für die öffentliche Sicherheit.
3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
3. Für die Verarbeitung personenbezogener Daten durch die Organe,
Einrichtungen, Ämter und Agenturen der Union gilt die
Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und
sonstige Rechtsakte der Union, die diese Verarbeitung
personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an
die Grundsätze und Vorschriften der vorliegenden
Verordnung angepasst.
4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie
2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15
dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.

25
dsgvo/ch01/ch01-art03.md
View File

@ -1,13 +1,28 @@
Artikel 3 - Räumlicher Anwendungsbereich
----------------------------------------
1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
1. Diese Verordnung findet Anwendung auf die Verarbeitung
personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten
einer Niederlassung eines Verantwortlichen oder eines
Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die
Verarbeitung in der Union stattfindet.
2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
2. Diese Verordnung findet Anwendung auf die Verarbeitung
personenbezogener Daten von betroffenen Personen, die sich in der
Union befinden, durch einen nicht in der Union niedergelassenen
Verantwortlichen oder Auftragsverarbeiter, wenn die
Datenverarbeitung im Zusammenhang damit steht
a. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
a. betroffenen Personen in der Union Waren oder Dienstleistungen
anzubieten, unabhängig davon, ob von diesen betroffenen Personen
eine Zahlung zu leisten ist;
b. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
b. das Verhalten betroffener Personen zu beobachten, soweit ihr
Verhalten in der Union erfolgt.
3. Diese Verordnung findet Anwendung auf die Verarbeitung
personenbezogener Daten durch einen nicht in der Union
niedergelassenen Verantwortlichen an einem Ort, der aufgrund
Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

207
dsgvo/ch01/ch01-art04.md
View File

@ -3,69 +3,210 @@ Artikel 4 - Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
1. „personenbezogene Daten“ alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person (im Folgenden
„betroffene Person“) beziehen; als identifizierbar wird eine
natürliche Person angesehen, die direkt oder indirekt, insbesondere
mittels Zuordnung zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem
oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
physiologischen, genetischen, psychischen, wirtschaftlichen,
kulturellen oder sozialen Identität dieser natürlichen Person sind,
identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren
ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang
mit personenbezogenen Daten wie das Erheben, das Erfassen, die
Organisation, das Ordnen, die Speicherung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die
Offenlegung durch Übermittlung, Verbreitung oder eine andere Form
der Bereitstellung, den Abgleich oder die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter
personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung
einzuschränken;
4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
4. „Profiling“ jede Art der automatisierten Verarbeitung
personenbezogener Daten, die darin besteht, dass diese
personenbezogenen Daten verwendet werden, um bestimmte persönliche
Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten,
insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche
Lage, Gesundheit, persönliche Vorlieben, Interessen,
Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser
natürlichen Person zu analysieren oder vorherzusagen;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in
einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung
zusätzlicher Informationen nicht mehr einer spezifischen betroffenen
Person zugeordnet werden können, sofern diese zusätzlichen
Informationen gesondert aufbewahrt werden und technischen und
organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die
personenbezogenen Daten nicht einer identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten,
die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob
diese Sammlung zentral, dezentral oder nach funktionalen oder
geografischen Gesichtspunkten geordnet geführt wird;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, die allein oder gemeinsam mit
anderen über die Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten entscheidet; sind die Zwecke und Mittel
dieser Verarbeitung durch das Unionsrecht oder das Recht der
Mitgliedstaaten vorgegeben, so kann der Verantwortliche
beziehungsweise können die bestimmten Kriterien seiner Benennung
nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen
werden;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
8. „Auftragsverarbeiter“ eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten
im Auftrag des Verantwortlichen verarbeitet;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
9. „Empfänger“ eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, der personenbezogene Daten
offengelegt werden, unabhängig davon, ob es sich bei ihr um einen
Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der
Mitgliedstaaten möglicherweise personenbezogene Daten erhalten,
gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten
durch die genannten Behörden erfolgt im Einklang mit den geltenden
Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
10. „Dritter“ eine natürliche oder juristische Person, Behörde,
Einrichtung oder andere Stelle, außer der betroffenen Person, dem
Verantwortlichen, dem Auftragsverarbeiter und den Personen, die
unter der unmittelbaren Verantwortung des Verantwortlichen oder des
Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu
verarbeiten;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
11. „Einwilligung“ der betroffenen Person jede freiwillig für den
bestimmten Fall, in informierter Weise und unmissverständlich
abgegebene Willensbekundung in Form einer Erklärung oder einer
sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene
Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
betreffenden personenbezogenen Daten einverstanden ist;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung
der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur
Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten
Offenlegung von beziehungsweise zum unbefugten Zugang zu
personenbezogenen Daten führt, die übermittelt, gespeichert oder auf
sonstige Weise verarbeitet wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
13. „genetische Daten“ personenbezogene Daten zu den ererbten oder
erworbenen genetischen Eigenschaften einer natürlichen Person, die
eindeutige Informationen über die Physiologie oder die Gesundheit
dieser natürlichen Person liefern und insbesondere aus der Analyse
einer biologischen Probe der betreffenden natürlichen Person
gewonnen wurden;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene
personenbezogene Daten zu den physischen, physiologischen oder
verhaltenstypischen Merkmalen einer natürlichen Person, die die
eindeutige Identifizierung dieser natürlichen Person ermöglichen
oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die
körperliche oder geistige Gesundheit einer natürlichen Person,
einschließlich der Erbringung von Gesundheitsdienstleistungen,
beziehen und aus denen Informationen über deren Gesundheitszustand
hervorgehen;
16. „Hauptniederlassung“
16. „Hauptniederlassung“
a. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
a. im Falle eines Verantwortlichen mit Niederlassungen in mehr als
einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union,
es sei denn, die Entscheidungen hinsichtlich der Zwecke und
Mittel der Verarbeitung personenbezogener Daten werden in einer
anderen Niederlassung des Verantwortlichen in der Union
getroffen und diese Niederlassung ist befugt, diese
Entscheidungen umsetzen zu lassen; in diesem Fall gilt die
Niederlassung, die derartige Entscheidungen trifft, als
Hauptniederlassung;
b. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
b. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr
als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der
Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung
in der Union hat, die Niederlassung des Auftragsverarbeiters in
der Union, in der die Verarbeitungstätigkeiten im Rahmen der
Tätigkeiten einer Niederlassung eines Auftragsverarbeiters
hauptsächlich stattfinden, soweit der Auftragsverarbeiter
spezifischen Pflichten aus dieser Verordnung unterliegt;
17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
17. „Vertreter“ eine in der Union niedergelassene natürliche oder
juristische Person, die von dem Verantwortlichen oder
Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und
den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen
jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
18. „Unternehmen“ eine natürliche und juristische Person, die eine
wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform,
einschließlich Personengesellschaften oder Vereinigungen, die
regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden
Unternehmen und den von diesem abhängigen Unternehmen besteht;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz
personenbezogener Daten, zu deren Einhaltung sich ein im
Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher
oder Auftragsverarbeiter verpflichtet im Hinblick auf
Datenübermittlungen oder eine Kategorie von Datenübermittlungen
personenbezogener Daten an einen Verantwortlichen oder
Auftragsverarbeiter derselben Unternehmensgruppe oder derselben
Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit
ausüben, in einem oder mehreren Drittländern;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51
eingerichtete unabhängige staatliche Stelle;
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der
Verarbeitung personenbezogener Daten betroffen ist, weil
a. der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
a. der Verantwortliche oder der Auftragsverarbeiter im
Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde
niedergelassen ist,
b. diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
b. diese Verarbeitung erhebliche Auswirkungen auf betroffene
Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde
hat oder haben kann oder
c. eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
c. eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
23. „grenzüberschreitende Verarbeitung“ entweder
23. „grenzüberschreitende Verarbeitung“ entweder
a. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
a. eine Verarbeitung personenbezogener Daten, die im Rahmen der
Tätigkeiten von Niederlassungen eines Verantwortlichen oder
eines Auftragsverarbeiters in der Union in mehr als einem
Mitgliedstaat erfolgt, wenn der Verantwortliche oder
Auftragsverarbeiter in mehr als einem Mitgliedstaat
niedergelassen ist, oder
b. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
b. eine Verarbeitung personenbezogener Daten, die im Rahmen der
Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen
oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch
erhebliche Auswirkungen auf betroffene Personen in mehr als
einem Mitgliedstaat hat oder haben kann;
24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;
24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen
Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese
Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den
Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser
Verordnung steht, wobei aus diesem Einspruch die Tragweite der
Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf
die Grundrechte und Grundfreiheiten der betroffenen Personen und
gegebenenfalls den freien Verkehr personenbezogener Daten in der
Union ausgehen;
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19);
25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne
des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535
des Europäischen Parlaments und des Rates (19);
26. „internationale Organisation“ eine völkerrechtliche Organisation und
ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die
durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft
oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.

52
dsgvo/ch02/ch02-art05.md
View File

@ -1,19 +1,55 @@
Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten
-------------------------------------------------------------------
1. Personenbezogene Daten müssen
1. Personenbezogene Daten müssen
a. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
a. auf rechtmäßige Weise, nach Treu und Glauben und in einer für
die betroffene Person nachvollziehbaren Weise verarbeitet werden
(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz“);
b. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
b. für festgelegte, eindeutige und legitime Zwecke erhoben werden
und dürfen nicht in einer mit diesen Zwecken nicht zu
vereinbarenden Weise weiterverarbeitet werden; eine
Weiterverarbeitung für im öffentlichen Interesse liegende
Archivzwecke, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel
89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
(„Zweckbindung“);
c. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
c. dem Zweck angemessen und erheblich sowie auf das für die Zwecke
der Verarbeitung notwendige Maß beschränkt sein
(„Datenminimierung“);
d. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
d. sachlich richtig und erforderlichenfalls auf dem neuesten Stand
sein; es sind alle angemessenen Maßnahmen zu treffen, damit
personenbezogene Daten, die im Hinblick auf die Zwecke ihrer
Verarbeitung unrichtig sind, unverzüglich gelöscht oder
berichtigt werden („Richtigkeit“);
e. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
e. in einer Form gespeichert werden, die die Identifizierung der
betroffenen Personen nur so lange ermöglicht, wie es für die
Zwecke, für die sie verarbeitet werden, erforderlich ist;
personenbezogene Daten dürfen länger gespeichert werden, soweit
die personenbezogenen Daten vorbehaltlich der Durchführung
geeigneter technischer und organisatorischer Maßnahmen, die von
dieser Verordnung zum Schutz der Rechte und Freiheiten der
betroffenen Person gefordert werden, ausschließlich für im
öffentlichen Interesse liegende Archivzwecke oder für
wissenschaftliche und historische Forschungszwecke oder für
statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden
(„Speicherbegrenzung“);
f. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
f. in einer Weise verarbeitet werden, die eine angemessene
Sicherheit der personenbezogenen Daten gewährleistet,
einschließlich Schutz vor unbefugter oder unrechtmäßiger
Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete
technische und organisatorische Maßnahmen („Integrität und
Vertraulichkeit“);
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1
verantwortlich und muss dessen Einhaltung nachweisen
können („Rechenschaftspflicht“).
2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

105
dsgvo/ch02/ch02-art06.md
View File

@ -1,41 +1,108 @@
Artikel 6 - Rechtmäßigkeit der Verarbeitung
-------------------------------------------
1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der
nachstehenden Bedingungen erfüllt ist:
a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung
der sie betreffenden personenbezogenen Daten für einen oder
mehrere bestimmte Zwecke gegeben;
b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der
betroffenen Person erfolgen;
c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
c. die Verarbeitung ist zur Erfüllung einer rechtlichen
Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen
der betroffenen Person oder einer anderen natürlichen Person zu
schützen;
e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe
erforderlich, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde;
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich, sofern nicht
die Interessen oder Grundrechte und Grundfreiheiten der
betroffenen Person, die den Schutz personenbezogener Daten
erfordern, überwiegen, insbesondere dann, wenn es sich bei der
betroffenen Person um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in
Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
2. Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
2. Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung
der Anwendung der Vorschriften dieser Verordnung in Bezug auf die
Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e
beibehalten oder einführen, indem sie spezifische Anforderungen für
die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um
eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu
gewährleisten, einschließlich für andere besondere
Verarbeitungssituationen gemäß Kapitel IX.
3. Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
3. Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben
c und e wird festgelegt durch
a. Unionsrecht oder
a. Unionsrecht oder
b. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
b. das Recht der Mitgliedstaaten, dem der
Verantwortliche unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt
oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für
die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die
dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann
spezifische Bestimmungen zur Anpassung der Anwendung der
Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen
darüber, welche allgemeinen Bedingungen für die Regelung der
Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten,
welche Arten von Daten verarbeitet werden, welche Personen betroffen
sind, an welche Einrichtungen und für welche Zwecke die
personenbezogenen Daten offengelegt werden dürfen, welcher
Zweckbindung sie unterliegen, wie lange sie gespeichert werden
dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt
werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer
rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie
solche für sonstige besondere Verarbeitungssituationen gemäß
Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten
müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in
einem angemessenen Verhältnis zu dem verfolgten legitimen
Zweck stehen.
4. Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
4. Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu
dem die personenbezogenen Daten erhoben wurden, nicht auf der
Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift
der Union oder der Mitgliedstaaten, die in einer demokratischen
Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum
Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so
berücksichtigt der Verantwortliche — um festzustellen, ob die
Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die
personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist —
unter anderem
a. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
a. jede Verbindung zwischen den Zwecken, für die die
personenbezogenen Daten erhoben wurden, und den Zwecken der
beabsichtigten Weiterverarbeitung,
b. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
b. den Zusammenhang, in dem die personenbezogenen Daten erhoben
wurden, insbesondere hinsichtlich des Verhältnisses zwischen den
betroffenen Personen und dem Verantwortlichen,
c. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
c. die Art der personenbezogenen Daten, insbesondere ob besondere
Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet
werden oder ob personenbezogene Daten über strafrechtliche
Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet
werden,
d. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
d. die möglichen Folgen der beabsichtigten Weiterverarbeitung für
die betroffenen Personen,
e. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung
oder Pseudonymisierung gehören kann.
e. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

28
dsgvo/ch02/ch02-art07.md
View File

@ -1,11 +1,31 @@
Artikel 7 - Bedingungen für die Einwilligung
--------------------------------------------
1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
1. Beruht die Verarbeitung auf einer Einwilligung, muss der
Verantwortliche nachweisen können, dass die betroffene Person in die
Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
2. Erfolgt die Einwilligung der betroffenen Person durch eine
schriftliche Erklärung, die noch andere Sachverhalte betrifft, so
muss das Ersuchen um Einwilligung in verständlicher und leicht
zugänglicher Form in einer klaren und einfachen Sprache so erfolgen,
dass es von den anderen Sachverhalten klar zu unterscheiden ist.
Teile der Erklärung sind dann nicht verbindlich, wenn sie einen
Verstoß gegen diese Verordnung darstellen.
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit
zu widerrufen. Durch den Widerruf der Einwilligung wird die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor
Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf
der Einwilligung muss so einfach wie die Erteilung der
Einwilligung sein.
4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde,
muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden,
ob unter anderem die Erfüllung eines Vertrags, einschließlich der
Erbringung einer Dienstleistung, von der Einwilligung zu einer
Verarbeitung von personenbezogenen Daten abhängig ist, die für die
Erfüllung des Vertrags nicht erforderlich sind.
4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

24
dsgvo/ch02/ch02-art08.md
View File

@ -1,11 +1,27 @@
Artikel 8 - Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
-----------------------------------------------------------------------------------------------------------
1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten
der Informationsgesellschaft, das einem Kind direkt gemacht wird, so
ist die Verarbeitung der personenbezogenen Daten des Kindes
rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat.
Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist
diese Verarbeitung nur rechtmäßig, sofern und soweit diese
Einwilligung durch den Träger der elterlichen Verantwortung für das
Kind oder mit dessen Zustimmung erteilt wird.
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen
Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht
unter dem vollendeten dreizehnten Lebensjahr liegen darf.
2. Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
2. Der Verantwortliche unternimmt unter Berücksichtigung der
verfügbaren Technik angemessene Anstrengungen, um sich in solchen
Fällen zu vergewissern, dass die Einwilligung durch den Träger der
elterlichen Verantwortung für das Kind oder mit dessen Zustimmung
erteilt wurde.
3. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie
etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den
Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
3. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.

106
dsgvo/ch02/ch02-art09.md
View File

@ -1,31 +1,109 @@
Artikel 9 - Verarbeitung besonderer Kategorien personenbezogener Daten
----------------------------------------------------------------------
1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
1. Die Verarbeitung personenbezogener Daten, aus denen die rassische
und ethnische Herkunft, politische Meinungen, religiöse oder
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen, sowie die Verarbeitung von genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer
natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder
der sexuellen Orientierung einer natürlichen Person ist untersagt.
2. Absatz 1 gilt nicht in folgenden Fällen:
2. Absatz 1 gilt nicht in folgenden Fällen:
a. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
a. Die betroffene Person hat in die Verarbeitung der genannten
personenbezogenen Daten für einen oder mehrere festgelegte
Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht
oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1
durch die Einwilligung der betroffenen Person nicht aufgehoben
werden,
b. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
b. die Verarbeitung ist erforderlich, damit der Verantwortliche
oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht
und dem Recht der sozialen Sicherheit und des Sozialschutzes
erwachsenden Rechte ausüben und seinen bzw. ihren
diesbezüglichen Pflichten nachkommen kann, soweit dies nach
Unionsrecht oder dem Recht der Mitgliedstaaten oder einer
Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das
geeignete Garantien für die Grundrechte und die Interessen der
betroffenen Person vorsieht, zulässig ist,
c. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
c. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der
betroffenen Person oder einer anderen natürlichen Person
erforderlich und die betroffene Person ist aus körperlichen oder
rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
d. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
d. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien
durch eine politisch, weltanschaulich, religiös oder
gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder
sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen
ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass
sich die Verarbeitung ausschließlich auf die Mitglieder oder
ehemalige Mitglieder der Organisation oder auf Personen, die im
Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit
ihr unterhalten, bezieht und die personenbezogenen Daten nicht
ohne Einwilligung der betroffenen Personen nach außen
offengelegt werden,
e. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
e. die Verarbeitung bezieht sich auf personenbezogene Daten, die
die betroffene Person offensichtlich öffentlich gemacht hat,
f. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
f. die Verarbeitung ist zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen oder bei Handlungen der
Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
g. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
g. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des
Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu
dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf
Datenschutz wahrt und angemessene und spezifische Maßnahmen zur
Wahrung der Grundrechte und Interessen der betroffenen Person
vorsieht, aus Gründen eines erheblichen öffentlichen Interesses
erforderlich,
h. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
h. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der
Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des
Beschäftigten, für die medizinische Diagnostik, die Versorgung
oder Behandlung im Gesundheits- oder Sozialbereich oder für die
Verwaltung von Systemen und Diensten im Gesundheits- oder
Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts
eines Mitgliedstaats oder aufgrund eines Vertrags mit einem
Angehörigen eines Gesundheitsberufs und vorbehaltlich der in
Absatz 3 genannten Bedingungen und Garantien erforderlich,
i. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
i. die Verarbeitung ist aus Gründen des öffentlichen Interesses im
Bereich der öffentlichen Gesundheit, wie dem Schutz vor
schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder
zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei
der Gesundheitsversorgung und bei Arzneimitteln und
Medizinprodukten, auf der Grundlage des Unionsrechts oder des
Rechts eines Mitgliedstaats, das angemessene und spezifische
Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen
Person, insbesondere des Berufsgeheimnisses, vorsieht,
erforderlich, oder
j. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
j. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des
Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu
dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf
Datenschutz wahrt und angemessene und spezifische Maßnahmen zur
Wahrung der Grundrechte und Interessen der betroffenen Person
vorsieht, für im öffentlichen Interesse liegende Archivzwecke,
für wissenschaftliche oder historische Forschungszwecke oder für
statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in
Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn
diese Daten von Fachpersonal oder unter dessen Verantwortung
verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder
dem Recht eines Mitgliedstaats oder den Vorschriften nationaler
zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die
Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach
dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den
Vorschriften nationaler zuständiger Stellen einer
Geheimhaltungspflicht unterliegt.
4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich
Beschränkungen, einführen oder aufrechterhalten, soweit die
Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten
betroffen ist.
4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

9
dsgvo/ch02/ch02-art10.md
View File

@ -1,4 +1,11 @@
Artikel 10 - Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
--------------------------------------------------------------------------------------------------------
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
Die Verarbeitung personenbezogener Daten über strafrechtliche
Verurteilungen und Straftaten oder damit zusammenhängende
Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter
behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem
Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien
für die Rechte und Freiheiten der betroffenen Personen vorsieht,
zulässig ist. Ein umfassendes Register der strafrechtlichen
Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

17
dsgvo/ch02/ch02-art11.md
View File

@ -1,6 +1,19 @@
Artikel 11 - Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
-----------------------------------------------------------------------------------------------------
1. Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
1. Ist für die Zwecke, für die ein Verantwortlicher personenbezogene
Daten verarbeitet, die Identifizierung der betroffenen Person durch
den Verantwortlichen nicht oder nicht mehr erforderlich, so ist
dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung
zusätzliche Informationen aufzubewahren, einzuholen oder zu
verarbeiten, um die betroffene Person zu identifizieren.
2. Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden
Artikels nachweisen, dass er nicht in der Lage ist, die betroffene
Person zu identifizieren, so unterrichtet er die betroffene Person
hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis
20 keine Anwendung, es sei denn, die betroffene Person stellt zur
Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche
Informationen bereit, die ihre Identifizierung ermöglichen.
2. Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

75
dsgvo/ch03/ch03-art12.md
View File

@ -1,25 +1,78 @@
Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
-----------------------------------------------------------------------------------------------------------------------
1. Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
1. Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen
Person alle Informationen gemäß den Artikeln 13 und 14 und alle
Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich
auf die Verarbeitung beziehen, in präziser, transparenter,
verständlicher und leicht zugänglicher Form in einer klaren und
einfachen Sprache zu übermitteln; dies gilt insbesondere für
Informationen, die sich speziell an Kinder richten. Die Übermittlung
der Informationen erfolgt schriftlich oder in anderer Form,
gegebenenfalls auch elektronisch. Falls von der betroffenen Person
verlangt, kann die Information mündlich erteilt werden, sofern die
Identität der betroffenen Person in anderer Form nachgewiesen wurde.
2. Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
2. Der Verantwortliche erleichtert der betroffenen Person die Ausübung
ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11
Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann
weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung
ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er
glaubhaft macht, dass er nicht in der Lage ist, die betroffene
Person zu identifizieren.
3. Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
3. Der Verantwortliche stellt der betroffenen Person Informationen über
die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen
unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang
des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate
verlängert werden, wenn dies unter Berücksichtigung der Komplexität
und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche
unterrichtet die betroffene Person innerhalb eines Monats nach
Eingang des Antrags über eine Fristverlängerung, zusammen mit den
Gründen für die Verzögerung. Stellt die betroffene Person den Antrag
elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu
unterrichten, sofern sie nichts anderes angibt.
4. Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
4. Wird der Verantwortliche auf den Antrag der betroffenen Person hin
nicht tätig, so unterrichtet er die betroffene Person ohne
Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des
Antrags über die Gründe hierfür und über die Möglichkeit, bei einer
Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen
Rechtsbehelf einzulegen.
5. Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
5. Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen
und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden
unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten
oder — insbesondere im Fall von häufiger Wiederholung — exzessiven
Anträgen einer betroffenen Person kann der Verantwortliche entweder
a. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
a. ein angemessenes Entgelt verlangen, bei dem die
Verwaltungskosten für die Unterrichtung oder die Mitteilung oder
die Durchführung der beantragten Maßnahme berücksichtigt werden,
oder
b. sich weigern, aufgrund des Antrags tätig zu werden.
b. sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
Der Verantwortliche hat den Nachweis für den offenkundig
unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
6. Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
6. Hat der Verantwortliche begründete Zweifel an der Identität der
natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21
stellt, so kann er unbeschadet des Artikels 11 zusätzliche
Informationen anfordern, die zur Bestätigung der Identität der
betroffenen Person erforderlich sind.
7. Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
7. Die Informationen, die den betroffenen Personen gemäß den Artikeln
13 und 14 bereitzustellen sind, können in Kombination mit
standardisierten Bildsymbolen bereitgestellt werden, um in leicht
wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen
aussagekräftigen Überblick über die beabsichtigte Verarbeitung
zu vermitteln. Werden die Bildsymbole in elektronischer Form
dargestellt, müssen sie maschinenlesbar sein.
8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92
delegierte Rechtsakte zur Bestimmung der Informationen, die durch
Bildsymbole darzustellen sind, und der Verfahren für die
Bereitstellung standardisierter Bildsymbole zu erlassen.
8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

77
dsgvo/ch03/ch03-art13.md
View File

@ -1,35 +1,80 @@
Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
----------------------------------------------------------------------------------------------------
1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so
teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der
Erhebung dieser Daten Folgendes mit:
a. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
a. den Namen und die Kontaktdaten des Verantwortlichen sowie
gegebenenfalls seines Vertreters;
b. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
b. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
c. die Zwecke, für die die personenbezogenen Daten verarbeitet
werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,
die berechtigten Interessen, die von dem Verantwortlichen oder
einem Dritten verfolgt werden;
e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der
personenbezogenen Daten und
f. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
f. gegebenenfalls die Absicht des Verantwortlichen, die
personenbezogenen Daten an ein Drittland oder eine
internationale Organisation zu übermitteln, sowie das
Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
der Kommission oder im Falle von Übermittlungen gemäß Artikel 46
oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen
Verweis auf die geeigneten oder angemessenen Garantien und die
Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo
sie verfügbar sind.
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der
Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung
dieser Daten folgende weitere Informationen zur Verfügung, die
notwendig sind, um eine faire und transparente Verarbeitung zu
gewährleisten:
a. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
a. die Dauer, für die die personenbezogenen Daten gespeichert
werden oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer;
b. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
b. das Bestehen eines Rechts auf Auskunft seitens des
Verantwortlichen über die betreffenden personenbezogenen Daten
sowie auf Berichtigung oder Löschung oder auf Einschränkung der
Verarbeitung oder eines Widerspruchsrechts gegen die
Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
c. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder
Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines
Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
erfolgten Verarbeitung berührt wird;
d. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
d. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
e. ob die Bereitstellung der personenbezogenen Daten gesetzlich
oder vertraglich vorgeschrieben oder für einen Vertragsabschluss
erforderlich ist, ob die betroffene Person verpflichtet ist, die
personenbezogenen Daten bereitzustellen, und welche mögliche
Folgen die Nichtbereitstellung hätte und
f. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
f. das Bestehen einer automatisierten Entscheidungsfindung
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
zumindest in diesen Fällen — aussagekräftige Informationen über
die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die
betroffene Person.
3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für
einen anderen Zweck weiterzuverarbeiten als den, für den die
personenbezogenen Daten erhoben wurden, so stellt er der betroffenen
Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß
Absatz 2 zur Verfügung.
4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die
betroffene Person bereits über die Informationen verfügt.
4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

118
dsgvo/ch03/ch03-art14.md
View File

@ -1,53 +1,121 @@
Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
------------------------------------------------------------------------------------------------------------------
1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
1. Werden personenbezogene Daten nicht bei der betroffenen Person
erhoben, so teilt der Verantwortliche der betroffenen Person
Folgendes mit:
a. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
a. den Namen und die Kontaktdaten des Verantwortlichen sowie
gegebenenfalls seines Vertreters;
b. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
b. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
c. die Zwecke, für die die personenbezogenen Daten verarbeitet
werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d. die Kategorien personenbezogener Daten, die verarbeitet werden;
d. die Kategorien personenbezogener Daten, die verarbeitet werden;
e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der
personenbezogenen Daten;
f. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
f. gegebenenfalls die Absicht des Verantwortlichen, die
personenbezogenen Daten an einen Empfänger in einem Drittland
oder einer internationalen Organisation zu übermitteln, sowie
das Vorhandensein oder das Fehlen eines
Angemessenheitsbeschlusses der Kommission oder im Falle von
Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49
Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder
angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen
zu erhalten, oder wo sie verfügbar sind.
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der
Verantwortliche der betroffenen Person die folgenden Informationen
zur Verfügung, die erforderlich sind, um der betroffenen Person
gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
a. die Dauer, für die die personenbezogenen Daten gespeichert
werden oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer;
b. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
b. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,
die berechtigten Interessen, die von dem Verantwortlichen oder
einem Dritten verfolgt werden;
c. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
c. das Bestehen eines Rechts auf Auskunft seitens des
Verantwortlichen über die betreffenden personenbezogenen Daten
sowie auf Berichtigung oder Löschung oder auf Einschränkung der
Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung
sowie des Rechts auf Datenübertragbarkeit;
d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder
Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines
Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
erfolgten Verarbeitung berührt wird;
e. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
e. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f. aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
f. aus welcher Quelle die personenbezogenen Daten stammen und
gegebenenfalls ob sie aus öffentlich zugänglichen Quellen
stammen;
g. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
g. das Bestehen einer automatisierten Entscheidungsfindung
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
zumindest in diesen Fällen — aussagekräftige Informationen über
die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die
betroffene Person.
3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1
und 2
a. unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
a. unter Berücksichtigung der spezifischen Umstände der
Verarbeitung der personenbezogenen Daten innerhalb einer
angemessenen Frist nach Erlangung der personenbezogenen Daten,
längstens jedoch innerhalb eines Monats,
b. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
b. falls die personenbezogenen Daten zur Kommunikation mit der
betroffenen Person verwendet werden sollen, spätestens zum
Zeitpunkt der ersten Mitteilung an sie, oder,
c. falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
c. falls die Offenlegung an einen anderen Empfänger beabsichtigt
ist, spätestens zum Zeitpunkt der ersten Offenlegung.
4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für
einen anderen Zweck weiterzuverarbeiten als den, für den die
personenbezogenen Daten erlangt wurden, so stellt er der betroffenen
Person vor dieser Weiterverarbeitung Informationen über diesen
anderen Zweck und alle anderen maßgeblichen Informationen gemäß
Absatz 2 zur Verfügung.
5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a. die betroffene Person bereits über die Informationen verfügt,
a. die betroffene Person bereits über die Informationen verfügt,
b. die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
b. die Erteilung dieser Informationen sich als unmöglich erweist
oder einen unverhältnismäßigen Aufwand erfordern würde; dies
gilt insbesondere für die Verarbeitung für im öffentlichen
Interesse liegende Archivzwecke, für wissenschaftliche oder
historische Forschungszwecke oder für statistische Zwecke
vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen
und Garantien oder soweit die in Absatz 1 des vorliegenden
Artikels genannte Pflicht voraussichtlich die Verwirklichung der
Ziele dieser Verarbeitung unmöglich macht oder ernsthaft
beeinträchtigt In diesen Fällen ergreift der Verantwortliche
geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie
der berechtigten Interessen der betroffenen Person,
einschließlich der Bereitstellung dieser Informationen für die
Öffentlichkeit,
c. die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
c. die Erlangung oder Offenlegung durch Rechtsvorschriften der
Union oder der Mitgliedstaaten, denen der Verantwortliche
unterliegt und die geeignete Maßnahmen zum Schutz der
berechtigten Interessen der betroffenen Person vorsehen,
ausdrücklich geregelt ist oder
d. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht
der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer
satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher
vertraulich behandelt werden müssen.
d. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

55
dsgvo/ch03/ch03-art15.md
View File

@ -1,27 +1,58 @@
Artikel 15 - Auskunftsrecht der betroffenen Person
--------------------------------------------------
1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine
Bestätigung darüber zu verlangen, ob sie betreffende
personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat
sie ein Recht auf Auskunft über diese personenbezogenen Daten und
auf folgende Informationen:
a. die Verarbeitungszwecke;
a. die Verarbeitungszwecke;
b. die Kategorien personenbezogener Daten, die verarbeitet werden;
b. die Kategorien personenbezogener Daten, die verarbeitet werden;
c. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
c. die Empfänger oder Kategorien von Empfängern, gegenüber denen
die personenbezogenen Daten offengelegt worden sind oder noch
offengelegt werden, insbesondere bei Empfängern in Drittländern
oder bei internationalen Organisationen;
d. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
d. falls möglich die geplante Dauer, für die die personenbezogenen
Daten gespeichert werden, oder, falls dies nicht möglich ist,
die Kriterien für die Festlegung dieser Dauer;
e. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
e. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie
betreffenden personenbezogenen Daten oder auf Einschränkung der
Verarbeitung durch den Verantwortlichen oder eines
Widerspruchsrechts gegen diese Verarbeitung;
f. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
g. wenn die personenbezogenen Daten nicht bei der betroffenen
Person erhoben werden, alle verfügbaren Informationen über die
Herkunft der Daten;
h. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
h. das Bestehen einer automatisierten Entscheidungsfindung
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
zumindest in diesen Fällen — aussagekräftige Informationen über
die involvierte Logik sowie die Tragweite und die angestrebten
Auswirkungen einer derartigen Verarbeitung für die
betroffene Person.
2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
2. Werden personenbezogene Daten an ein Drittland oder an eine
internationale Organisation übermittelt, so hat die betroffene
Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im
Zusammenhang mit der Übermittlung unterrichtet zu werden.
3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten,
die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle
weiteren Kopien, die die betroffene Person beantragt, kann der
Verantwortliche ein angemessenes Entgelt auf der Grundlage der
Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag
elektronisch, so sind die Informationen in einem gängigen
elektronischen Format zur Verfügung zu stellen, sofern sie nichts
anderes angibt.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und
Freiheiten anderer Personen nicht beeinträchtigen.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

9
dsgvo/ch03/ch03-art16.md Normal file
View File

@ -0,0 +1,9 @@
Artikel 16 - Recht auf Berichtigung
-----------------------------------
Die betroffene Person hat das Recht, von dem Verantwortlichen
unverzüglich die Berichtigung sie betreffender unrichtiger
personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke
der Verarbeitung hat die betroffene Person das Recht, die
Vervollständigung unvollständiger personenbezogener Daten — auch mittels
einer ergänzenden Erklärung — zu verlangen.

73
dsgvo/ch03/ch03-art17.md
View File

@ -1,31 +1,72 @@
Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
-------------------------------------------------------------
## Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu
verlangen, dass sie betreffende personenbezogene Daten unverzüglich
gelöscht werden, und der Verantwortliche ist verpflichtet,
personenbezogene Daten unverzüglich zu löschen, sofern einer der
folgenden Gründe zutrifft:
a. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
a. Die personenbezogenen Daten sind für die Zwecke, für die sie
erhoben oder auf sonstige Weise verarbeitet wurden, nicht
mehr notwendig.
b. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
b. Die betroffene Person widerruft ihre Einwilligung, auf die sich
die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder
Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer
anderweitigen Rechtsgrundlage für die Verarbeitung.
c. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
c. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch
gegen die Verarbeitung ein und es liegen keine vorrangigen
berechtigten Gründe für die Verarbeitung vor, oder die
betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch
gegen die Verarbeitung ein.
d. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
d. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
e. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
e. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer
rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht
der Mitgliedstaaten erforderlich, dem der
Verantwortliche unterliegt.
f. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
f. Die personenbezogenen Daten wurden in Bezug auf angebotene
Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz
1 erhoben.
2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
2. Hat der Verantwortliche die personenbezogenen Daten öffentlich
gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so
trifft er unter Berücksichtigung der verfügbaren Technologie und der
Implementierungskosten angemessene Maßnahmen, auch technischer Art,
um für die Datenverarbeitung Verantwortliche, die die
personenbezogenen Daten verarbeiten, darüber zu informieren, dass
eine betroffene Person von ihnen die Löschung aller Links zu diesen
personenbezogenen Daten oder von Kopien oder Replikationen dieser
personenbezogenen Daten verlangt hat.
3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung
erforderlich ist
a. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
a. zur Ausübung des Rechts auf freie Meinungsäußerung und
Information;
b. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
b. zur Erfüllung einer rechtlichen Verpflichtung, die die
Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten,
dem der Verantwortliche unterliegt, erfordert, oder zur
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde;
c. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
c. aus Gründen des öffentlichen Interesses im Bereich der
öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h
und i sowie Artikel 9 Absatz 3;
d. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
d. für im öffentlichen Interesse liegende Archivzwecke,
wissenschaftliche oder historische Forschungszwecke oder für
statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in
Absatz 1 genannte Recht voraussichtlich die Verwirklichung der
Ziele dieser Verarbeitung unmöglich macht oder ernsthaft
beeinträchtigt, oder
e. zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen.
e. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

36
dsgvo/ch03/ch03-art18.md
View File

@ -1,17 +1,39 @@
Artikel 18 - Recht auf Einschränkung der Verarbeitung
-----------------------------------------------------
1. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
1. Die betroffene Person hat das Recht, von dem Verantwortlichen die
Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden
Voraussetzungen gegeben ist:
a. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
a. die Richtigkeit der personenbezogenen Daten von der betroffenen
Person bestritten wird, und zwar für eine Dauer, die es dem
Verantwortlichen ermöglicht, die Richtigkeit der
personenbezogenen Daten zu überprüfen,
b. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
b. die Verarbeitung unrechtmäßig ist und die betroffene Person die
Löschung der personenbezogenen Daten ablehnt und stattdessen die
Einschränkung der Nutzung der personenbezogenen Daten verlangt;
c. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
c. der Verantwortliche die personenbezogenen Daten für die Zwecke
der Verarbeitung nicht länger benötigt, die betroffene Person
sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen benötigt, oder
d. die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
d. die betroffene Person Widerspruch gegen die Verarbeitung gemäß
Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht,
ob die berechtigten Gründe des Verantwortlichen gegenüber denen
der betroffenen Person überwiegen.
2. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
2. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese
personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit
Einwilligung der betroffenen Person oder zur Geltendmachung,
Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der
Rechte einer anderen natürlichen oder juristischen Person oder aus
Gründen eines wichtigen öffentlichen Interesses der Union oder eines
Mitgliedstaats verarbeitet werden.
3. Eine betroffene Person, die eine Einschränkung der Verarbeitung
gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen
unterrichtet, bevor die Einschränkung aufgehoben wird.
3. Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

8
dsgvo/ch03/ch03-art19.md
View File

@ -1,4 +1,10 @@
Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
--------------------------------------------------------------------------------------------------------------------------------------------------
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen
Daten offengelegt wurden, jede Berichtigung oder Löschung der
personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach
Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies
erweist sich als unmöglich oder ist mit einem unverhältnismäßigen
Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene
Person über diese Empfänger, wenn die betroffene Person dies verlangt.

31
dsgvo/ch03/ch03-art20.md
View File

@ -1,15 +1,34 @@
Artikel 20 - Recht auf Datenübertragbarkeit
-------------------------------------------
1. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
1. Die betroffene Person hat das Recht, die sie betreffenden
personenbezogenen Daten, die sie einem Verantwortlichen
bereitgestellt hat, in einem strukturierten, gängigen und
maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese
Daten einem anderen Verantwortlichen ohne Behinderung durch den
Verantwortlichen, dem die personenbezogenen Daten bereitgestellt
wurden, zu übermitteln, sofern
a. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
a. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1
Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem
Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
b. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
b. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz
1 hat die betroffene Person das Recht, zu erwirken, dass die
personenbezogenen Daten direkt von einem Verantwortlichen einem
anderen Verantwortlichen übermittelt werden, soweit dies technisch
machbar ist.
3. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
3. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels
lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine
Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich
ist, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde.
4. Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer
Personen nicht beeinträchtigen.
4. Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

43
dsgvo/ch03/ch03-art21.md
View File

@ -1,15 +1,46 @@
Artikel 21 - Widerspruchsrecht
------------------------------
1. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
1. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer
besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie
betreffender personenbezogener Daten, die aufgrund von Artikel 6
Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies
gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der
Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr,
es sei denn, er kann zwingende schutzwürdige Gründe für die
Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten
der betroffenen Person überwiegen, oder die Verarbeitung dient der
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu
betreiben, so hat die betroffene Person das Recht, jederzeit
Widerspruch gegen die Verarbeitung sie betreffender
personenbezogener Daten zum Zwecke derartiger Werbung einzulegen;
dies gilt auch für das Profiling, soweit es mit solcher
Direktwerbung in Verbindung steht.
3. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
3. Widerspricht die betroffene Person der Verarbeitung für Zwecke der
Direktwerbung, so werden die personenbezogenen Daten nicht mehr für
diese Zwecke verarbeitet.
4. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
4. Die betroffene Person muss spätestens zum Zeitpunkt der ersten
Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2
genannte Recht hingewiesen werden; dieser Hinweis hat in einer
verständlichen und von anderen Informationen getrennten Form
zu erfolgen.
5. Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
5. Im Zusammenhang mit der Nutzung von Diensten der
Informationsgesellschaft kann die betroffene Person ungeachtet der
Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter
Verfahren ausüben, bei denen technische Spezifikationen
verwendet werden.
6. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer
besonderen Situation ergeben, gegen die sie betreffende Verarbeitung
sie betreffender personenbezogener Daten, die zu wissenschaftlichen
oder historischen Forschungszwecken oder zu statistischen Zwecken
gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei
denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen
Interesse liegenden Aufgabe erforderlich.
6. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

33
dsgvo/ch03/ch03-art22.md
View File

@ -1,17 +1,36 @@
Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
---------------------------------------------------------------------------------
1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf
einer automatisierten Verarbeitung — einschließlich Profiling —
beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber
rechtliche Wirkung entfaltet oder sie in ähnlicher Weise
erheblich beeinträchtigt.
2. Absatz 1 gilt nicht, wenn die Entscheidung
2. Absatz 1 gilt nicht, wenn die Entscheidung
a. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
a. für den Abschluss oder die Erfüllung eines Vertrags zwischen der
betroffenen Person und dem Verantwortlichen erforderlich ist,
b. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
b. aufgrund von Rechtsvorschriften der Union oder der
Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig
ist und diese Rechtsvorschriften angemessene Maßnahmen zur
Wahrung der Rechte und Freiheiten sowie der berechtigten
Interessen der betroffenen Person enthalten oder
c. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
c. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der
Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten
sowie die berechtigten Interessen der betroffenen Person zu wahren,
wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person
seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts
und auf Anfechtung der Entscheidung gehört.
4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien
personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern
nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene
Maßnahmen zum Schutz der Rechte und Freiheiten sowie der
berechtigten Interessen der betroffenen Person getroffen wurden.
4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

73
dsgvo/ch03/ch03-art23.md
View File

@ -1,43 +1,76 @@
Artikel 23 - Beschränkungen
---------------------------
1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen
der Verantwortliche oder der Auftragsverarbeiter unterliegt, können
die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34
sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12
bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von
Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche
Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten
achtet und in einer demokratischen Gesellschaft eine notwendige und
verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
a. die nationale Sicherheit;
a. die nationale Sicherheit;
b. die Landesverteidigung;
b. die Landesverteidigung;
c. die öffentliche Sicherheit;
c. die öffentliche Sicherheit;
d. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
d. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von
Straftaten oder die Strafvollstreckung, einschließlich des
Schutzes vor und der Abwehr von Gefahren für die öffentliche
Sicherheit;
e. den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
e. den Schutz sonstiger wichtiger Ziele des allgemeinen
öffentlichen Interesses der Union oder eines Mitgliedstaats,
insbesondere eines wichtigen wirtschaftlichen oder finanziellen
Interesses der Union oder eines Mitgliedstaats, etwa im
Währungs-, Haushalts- und Steuerbereich sowie im Bereich der
öffentlichen Gesundheit und der sozialen Sicherheit;
f. den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
f. den Schutz der Unabhängigkeit der Justiz und den Schutz von
Gerichtsverfahren;
g. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
g. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von
Verstößen gegen die berufsständischen Regeln reglementierter
Berufe;
h. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
h. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd
oder zeitweise mit der Ausübung öffentlicher Gewalt für die
unter den Buchstaben a bis e und g genannten Zwecke verbunden
sind;
i. den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
i. den Schutz der betroffenen Person oder der Rechte und Freiheiten
anderer Personen;
j. die Durchsetzung zivilrechtlicher Ansprüche.
j. die Durchsetzung zivilrechtlicher Ansprüche.
2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere
gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug
auf
a. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
a. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
b. die Kategorien personenbezogener Daten,
b. die Kategorien personenbezogener Daten,
c. den Umfang der vorgenommenen Beschränkungen,
c. den Umfang der vorgenommenen Beschränkungen,
d. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
d. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder
unrechtmäßige Übermittlung;
e. die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
e. die Angaben zu dem Verantwortlichen oder den Kategorien von
Verantwortlichen,
f. die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
f. die jeweiligen Speicherfristen sowie die geltenden Garantien
unter Berücksichtigung von Art, Umfang und Zwecken der
Verarbeitung oder der Verarbeitungskategorien,
g. die Risiken für die Rechte und Freiheiten der betroffenen Personen und
g. die Risiken für die Rechte und Freiheiten der betroffenen
Personen und
h. das Recht der betroffenen Personen auf Unterrichtung über die
Beschränkung, sofern dies nicht dem Zweck der Beschränkung
abträglich ist.
h. das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.

20
dsgvo/ch04/ch04-art24.md
View File

@ -1,9 +1,23 @@
Artikel 24 - Verantwortung des für die Verarbeitung Verantwortlichen
--------------------------------------------------------------------
1. Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
1. Der Verantwortliche setzt unter Berücksichtigung der Art, des
Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der
Risiken für die Rechte und Freiheiten natürlicher Personen geeignete
technische und organisatorische Maßnahmen um, um sicherzustellen und
den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß
dieser Verordnung erfolgt. Diese Maßnahmen werden
erforderlichenfalls überprüft und aktualisiert.
2. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
2. Sofern dies in einem angemessenen Verhältnis zu den
Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1
die Anwendung geeigneter Datenschutzvorkehrungen durch den
Verantwortlichen umfassen.
3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40
oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42
kann als Gesichtspunkt herangezogen werden, um die Erfüllung der
Pflichten des Verantwortlichen nachzuweisen.
3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

31
dsgvo/ch04/ch04-art25.md
View File

@ -1,9 +1,34 @@
Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
--------------------------------------------------------------------------------------------------
1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
1. Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und
der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung
verbundenen Risiken für die Rechte und Freiheiten natürlicher
Personen trifft der Verantwortliche sowohl zum Zeitpunkt der
Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt
der eigentlichen Verarbeitung geeignete technische und
organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft,
die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa
Datenminimierung wirksam umzusetzen und die notwendigen Garantien in
die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung
zu genügen und die Rechte der betroffenen Personen zu schützen.
2. Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
2. Der Verantwortliche trifft geeignete technische und organisatorische
Maßnahmen, die sicherstellen, dass durch Voreinstellung
grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
jeweiligen bestimmten Verarbeitungszweck erforderlich ist,
verarbeitet werden. Diese Verpflichtung gilt für die Menge der
erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung,
ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen
insbesondere sicherstellen, dass personenbezogene Daten durch
Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
Zahl von natürlichen Personen zugänglich gemacht werden.
3. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als
Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1
und 2 des vorliegenden Artikels genannten
Anforderungen nachzuweisen.
3. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

23
dsgvo/ch04/ch04-art26.md
View File

@ -1,9 +1,26 @@
Artikel 26 - Gemeinsam für die Verarbeitung Verantwortliche
-----------------------------------------------------------
1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und
die Mittel zur Verarbeitung fest, so sind sie
gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in
transparenter Form fest, wer von ihnen welche Verpflichtung gemäß
dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der
Rechte der betroffenen Person angeht, und wer welchen
Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern
und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch
Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die
Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung
kann eine Anlaufstelle für die betroffenen Personen
angegeben werden.
2. Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
2. Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen
Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber
betroffenen Personen gebührend widerspiegeln. Das wesentliche der
Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
3. Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die
betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und
gegenüber jedem einzelnen der Verantwortlichen geltend machen.
3. Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

36
dsgvo/ch04/ch04-art27.md
View File

@ -1,17 +1,39 @@
Artikel 27 - Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
---------------------------------------------------------------------------------------------------------
1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche
oder der Auftragsverarbeiter schriftlich einen Vertreter in
der Union.
2. Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
2. Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
a. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
a. eine Verarbeitung, die gelegentlich erfolgt, nicht die
umfangreiche Verarbeitung besonderer Datenkategorien im Sinne
des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von
personenbezogenen Daten über strafrechtliche Verurteilungen und
Straftaten im Sinne des Artikels 10 einschließt und unter
Berücksichtigung der Art, der Umstände, des Umfangs und der
Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko
für die Rechte und Freiheiten natürlicher Personen führt, oder
b. Behörden oder öffentliche Stellen.
b. Behörden oder öffentliche Stellen.
3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein,
in denen die betroffenen Personen, deren personenbezogene Daten im
Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen
verarbeitet werden oder deren Verhalten beobachtet wird,
sich befinden.
4. Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
4. Der Vertreter wird durch den Verantwortlichen oder den
Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner
Stelle insbesondere für Aufsichtsbehörden und betroffene Personen
bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur
Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle
zu dienen.
5. Die Benennung eines Vertreters durch den Verantwortlichen oder den
Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher
Schritte gegen den Verantwortlichen oder den
Auftragsverarbeiter selbst.
5. Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.

133
dsgvo/ch04/ch04-art28.md
View File

@ -1,41 +1,136 @@
Artikel 28 - Auftragsverarbeiter
--------------------------------
1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
Garantien dafür bieten, dass geeignete technische und
organisatorische Maßnahmen so durchgeführt werden, dass die
Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
erfolgt und den Schutz der Rechte der betroffenen
Person gewährleistet.
2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
des Verantwortlichen in Anspruch. Im Fall einer allgemeinen
schriftlichen Genehmigung informiert der Auftragsverarbeiter den
Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf
die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige
Änderungen Einspruch zu erheben.
3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der
Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach
dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den
Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in
dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der
Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
betroffener Personen und die Pflichten und Rechte des
Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
Rechtsinstrument sieht insbesondere vor, dass der
Auftragsverarbeiter
a. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
a. die personenbezogenen Daten nur auf dokumentierte Weisung des
Verantwortlichen — auch in Bezug auf die Übermittlung
personenbezogener Daten an ein Drittland oder eine
internationale Organisation — verarbeitet, sofern er nicht durch
das Recht der Union oder der Mitgliedstaaten, dem der
Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in
einem solchen Fall teilt der Auftragsverarbeiter dem
Verantwortlichen diese rechtlichen Anforderungen vor der
Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
verbietet;
b. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
b. gewährleistet, dass sich die zur Verarbeitung der
personenbezogenen Daten befugten Personen zur Vertraulichkeit
verpflichtet haben oder einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen;
c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
d. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
d. die in den Absätzen 2 und 4 genannten Bedingungen für die
Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
einhält;
e. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
e. angesichts der Art der Verarbeitung den Verantwortlichen nach
Möglichkeit mit geeigneten technischen und organisatorischen
Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
betroffenen Person nachzukommen;
f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur
Verfügung stehenden Informationen den Verantwortlichen bei der
Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten
unterstützt;
g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle
personenbezogenen Daten nach Wahl des Verantwortlichen entweder
löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder
dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung
der personenbezogenen Daten besteht;
h. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen , die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
h. dem Verantwortlichen alle erforderlichen Informationen zum
Nachweis der Einhaltung der in diesem Artikel niedergelegten
Pflichten zur Verfügung stellt und Überprüfungen —
einschließlich Inspektionen , die vom Verantwortlichen oder
einem anderen von diesem beauftragten Prüfer durchgeführt
werden, ermöglicht und dazu beiträgt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Mit Blick auf Unterabsatz 1 Buchstabe h informiert der
Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der
Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen
andere Datenschutzbestimmungen der Union oder der
Mitgliedstaaten verstößt.
4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren
Auftragsverarbeiters in Anspruch, um bestimmte
Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags
oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem
Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten
auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen
dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3
festgelegt sind, wobei insbesondere hinreichende Garantien dafür
geboten werden muss, dass die geeigneten technischen und
organisatorischen Maßnahmen so durchgeführt werden, dass die
Verarbeitung entsprechend den Anforderungen dieser
Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen
Datenschutzpflichten nicht nach, so haftet der erste
Auftragsverarbeiter gegenüber dem Verantwortlichen für die
Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch
einen Auftragsverarbeiter kann als Faktor herangezogen werden, um
hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden
Artikels nachzuweisen.
6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
6. Unbeschadet eines individuellen Vertrags zwischen dem
Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder
das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des
vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7
und 8 des vorliegenden Artikels genannten Standardvertragsklauseln
beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder
dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten
Zertifizierung sind.
7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel
87 Absatz 2 Standardvertragsklauseln zur Regelung der in den
Absätzen 3 und 4 des vorliegenden Artikels genannten
Fragen festlegen.
8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren
gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den
Absätzen 3 und 4 des vorliegenden Artikels genannten
Fragen festlegen.
9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3
und 4 ist schriftlich abzufassen, was auch in einem elektronischen
Format erfolgen kann.
10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter,
der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der
Verarbeitung bestimmt, in Bezug auf diese Verarbeitung
als Verantwortlicher.
10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

6
dsgvo/ch04/ch04-art29.md
View File

@ -1,4 +1,8 @@
Artikel 29 - Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
-----------------------------------------------------------------------------------------------
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem
Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen
Daten hat, dürfen diese Daten ausschließlich auf Weisung des
Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht
oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

76
dsgvo/ch04/ch04-art30.md
View File

@ -1,35 +1,79 @@
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
-----------------------------------------------------
1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein
Verzeichnis aller Verarbeitungstätigkeiten, die ihrer
Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche
folgenden Angaben:
a. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
a. den Namen und die Kontaktdaten des Verantwortlichen und
gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des
Vertreters des Verantwortlichen sowie eines etwaigen
Datenschutzbeauftragten;
b. die Zwecke der Verarbeitung;
b. die Zwecke der Verarbeitung;
c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
c. eine Beschreibung der Kategorien betroffener Personen und der
Kategorien personenbezogener Daten;
d. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
d. die Kategorien von Empfängern, gegenüber denen die
personenbezogenen Daten offengelegt worden sind oder noch
offengelegt werden, einschließlich Empfänger in Drittländern
oder internationalen Organisationen;
e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
Drittland oder an eine internationale Organisation,
einschließlich der Angabe des betreffenden Drittlands oder der
betreffenden internationalen Organisation, sowie bei den in
Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
die Dokumentierung geeigneter Garantien;
f. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
f. wenn möglich, die vorgesehenen Fristen für die Löschung der
verschiedenen Datenkategorien;
g. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
g. wenn möglich, eine allgemeine Beschreibung der technischen und
organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen
ein Verzeichnis zu allen Kategorien von im Auftrag eines
Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die
Folgendes enthält:
a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der
Auftragsverarbeiter und jedes Verantwortlichen, in dessen
Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls
des Vertreters des Verantwortlichen oder des
Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
b. die Kategorien von Verarbeitungen, die im Auftrag jedes
Verantwortlichen durchgeführt werden;
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
Drittland oder an eine internationale Organisation,
einschließlich der Angabe des betreffenden Drittlands oder der
betreffenden internationalen Organisation, sowie bei den in
Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
die Dokumentierung geeigneter Garantien;
d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
d. wenn möglich, eine allgemeine Beschreibung der technischen und
organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu
führen, was auch in einem elektronischen Format erfolgen kann.
4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
4. Der Verantwortliche oder der Auftragsverarbeiter sowie
gegebenenfalls der Vertreter des Verantwortlichen oder des
Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis
auf Anfrage zur Verfügung.
5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter
beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht
ein Risiko für die Rechte und Freiheiten der betroffenen Personen
birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht
die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz
1 bzw. die Verarbeitung von personenbezogenen Daten über
strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels
10 einschließt.
5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.

7
dsgvo/ch04/ch04-art31.md
View File

@ -1,4 +1,9 @@
Artikel 31 - Zusammenarbeit mit der Aufsichtsbehörde
----------------------------------------------------
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren
Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der
Erfüllung ihrer Aufgaben zusammen.Der Verantwortliche und der
Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf
Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben
zusammen.

46
dsgvo/ch04/ch04-art32.md
View File

@ -1,19 +1,49 @@
Artikel 32 - Sicherheit der Verarbeitung
----------------------------------------
1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
1. Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und
der Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
und Freiheiten natürlicher Personen treffen der Verantwortliche und
der Auftragsverarbeiter geeignete technische und organisatorische
Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten; diese Maßnahmen schließen unter anderem Folgendes
ein:
a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
a. die Pseudonymisierung und Verschlüsselung personenbezogener
Daten;
b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit
und Belastbarkeit der Systeme und Dienste im Zusammenhang mit
der Verarbeitung auf Dauer sicherzustellen;
c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und
den Zugang zu ihnen bei einem physischen oder technischen
Zwischenfall rasch wiederherzustellen;
d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und
Evaluierung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung.
2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere
die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden
sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —
Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von
beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die
übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann
als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des
vorliegenden Artikels genannten Anforderungen nachzuweisen.
4. Der Verantwortliche und der Auftragsverarbeiter unternehmen
Schritte, um sicherzustellen, dass ihnen unterstellte natürliche
Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf
Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind
nach dem Recht der Union oder der Mitgliedstaaten zur
Verarbeitung verpflichtet.
4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

46
dsgvo/ch04/ch04-art33.md
View File

@ -1,21 +1,49 @@
Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
--------------------------------------------------------------------------------------------------
1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
1. Im Falle einer Verletzung des Schutzes personenbezogener Daten
meldet der Verantwortliche unverzüglich und möglichst binnen 72
Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß
Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die
Verletzung des Schutzes personenbezogener Daten voraussichtlich
nicht zu einem Risiko für die Rechte und Freiheiten natürlicher
Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht
binnen 72 Stunden, so ist ihr eine Begründung für die
Verzögerung beizufügen.
2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes
personenbezogener Daten bekannt wird, meldet er diese dem
Verantwortlichen unverzüglich.
3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
a. eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten, soweit möglich mit Angabe der
Kategorien und der ungefähren Zahl der betroffenen Personen, der
betroffenen Kategorien und der ungefähren Zahl der betroffenen
personenbezogenen Datensätze;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder
einer sonstigen Anlaufstelle für weitere Informationen;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des
Schutzes personenbezogener Daten;
d. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
d. eine Beschreibung der von dem Verantwortlichen ergriffenen oder
vorgeschlagenen Maßnahmen zur Behebung der Verletzung des
Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen
zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
4. Wenn und soweit die Informationen nicht zur gleichen Zeit
bereitgestellt werden können, kann der Verantwortliche diese
Informationen ohne unangemessene weitere Verzögerung schrittweise
zur Verfügung stellen.
5. Der Verantwortliche dokumentiert Verletzungen des Schutzes
personenbezogener Daten einschließlich aller im Zusammenhang mit der
Verletzung des Schutzes personenbezogener Daten stehenden Fakten,
von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese
Dokumentation muss der Aufsichtsbehörde die Überprüfung der
Einhaltung der Bestimmungen dieses Artikels ermöglichen.
5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

43
dsgvo/ch04/ch04-art34.md
View File

@ -1,17 +1,46 @@
Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen
----------------------------------------------------------------------------------------------------------------
1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
1. Hat die Verletzung des Schutzes personenbezogener Daten
voraussichtlich ein hohes Risiko für die persönlichen Rechte und
Freiheiten natürlicher Personen zur Folge, so benachrichtigt der
Verantwortliche die betroffene Person unverzüglich von
der Verletzung.
2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person
beschreibt in klarer und einfacher Sprache die Art der Verletzung
des Schutzes personenbezogener Daten und enthält zumindest die in
Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen
und Maßnahmen.
3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht
erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
a. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
a. der Verantwortliche geeignete technische und organisatorische
Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf
die von der Verletzung betroffenen personenbezogenen Daten
angewandt wurden, insbesondere solche, durch die die
personenbezogenen Daten für alle Personen, die nicht zum Zugang
zu den personenbezogenen Daten befugt sind, unzugänglich gemacht
werden, etwa durch Verschlüsselung;
b. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
b. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt
hat, dass das hohe Risiko für die Rechte und Freiheiten der
betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit
nach nicht mehr besteht;
c. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
c. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In
diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder
eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen
Personen vergleichbar wirksam informiert werden.
4. Wenn der Verantwortliche die betroffene Person nicht bereits über
die Verletzung des Schutzes personenbezogener Daten benachrichtigt
hat, kann die Aufsichtsbehörde unter Berücksichtigung der
Wahrscheinlichkeit, mit der die Verletzung des Schutzes
personenbezogener Daten zu einem hohen Risiko führt, von dem
Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit
einem Beschluss feststellen, dass bestimmte der in Absatz 3
genannten Voraussetzungen erfüllt sind.
4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

103
dsgvo/ch04/ch04-art35.md
View File

@ -1,39 +1,106 @@
Artikel 35 - Datenschutz-Folgenabschätzung
------------------------------------------
1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen zur Folge, so führt der
Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit
ähnlich hohen Risiken kann eine einzige Abschätzung
vorgenommen werden.
2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
2. Der Verantwortliche holt bei der Durchführung einer
Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten,
sofern ein solcher benannt wurde, ein.
3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere
in folgenden Fällen erforderlich:
a. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
a. systematische und umfassende Bewertung persönlicher Aspekte
natürlicher Personen, die sich auf automatisierte Verarbeitung
einschließlich Profiling gründet und die ihrerseits als
Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber
natürlichen Personen entfalten oder diese in ähnlich erheblicher
Weise beeinträchtigen;
b. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
b. umfangreiche Verarbeitung besonderer Kategorien von
personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von
personenbezogenen Daten über strafrechtliche Verurteilungen und
Straftaten gemäß Artikel 10 oder
c. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
c. systematische umfangreiche Überwachung öffentlich
zugänglicher Bereiche.
4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge,
für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung
durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde
übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von
Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine
Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde
übermittelt diese Listen dem Ausschuss.
6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet
die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel
63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit
dem Angebot von Waren oder Dienstleistungen für betroffene Personen
oder der Beobachtung des Verhaltens dieser Personen in mehreren
Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr
personenbezogener Daten innerhalb der Union erheblich
beeinträchtigen könnten.
7. Die Folgenabschätzung enthält zumindest Folgendes:
7. Die Folgenabschätzung enthält zumindest Folgendes:
a. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
a. eine systematische Beschreibung der geplanten
Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
gegebenenfalls einschließlich der von dem Verantwortlichen
verfolgten berechtigten Interessen;
b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den Zweck;
c. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
c. eine Bewertung der Risiken für die Rechte und Freiheiten der
betroffenen Personen gemäß Absatz 1 und
d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen,
einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren,
durch die der Schutz personenbezogener Daten sichergestellt und
der Nachweis dafür erbracht wird, dass diese Verordnung
eingehalten wird, wobei den Rechten und berechtigten Interessen
der betroffenen Personen und sonstiger Betroffener Rechnung
getragen wird.
8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch
die zuständigen Verantwortlichen oder die zuständigen
Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von
diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die
Zwecke einer Datenschutz-Folgenabschätzung, gebührend
zu berücksichtigen.
9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
9. Der Verantwortliche holt gegebenenfalls den Standpunkt der
betroffenen Personen oder ihrer Vertreter zu der beabsichtigten
Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher
Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e
auf einer Rechtsgrundlage im Unionsrecht oder im Recht des
Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls
diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die
konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der
allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser
Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten
die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der
Mitgliedstaaten erforderlich ist, vor den betreffenden
Verarbeitungstätigkeiten eine solche
Folgenabschätzung durchzuführen.
11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung
durch, um zu bewerten, ob die Verarbeitung gemäß der
Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt
zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen
verbundenen Risikos Änderungen eingetreten sind.
11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

59
dsgvo/ch04/ch04-art36.md
View File

@ -1,25 +1,62 @@
Artikel 36 - Vorherige Konsultation
-----------------------------------
1. Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
1. Der Verantwortliche konsultiert vor der Verarbeitung die
Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß
Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur
Folge hätte, sofern der Verantwortliche keine Maßnahmen zur
Eindämmung des Risikos trifft.
2. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
2. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante
Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung
stünde, insbesondere weil der Verantwortliche das Risiko nicht
ausreichend ermittelt oder nicht ausreichend eingedämmt hat,
unterbreitet sie dem Verantwortlichen und gegebenenfalls dem
Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen
nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche
Empfehlungen und kann ihre in Artikel 58 genannten
Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der
Komplexität der geplanten Verarbeitung um sechs Wochen
verlängert werden. Die Aufsichtsbehörde unterrichtet den
Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über
eine solche Fristverlängerung innerhalb eines Monats nach Eingang
des Antrags auf Konsultation zusammen mit den Gründen für
die Verzögerung. Diese Fristen können ausgesetzt werden, bis die
Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten
Informationen erhalten hat.
3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer
Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
a. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
a. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des
Verantwortlichen, der gemeinsam Verantwortlichen und der an der
Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei
einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
b. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
b. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
c. die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
c. die zum Schutz der Rechte und Freiheiten der betroffenen
Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und
Garantien;
d. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
d. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
e. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
e. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
f. alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
f. alle sonstigen von der Aufsichtsbehörde
angeforderten Informationen.
4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen.
4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der
Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu
erlassende Gesetzgebungsmaßnahmen oder von auf solchen
Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die
Verarbeitung betreffen.
5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der
Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur
Erfüllung einer im öffentlichen Interesse liegenden Aufgabe,
einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit
und der öffentlichen Gesundheit, die Aufsichtsbehörde zu
konsultieren und deren vorherige Genehmigung einzuholen.
5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

55
dsgvo/ch04/ch04-art37.md
View File

@ -1,23 +1,58 @@
Artikel 37 - Benennung eines Datenschutzbeauftragten
----------------------------------------------------
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden
Fall einen Datenschutzbeauftragten, wenn
a. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
a. die Verarbeitung von einer Behörde oder öffentlichen Stelle
durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen
ihrer justiziellen Tätigkeit handeln,
b. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
b. die Kerntätigkeit des Verantwortlichen oder des
Auftragsverarbeiters in der Durchführung von
Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres
Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und
systematische Überwachung von betroffenen Personen erforderlich
machen, oder
c. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
c. die Kerntätigkeit des Verantwortlichen oder des
Auftragsverarbeiters in der umfangreichen Verarbeitung
besonderer Kategorien von Daten gemäß Artikel 9 oder von
personenbezogenen Daten über strafrechtliche Verurteilungen und
Straftaten gemäß Artikel 10 besteht.
2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
2. Eine Unternehmensgruppe darf einen gemeinsamen
Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus
der Datenschutzbeauftragte leicht erreicht werden kann.
3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter
um eine Behörde oder öffentliche Stelle handelt, kann für mehrere
solcher Behörden oder Stellen unter Berücksichtigung ihrer
Organisationsstruktur und ihrer Größe ein gemeinsamer
Datenschutzbeauftragter benannt werden.
4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
4. In anderen als den in Absatz 1 genannten Fällen können der
Verantwortliche oder der Auftragsverarbeiter oder Verbände und
andere Vereinigungen, die Kategorien von Verantwortlichen oder
Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten
benennen; falls dies nach dem Recht der Union oder der
Mitgliedstaaten vorgeschrieben ist, müssen sie einen
solchen benennen. Der Datenschutzbeauftragte kann für derartige
Verbände und andere Vereinigungen, die Verantwortliche oder
Auftragsverarbeiter vertreten, handeln.
5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen
Qualifikation und insbesondere des Fachwissens benannt, das er auf
dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt,
sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in
Artikel 39 genannten Aufgaben.
6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen
oder des Auftragsverarbeiters sein oder seine Aufgaben auf der
Grundlage eines Dienstleistungsvertrags erfüllen.
7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die
Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der
Aufsichtsbehörde mit.
7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

36
dsgvo/ch04/ch04-art38.md
View File

@ -1,15 +1,39 @@
Artikel 38 - Stellung des Datenschutzbeauftragten
-------------------------------------------------
1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass
der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit
dem Schutz personenbezogener Daten zusammenhängenden Fragen
eingebunden wird.
2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den
Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß
Artikel 39, indem sie die für die Erfüllung dieser Aufgaben
erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten
und Verarbeitungsvorgängen sowie die zur Erhaltung seines
Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass
der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine
Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der
Datenschutzbeauftragte darf von dem Verantwortlichen oder dem
Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht
abberufen oder benachteiligt werden. Der Datenschutzbeauftragte
berichtet unmittelbar der höchsten Managementebene des
Verantwortlichen oder des Auftragsverarbeiters.
4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit
der Verarbeitung ihrer personenbezogenen Daten und mit der
Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang
stehenden Fragen zu Rate ziehen.
5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der
Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der
Geheimhaltung oder der Vertraulichkeit gebunden.
6. Der Datenschutzbeauftragte kann andere Aufgaben und
Pflichten wahrnehmen. Der Verantwortliche oder der
Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und
Pflichten nicht zu einem Interessenkonflikt führen.
6. Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

33
dsgvo/ch04/ch04-art39.md
View File

@ -1,17 +1,36 @@
Artikel 39 - Aufgaben des Datenschutzbeauftragten
-------------------------------------------------
1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
a. Unterrichtung und Beratung des Verantwortlichen oder des
Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen
durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung
sowie nach sonstigen Datenschutzvorschriften der Union bzw. der
Mitgliedstaaten;
b. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
b. Überwachung der Einhaltung dieser Verordnung, anderer
Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
der Strategien des Verantwortlichen oder des
Auftragsverarbeiters für den Schutz personenbezogener Daten
einschließlich der Zuweisung von Zuständigkeiten, der
Sensibilisierung und Schulung der an den Verarbeitungsvorgängen
beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c. Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
c. Beratung — auf Anfrage — im Zusammenhang mit der
Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
gemäß Artikel 35;
d. Zusammenarbeit mit der Aufsichtsbehörde;
d. Zusammenarbeit mit der Aufsichtsbehörde;
e. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
e. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der
Verarbeitung zusammenhängenden Fragen, einschließlich der
vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls
Beratung zu allen sonstigen Fragen.
2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben
dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend
Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke
der Verarbeitung berücksichtigt.
2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

121
dsgvo/ch04/ch04-art40.md
View File

@ -1,47 +1,124 @@
Artikel 40 - Verhaltensregeln
-----------------------------
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die
Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach
Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und
der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und
mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser
Verordnung beitragen sollen.
2. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
2. Verbände und andere Vereinigungen, die Kategorien von
Verantwortlichen oder Auftragsverarbeitern vertreten, können
Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen
die Anwendung dieser Verordnung beispielsweise zu dem Folgenden
präzisiert wird:
a. faire und transparente Verarbeitung;
a. faire und transparente Verarbeitung;
b. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
b. die berechtigten Interessen des Verantwortlichen in bestimmten
Zusammenhängen;
c. Erhebung personenbezogener Daten;
c. Erhebung personenbezogener Daten;
d. Pseudonymisierung personenbezogener Daten;
d. Pseudonymisierung personenbezogener Daten;
e. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
e. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
f. Ausübung der Rechte betroffener Personen;
f. Ausübung der Rechte betroffener Personen;
g. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
g. Unterrichtung und Schutz von Kindern und Art und Weise, in der
die Einwilligung des Trägers der elterlichen Verantwortung für
das Kind einzuholen ist;
h. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
h. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die
Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
i. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
i. die Meldung von Verletzungen des Schutzes personenbezogener
Daten an Aufsichtsbehörden und die Benachrichtigung der
betroffenen Person von solchen Verletzungen des Schutzes
personenbezogener Daten;
j. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
j. die Übermittlung personenbezogener Daten an Drittländer oder an
internationale Organisationen oder
k. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
k. außergerichtliche Verfahren und sonstige
Streitbeilegungsverfahren zur Beilegung von Streitigkeiten
zwischen Verantwortlichen und betroffenen Personen im
Zusammenhang mit der Verarbeitung, unbeschadet der Rechte
betroffener Personen gemäß den Artikeln 77 und 79.
3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden
Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln,
die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und
gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit
besitzen, können auch von Verantwortlichen oder
Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese
Verordnung fallen, eingehalten werden, um geeignete Garantien im
Rahmen der Übermittlung personenbezogener Daten an Drittländer oder
internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2
Buchstabe e zu bieten. Diese Verantwortlichen oder
Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger
rechtlich bindender Instrumente die verbindliche und durchsetzbare
Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im
Hinblick auf die Rechte der betroffenen Personen.
4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen
Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten
Stelle ermöglichen, die obligatorische Überwachung der Einhaltung
ihrer Bestimmungen durch die Verantwortlichen oder die
Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln
verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse
der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden
Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder
bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den
Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder
Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55
zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber
ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren
Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und
genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu
deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass
er ausreichende geeignete Garantien bietet.
6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie.
6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der
Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung
genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht
auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt
die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und
veröffentlicht sie.
7. Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 dieses Artikels — geeignete Garantien vorsieht.
7. Bezieht sich der Entwurf der Verhaltensregeln auf
Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die
nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf
der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder
Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem
Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der
Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung
mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3
dieses Artikels — geeignete Garantien vorsieht.
8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission.
8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der
Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder
Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach
Absatz 3 — geeignete Garantien vorsieht, so übermittelt der
Ausschuss seine Stellungnahme der Kommission.
9. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
9. Die Kommission kann im Wege von Durchführungsrechtsakten
beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten
Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung
allgemeine Gültigkeit in der Union besitzen. Diese
Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel
93 Absatz 2 erlassen.
10. Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
10. Die Kommission trägt dafür Sorge, dass die genehmigten
Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit
zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren
genehmigte Änderungen oder Erweiterungen in ein Register auf und
veröffentlicht sie in geeigneter Weise.
11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.

57
dsgvo/ch04/ch04-art41.md
View File

@ -1,23 +1,60 @@
Artikel 41 - Überwachung der genehmigten Verhaltensregeln
---------------------------------------------------------
1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde.
1. Unbeschadet der Aufgaben und Befugnisse der zuständigen
Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung
der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer
Stelle durchgeführt werden, die über das geeignete Fachwissen
hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die
von der zuständigen Aufsichtsbehörde zu diesem Zweck
akkreditiert wurde.
2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der
Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;
a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des
Gegenstands der Verhaltensregeln zur Zufriedenheit der
zuständigen Aufsichtsbehörde nachgewiesen hat;
b. Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
b. Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten,
ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln
anwenden können, die Einhaltung der Verhaltensregeln durch die
Verantwortlichen und Auftragsverarbeiter zu überwachen und die
Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
c. Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und
c. Verfahren und Strukturen festgelegt hat, mit denen sie
Beschwerden über Verletzungen der Verhaltensregeln oder über die
Art und Weise, in der die Verhaltensregeln von dem
Verantwortlichen oder dem Auftragsverarbeiter angewendet werden
oder wurden, nachgeht und diese Verfahren und Strukturen für
betroffene Personen und die Öffentlichkeit transparent macht,
und
d. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
d. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
hat, dass ihre Aufgaben und Pflichten nicht zu einem
Interessenkonflikt führen.
3. Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
3. Die zuständige Aufsichtsbehörde übermittelt den Entwurf der
Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß
dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
4. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung.
4. Unbeschadet der Aufgaben und Befugnisse der zuständigen
Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift
eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im
Falle einer Verletzung der Verhaltensregeln durch einen
Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen,
einschließlich eines vorläufigen oder endgültigen Ausschlusses des
Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln.
Sie unterrichtet die zuständige Aufsichtsbehörde über solche
Maßnahmen und deren Begründung.
5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer
Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre
Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die
Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung
vereinbar sind.
6. Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder
öffentliche Stellen.
6. Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.

63
dsgvo/ch04/ch04-art42.md
View File

@ -1,19 +1,66 @@
Artikel 42 - Zertifizierung
---------------------------
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die
Kommission fördern insbesondere auf Unionsebene die Einführung von
datenschutzspezifischen Zertifizierungsverfahren sowie von
Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen,
dass diese Verordnung bei Verarbeitungsvorgängen von
Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den
besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und
mittleren Unternehmen wird Rechnung getragen.
2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden
Verantwortlichen oder Auftragsverarbeiter können auch
datenschutzspezifische Zertifizierungsverfahren, Siegel oder
Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt
worden sind, vorgesehen werden, um nachzuweisen, dass die
Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht
unter diese Verordnung fallen, im Rahmen der Übermittlung
personenbezogener Daten an Drittländer oder internationale
Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f
geeignete Garantien bieten. Diese Verantwortlichen oder
Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger
rechtlich bindender Instrumente die verbindliche und durchsetzbare
Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im
Hinblick auf die Rechte der betroffenen Personen.
3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
3. Die Zertifizierung muss freiwillig und über ein transparentes
Verfahren zugänglich sein.
4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die
Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für
die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und
Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56
zuständig sind.
5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
5. Eine Zertifizierung nach diesem Artikel wird durch die
Zertifizierungsstellen nach Artikel 43 oder durch die zuständige
Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde
gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den
Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom
Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung,
dem Europäischen Datenschutzsiegel, führen.
6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm
durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft,
stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls
der zuständigen Aufsichtsbehörde alle für die Durchführung des
Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung
und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu
seinen Verarbeitungstätigkeiten.
7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
7. Die Zertifizierung wird einem Verantwortlichen oder einem
Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und
kann unter denselben Bedingungen verlängert werden, sofern die
einschlägigen Voraussetzungen weiterhin erfüllt werden. Die
Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen
nach Artikel 43 oder durch die zuständige Aufsichtsbehörde
widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht
oder nicht mehr erfüllt werden.
8. Der Ausschuss nimmt alle Zertifizierungsverfahren und
Datenschutzsiegel und -prüfzeichen in ein Register auf und
veröffentlicht sie in geeigneter Weise.
8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.

97
dsgvo/ch04/ch04-art43.md
View File

@ -1,35 +1,100 @@
Artikel 43 - Zertifizierungsstellen
-----------------------------------
1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde — damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
1. Unbeschadet der Aufgaben und Befugnisse der zuständigen
Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder
verlängern Zertifizierungsstellen, die über das geeignete Fachwissen
hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der
Aufsichtsbehörde — damit diese erforderlichenfalls von ihren
Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen
kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass
diese Zertifizierungsstellen von einer oder beiden der folgenden
Stellen akkreditiert werden:
a. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
a. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
b. der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
b. der nationalen Akkreditierungsstelle, die gemäß der
Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des
Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den
zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen
Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem genannten Absatz akkreditiert werden, wenn sie
2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem
genannten Absatz akkreditiert werden, wenn sie
a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des
Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen
Aufsichtsbehörde nachgewiesen haben;
b. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden, einzuhalten;
b. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5,
die von der gemäß Artikel 55 oder 56 zuständigen
Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss
genehmigt wurden, einzuhalten;
c. Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben;
c. Verfahren für die Erteilung, die regelmäßige Überprüfung und den
Widerruf der Datenschutzzertifizierung sowie der
Datenschutzsiegel und -prüfzeichen festgelegt haben;
d. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
d. Verfahren und Strukturen festgelegt haben, mit denen sie
Beschwerden über Verletzungen der Zertifizierung oder die Art
und Weise, in der die Zertifizierung von dem Verantwortlichen
oder dem Auftragsverarbeiter umgesetzt wird oder wurde,
nachgehen und diese Verfahren und Strukturen für betroffene
Personen und die Öffentlichkeit transparent machen, und
e. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
e. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
haben, dass ihre Aufgaben und Pflichten nicht zu einem
Interessenkonflikt führen.
3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.
3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1
und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55
oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von
dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach
Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese
Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008
und in den technischen Vorschriften, in denen die Methoden und
Verfahren der Zertifizierungsstellen beschrieben werden,
vorgesehen sind.
4. Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
4. Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der
Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter
für die Einhaltung dieser Verordnung hat, für die angemessene
Bewertung, die der Zertifizierung oder dem Widerruf einer
Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung
wird für eine Höchstdauer von fünf Jahren erteilt und kann unter
denselben Bedingungen verlängert werden, sofern die
Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen
Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der
beantragten Zertifizierung mit.
6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.
6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die
Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde
in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden
übermitteln diese Anforderungen und Kriterien auch dem Ausschuss.
Der Ausschuss nimmt alle Zertifizierungsverfahren und
Datenschutzsiegel in ein Register auf und veröffentlicht sie in
geeigneter Weise.
7. Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
7. Unbeschadet des Kapitels VIII widerruft die zuständige
Aufsichtsbehörde oder die nationale Akkreditierungsstelle die
Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die
Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt
sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die
nicht mit dieser Verordnung vereinbar sind.
8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind.
8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92
delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen,
die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen
Zertifizierungsverfahren zu berücksichtigen sind.
9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen
technische Standards für Zertifizierungsverfahren und
Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung
und Anerkennung dieser Zertifizierungsverfahren und
Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese
Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2
genannten Prüfverfahren erlassen.
9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.

13
dsgvo/ch05/ch05-art44.md
View File

@ -1,4 +1,15 @@
Artikel 44 - Allgemeine Grundsätze der Datenübermittlung
--------------------------------------------------------
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet
werden oder nach ihrer Übermittlung an ein Drittland oder eine
internationale Organisation verarbeitet werden sollen, ist nur zulässig,
wenn der Verantwortliche und der Auftragsverarbeiter die in diesem
Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen
Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für
die etwaige Weiterübermittlung personenbezogener Daten durch das
betreffende Drittland oder die betreffende internationale Organisation
an ein anderes Drittland oder eine andere internationale Organisation.
Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen,
dass das durch diese Verordnung gewährleistete Schutzniveau für
natürliche Personen nicht untergraben wird.

108
dsgvo/ch05/ch05-art45.md
View File

@ -1,29 +1,111 @@
Artikel 45 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
---------------------------------------------------------------------------------
1. Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.
1. Eine Übermittlung personenbezogener Daten an ein Drittland oder eine
internationale Organisation darf vorgenommen werden, wenn die
Kommission beschlossen hat, dass das betreffende Drittland, ein
Gebiet oder ein oder mehrere spezifische Sektoren in diesem
Drittland oder die betreffende internationale Organisation ein
angemessenes Schutzniveau bietet. Eine solche Datenübermittlung
bedarf keiner besonderen Genehmigung.
2. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende:
2. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus
berücksichtigt die Kommission insbesondere das Folgende:
a. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
a. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und
Grundfreiheiten, die in dem betreffenden Land bzw. bei der
betreffenden internationalen Organisation geltenden
einschlägigen Rechtsvorschriften sowohl allgemeiner als auch
sektoraler Art — auch in Bezug auf öffentliche Sicherheit,
Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang
der Behörden zu personenbezogenen Daten — sowie die Anwendung
dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln
und Sicherheitsvorschriften einschließlich der Vorschriften für
die Weiterübermittlung personenbezogener Daten an ein anderes
Drittland bzw. eine andere internationale Organisation, die
Rechtsprechung sowie wirksame und durchsetzbare Rechte der
betroffenen Person und wirksame verwaltungsrechtliche und
gerichtliche Rechtsbehelfe für betroffene Personen, deren
personenbezogene Daten übermittelt werden,
b. die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
b. die Existenz und die wirksame Funktionsweise einer oder mehrerer
unabhängiger Aufsichtsbehörden in dem betreffenden Drittland
oder denen eine internationale Organisation untersteht und die
für die Einhaltung und Durchsetzung der Datenschutzvorschriften,
einschließlich angemessener Durchsetzungsbefugnisse, für die
Unterstützung und Beratung der betroffenen Personen bei der
Ausübung ihrer Rechte und für die Zusammenarbeit mit den
Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
c. die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
c. die von dem betreffenden Drittland bzw. der betreffenden
internationalen Organisation eingegangenen internationalen
Verpflichtungen oder andere Verpflichtungen, die sich aus
rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus
der Teilnahme des Drittlands oder der internationalen
Organisation an multilateralen oder regionalen Systemen
insbesondere in Bezug auf den Schutz personenbezogener
Daten ergeben.
3. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
3. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die
Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass
ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren
in einem Drittland oder eine internationale Organisation ein
angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden
Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus
für eine regelmäßige Überprüfung, die mindestens alle vier Jahre
erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem
Drittland oder bei der internationalen Organisation Rechnung
getragen wird. Im Durchführungsrechtsakt werden der territoriale und
der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2
Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw.
genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt
wird gemäß dem in Artikel 93 Absatz 2 genannten
Prüfverfahren erlassen.
4. Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten.
4. Die Kommission überwacht fortlaufend die Entwicklungen in
Drittländern und bei internationalen Organisationen, die die
Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen
Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG
erlassenen Feststellungen beeinträchtigen könnten.
5. Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
5. Die Kommission widerruft, ändert oder setzt die in Absatz 3 des
vorliegenden Artikels genannten Beschlüsse im Wege von
Durchführungsrechtsakten aus, soweit dies nötig ist und ohne
rückwirkende Kraft, soweit entsprechende Informationen —
insbesondere im Anschluss an die in Absatz 3 des vorliegenden
Artikels genannte Überprüfung — dahingehend vorliegen, dass ein
Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in
einem Drittland oder eine internationale Organisation kein
angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden
Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden
gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.
In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die
Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort
geltende Durchführungsrechtsakte.
1. Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat.
1. Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw.
der betreffenden internationalen Organisation auf, um Abhilfe für
die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen
Beschluss geführt hat.
2. Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt.
2. Übermittlungen personenbezogener Daten an das betreffende Drittland,
das Gebiet oder einen oder mehrere spezifische Sektoren in diesem
Drittland oder an die betreffende internationale Organisation gemäß
den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5
des vorliegenden Artikels nicht berührt.
3. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.
3. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union
und auf ihrer Website eine Liste aller Drittländer beziehungsweise
Gebiete und spezifischen Sektoren in einem Drittland und aller
internationalen Organisationen, für die sie durch Beschluss
festgestellt hat, dass sie ein angemessenes Schutzniveau
gewährleisten bzw. nicht mehr gewährleisten.
4. Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der
Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in
Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen
3 oder 5 des vorliegenden Artikels erlassenen Beschluss der
Kommission geändert, ersetzt oder aufgehoben werden.
4. Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

65
dsgvo/ch05/ch05-art46.md
View File

@ -1,29 +1,68 @@
Artikel 46 - Datenübermittlung vorbehaltlich geeigneter Garantien
-----------------------------------------------------------------
1. Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
1. Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein
Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten
an ein Drittland oder eine internationale Organisation nur
übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter
geeignete Garantien vorgesehen hat und sofern den betroffenen
Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur
Verfügung stehen.
2. Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
2. Die in Absatz 1 genannten geeigneten Garantien können, ohne dass
hierzu eine besondere Genehmigung einer Aufsichtsbehörde
erforderlich wäre, bestehen in
a. einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
a. einem rechtlich bindenden und durchsetzbaren Dokument zwischen
den Behörden oder öffentlichen Stellen,
b. verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
b. verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
c. Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
c. Standarddatenschutzklauseln, die von der Kommission gemäß dem
Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
d. von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
d. von einer Aufsichtsbehörde angenommenen
Standarddatenschutzklauseln, die von der Kommission gemäß dem
Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
e. genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
e. genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit
rechtsverbindlichen und durchsetzbaren Verpflichtungen des
Verantwortlichen oder des Auftragsverarbeiters in dem Drittland
zur Anwendung der geeigneten Garantien, einschließlich in Bezug
auf die Rechte der betroffenen Personen, oder
f. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
f. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42
zusammen mit rechtsverbindlichen und durchsetzbaren
Verpflichtungen des Verantwortlichen oder des
Auftragsverarbeiters in dem Drittland zur Anwendung der
geeigneten Garantien, einschließlich in Bezug auf die Rechte der
betroffenen Personen.
3. Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in
3. Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde
können die geeigneten Garantien gemäß Absatz 1 auch insbesondere
bestehen in
a. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
a. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem
Auftragsverarbeiter und dem Verantwortlichen, dem
Auftragsverarbeiter oder dem Empfänger der personenbezogenen
Daten im Drittland oder der internationalen Organisation
vereinbart wurden, oder
b. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
b. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden
oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und
wirksame Rechte für die betroffenen Personen einschließen.
4. Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
4. Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63
an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
5. Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der
Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte
Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls
von dieser Aufsichtsbehörde geändert, ersetzt oder
aufgehoben werden. Von der Kommission auf der Grundlage von Artikel
26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben
so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz
2 des vorliegenden Artikels erlassenen Beschluss der Kommission
geändert, ersetzt oder aufgehoben werden.
5. Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.

126
dsgvo/ch05/ch05-art47.md
View File

@ -1,43 +1,129 @@
Artikel 47 - Verbindliche interne Datenschutzvorschriften
---------------------------------------------------------
1. Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese
1. Die zuständige Aufsichtsbehörde genehmigt gemäß dem
Kohärenzverfahren nach Artikel 63 verbindliche interne
Datenschutzvorschriften, sofern diese
a. rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt,
a. rechtlich bindend sind, für alle betreffenden Mitglieder der
Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen
Mitgliedern durchgesetzt werden, und dies auch für ihre
Beschäftigten gilt,
b. den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und
b. den betroffenen Personen ausdrücklich durchsetzbare Rechte in
Bezug auf die Verarbeitung ihrer personenbezogenen Daten
übertragen und
c. die in Absatz 2 festgelegten Anforderungen erfüllen.
c. die in Absatz 2 festgelegten Anforderungen erfüllen.
2. Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:
2. Die verbindlichen internen Datenschutzvorschriften nach Absatz 1
enthalten mindestens folgende Angaben:
a. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
a. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
und jedes ihrer Mitglieder;
b. die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
b. die betreffenden Datenübermittlungen oder Reihen von
Datenübermittlungen einschließlich der betreffenden Arten
personenbezogener Daten, Art und Zweck der Datenverarbeitung,
Art der betroffenen Personen und das betreffende Drittland
beziehungsweise die betreffenden Drittländer;
c. interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
c. interne und externe Rechtsverbindlichkeit der betreffenden
internen Datenschutzvorschriften;
d. die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
d. die Anwendung der allgemeinen Datenschutzgrundsätze,
insbesondere Zweckbindung, Datenminimierung, begrenzte
Speicherfristen, Datenqualität, Datenschutz durch
Technikgestaltung und durch datenschutzfreundliche
Voreinstellungen, Rechtsgrundlage für die Verarbeitung,
Verarbeitung besonderer Kategorien von personenbezogenen Daten,
Maßnahmen zur Sicherstellung der Datensicherheit und
Anforderungen für die Weiterübermittlung an nicht an diese
internen Datenschutzvorschriften gebundene Stellen;
e. die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
e. die Rechte der betroffenen Personen in Bezug auf die
Verarbeitung und die diesen offenstehenden Mittel zur
Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer
ausschließlich auf einer automatisierten Verarbeitung —
einschließlich Profiling — beruhenden Entscheidung nach Artikel
22 unterworfen zu werden sowie des in Artikel 79 niedergelegten
Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde
beziehungsweise auf Einlegung eines Rechtsbehelfs bei den
zuständigen Gerichten der Mitgliedstaaten und im Falle einer
Verletzung der verbindlichen internen Datenschutzvorschriften
Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
f. die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
f. die von dem in einem Mitgliedstaat niedergelassenen
Verantwortlichen oder Auftragsverarbeiter übernommene Haftung
für etwaige Verstöße eines nicht in der Union niedergelassenen
betreffenden Mitglieds der Unternehmensgruppe gegen die
verbindlichen internen Datenschutzvorschriften; der
Verantwortliche oder der Auftragsverarbeiter ist nur dann
teilweise oder vollständig von dieser Haftung befreit, wenn er
nachweist, dass der Umstand, durch den der Schaden eingetreten
ist, dem betreffenden Mitglied nicht zur Last gelegt werden
kann;
g. die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
g. die Art und Weise, wie die betroffenen Personen über die
Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen
internen Datenschutzvorschriften und insbesondere über die unter
den Buchstaben d, e und f dieses Absatzes genannten Aspekte
informiert werden;
h. die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
h. die Aufgaben jedes gemäß Artikel 37 benannten
Datenschutzbeauftragten oder jeder anderen Person oder
Einrichtung, die mit der Überwachung der Einhaltung der
verbindlichen internen Datenschutzvorschriften in der
Unternehmensgruppe oder Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der
Überwachung der Schulungsmaßnahmen und dem Umgang mit
Beschwerden befasst ist;
i. die Beschwerdeverfahren;
i. die Beschwerdeverfahren;
j. die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
j. die innerhalb der Unternehmensgruppe oder Gruppe von
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
bestehenden Verfahren zur Überprüfung der Einhaltung der
verbindlichen internen Datenschutzvorschriften. Derartige
Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur
Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der
betroffenen Person. Die Ergebnisse derartiger Überprüfungen
sollten der in Buchstabe h genannten Person oder Einrichtung
sowie dem Verwaltungsrat des herrschenden Unternehmens einer
Unternehmensgruppe oder der Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und
sollten der zuständigen Aufsichtsbehörde auf Anfrage zur
Verfügung gestellt werden;
k. die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
k. die Verfahren für die Meldung und Erfassung von Änderungen der
Vorschriften und ihre Meldung an die Aufsichtsbehörde;
l. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
l. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde,
die die Befolgung der Vorschriften durch sämtliche Mitglieder
der Unternehmensgruppe oder Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten,
insbesondere durch Offenlegung der Ergebnisse von Überprüfungen
der unter Buchstabe j genannten Maßnahmen gegenüber der
Aufsichtsbehörde;
m. die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
m. die Meldeverfahren zur Unterrichtung der zuständigen
Aufsichtsbehörde über jegliche für ein Mitglied der
Unternehmensgruppe oder Gruppe von Unternehmen, die eine
gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland
geltenden rechtlichen Bestimmungen, die sich nachteilig auf die
Garantien auswirken könnten, die die verbindlichen internen
Datenschutzvorschriften bieten, und
n. geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.
n. geeignete Datenschutzschulungen für Personal mit ständigem oder
regelmäßigem Zugang zu personenbezogenen Daten.
3. Die Kommission kann das Format und die Verfahren für den
Informationsaustausch über verbindliche interne
Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen
Verantwortlichen, Auftragsverarbeitern und
Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden
gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
3. Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.

10
dsgvo/ch05/ch05-art48.md
View File

@ -1,4 +1,12 @@
Artikel 48 - Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
-------------------------------------------------------------------------------
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
Jegliches Urteil eines Gerichts eines Drittlands und jegliche
Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von
einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung
oder Offenlegung personenbezogener Daten verlangt wird, dürfen
unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel
jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf
eine in Kraft befindliche internationale Übereinkunft wie etwa ein
Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union
oder einem Mitgliedstaat gestützt sind.

92
dsgvo/ch05/ch05-art49.md
View File

@ -1,31 +1,95 @@
Artikel 49 - Ausnahmen für bestimmte Fälle
------------------------------------------
1. Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
1. Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3
vorliegt noch geeignete Garantien nach Artikel 46, einschließlich
verbindlicher interner Datenschutzvorschriften, bestehen, ist eine
Übermittlung oder eine Reihe von Übermittlungen personenbezogener
Daten an ein Drittland oder an eine internationale Organisation nur
unter einer der folgenden Bedingungen zulässig:
a. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
a. die betroffene Person hat in die vorgeschlagene
Datenübermittlung ausdrücklich eingewilligt, nachdem sie über
die für sie bestehenden möglichen Risiken derartiger
Datenübermittlungen ohne Vorliegen eines
Angemessenheitsbeschlusses und ohne geeignete Garantien
unterrichtet wurde,
b. die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
b. die Übermittlung ist für die Erfüllung eines Vertrags zwischen
der betroffenen Person und dem Verantwortlichen oder zur
Durchführung von vorvertraglichen Maßnahmen auf Antrag der
betroffenen Person erforderlich,
c. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
c. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im
Interesse der betroffenen Person von dem Verantwortlichen mit
einer anderen natürlichen oder juristischen Person geschlossenen
Vertrags erforderlich,
d. die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
d. die Übermittlung ist aus wichtigen Gründen des öffentlichen
Interesses notwendig,
e. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
e. die Übermittlung ist zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen erforderlich,
f. die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
f. die Übermittlung ist zum Schutz lebenswichtiger Interessen der
betroffenen Person oder anderer Personen erforderlich, sofern
die betroffene Person aus physischen oder rechtlichen Gründen
außerstande ist, ihre Einwilligung zu geben,
g. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
g. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht
der Union oder der Mitgliedstaaten zur Information der
Öffentlichkeit bestimmt ist und entweder der gesamten
Öffentlichkeit oder allen Personen, die ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offensteht, aber
nur soweit die im Recht der Union oder der Mitgliedstaaten
festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall
gegeben sind.
Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 — einschließlich der verbindlichen internen Datenschutzvorschriften — gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.
Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder
46 — einschließlich der verbindlichen internen
Datenschutzvorschriften — gestützt werden könnte und keine der
Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz
anwendbar ist, darf eine Übermittlung an ein Drittland oder eine
internationale Organisation nur dann erfolgen, wenn die Übermittlung
nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen
Personen betrifft, für die Wahrung der zwingenden berechtigten
Interessen des Verantwortlichen erforderlich ist, sofern die
Interessen oder die Rechte und Freiheiten der betroffenen Person
nicht überwiegen, und der Verantwortliche alle Umstände der
Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung
geeignete Garantien in Bezug auf den Schutz personenbezogener Daten
vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von
der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die
betroffene Person über die Übermittlung und seine zwingenden
berechtigten Interessen; dies erfolgt zusätzlich zu den der
betroffenen Person nach den Artikeln 13 und 14
mitgeteilten Informationen.
2. Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
2. Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen
nicht die Gesamtheit oder ganze Kategorien der im Register
enthaltenen personenbezogenen Daten umfassen. Wenn das Register der
Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf
die Übermittlung nur auf Anfrage dieser Personen oder nur dann
erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
3. Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
3. Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1
Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung
ihrer hoheitlichen Befugnisse durchführen.
4. Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein.
4. Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1
Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats,
dem der Verantwortliche unterliegt, anerkannt sein.
5. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.
5. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht
oder im Recht der Mitgliedstaaten aus wichtigen Gründen des
öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung
bestimmter Kategorien von personenbezogenen Daten an Drittländer
oder internationale Organisationen vorgesehen werden. Die
Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.
6. Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm
vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne
des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der
Dokumentation gemäß Artikel 30.
6. Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30.

25
dsgvo/ch05/ch05-art50.md
View File

@ -1,12 +1,27 @@
Artikel 50 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten
-----------------------------------------------------------------------------
In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur
In Bezug auf Drittländer und internationale Organisationen treffen die
Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur
a. Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
a. Entwicklung von Mechanismen der internationalen Zusammenarbeit,
durch die die wirksame Durchsetzung von Rechtsvorschriften zum
Schutz personenbezogener Daten erleichtert wird,
b. gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
b. gegenseitigen Leistung internationaler Amtshilfe bei der
Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener
Daten, unter anderem durch Meldungen, Beschwerdeverweisungen,
Amtshilfe bei Untersuchungen und Informationsaustausch, sofern
geeignete Garantien für den Schutz personenbezogener Daten und
anderer Grundrechte und Grundfreiheiten bestehen,
c. Einbindung maßgeblicher Interessenträger in Diskussionen und
Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei
der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener
Daten dienen,
d. Förderung des Austauschs und der Dokumentation von
Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten
einschließlich Zuständigkeitskonflikten mit Drittländern.
c. Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
d. Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.

24
dsgvo/ch06/ch06-art51.md
View File

@ -1,11 +1,27 @@
Artikel 51 - Aufsichtsbehörde
-----------------------------
1. Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
1. Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige
Behörden für die Überwachung der Anwendung dieser Verordnung
zuständig sind, damit die Grundrechte und Grundfreiheiten
natürlicher Personen bei der Verarbeitung geschützt werden und der
freie Verkehr personenbezogener Daten in der Union erleichtert wird
(im Folgenden „Aufsichtsbehörde“).
2. Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
2. Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen
Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck
arbeiten die Aufsichtsbehörden untereinander sowie mit der
Kommission gemäß Kapitel VII zusammen.
3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.
3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so
bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese
Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem
sichergestellt wird, dass die anderen Behörden die Regeln für das
Kohärenzverfahren nach Artikel 63 einhalten.
4. Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018
die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt,
sowie unverzüglich alle folgenden Änderungen dieser
Vorschriften mit.
4. Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.

35
dsgvo/ch06/ch06-art52.md
View File

@ -1,15 +1,38 @@
Artikel 52 - Unabhängigkeit
---------------------------
1. Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig.
1. Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und
bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung
völlig unabhängig.
2. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
2. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen
bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse
gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung
von außen und ersuchen weder um Weisung noch nehmen sie
Weisungen entgegen.
3. Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.
3. Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von
allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden
Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem
Amt nicht zu vereinbarende entgeltliche oder unentgeltliche
Tätigkeit aus.
4. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
4. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit
den personellen, technischen und finanziellen Ressourcen,
Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie
benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der
Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv
wahrnehmen zu können.
5. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.
5. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr
eigenes Personal auswählt und hat, das ausschließlich der Leitung
des Mitglieds oder der Mitglieder der betreffenden
Aufsichtsbehörde untersteht.
6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer
Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht
beeinträchtigt und dass sie über eigene, öffentliche, jährliche
Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder
nationalen Haushalts sein können.
6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.

27
dsgvo/ch06/ch06-art53.md
View File

@ -1,19 +1,30 @@
Artikel 53 - Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
---------------------------------------------------------------------------
1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar
1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer
Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt
wird, und zwar
- vom Parlament,
- vom Parlament,
- von der Regierung,
- von der Regierung,
- vom Staatsoberhaupt oder
- vom Staatsoberhaupt oder
- von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird.
- von einer unabhängigen Stelle, die nach dem Recht des
Mitgliedstaats mit der Ernennung betraut wird.
2. Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen.
2. Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und
Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung
und Sachkunde insbesondere im Bereich des Schutzes personenbezogener
Daten verfügen.
3. Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats.
3. Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem
Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem
Recht des betroffenen Mitgliedstaats.
4. Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere
Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung
seiner Aufgaben nicht mehr erfüllt.
4. Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.

39
dsgvo/ch06/ch06-art54.md
View File

@ -1,19 +1,42 @@
Artikel 54 - Errichtung der Aufsichtsbehörde
--------------------------------------------
1. Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
1. Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
a. die Errichtung jeder Aufsichtsbehörde;
a. die Errichtung jeder Aufsichtsbehörde;
b. die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung zum Mitglied jeder Aufsichtsbehörde;
b. die erforderlichen Qualifikationen und sonstigen Voraussetzungen
für die Ernennung zum Mitglied jeder Aufsichtsbehörde;
c. die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde;
c. die Vorschriften und Verfahren für die Ernennung des Mitglieds
oder der Mitglieder jeder Aufsichtsbehörde;
d. die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist;
d. die Amtszeit des Mitglieds oder der Mitglieder jeder
Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für
die erste Amtszeit nach 24. Mai 2016, die für einen Teil der
Mitglieder kürzer sein kann, wenn eine zeitlich versetzte
Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde
notwendig ist;
e. die Frage, ob und — wenn ja — wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde wiederernannt werden können;
e. die Frage, ob und — wenn ja — wie oft das Mitglied oder die
Mitglieder jeder Aufsichtsbehörde wiederernannt werden können;
f. die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses.
f. die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder
der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die
Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen
während und nach der Amtszeit, die mit diesen Pflichten
unvereinbar sind, und die Regeln für die Beendigung
des Beschäftigungsverhältnisses.
2. Das Mitglied oder die Mitglieder und die Bediensteten jeder
Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der
Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise
Dienstzeit als auch nach deren Beendigung verpflichtet, über alle
vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer
Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind,
Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise
Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die
von natürlichen Personen gemeldeten Verstößen gegen
diese Verordnung.
2. Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung.

14
dsgvo/ch06/ch06-art55.md
View File

@ -1,9 +1,17 @@
Artikel 55 - Zuständigkeit
--------------------------
1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die
Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen
wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der
Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die
Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem
Fall findet Artikel 56 keine Anwendung.
3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die
von Gerichten im Rahmen ihrer justiziellen Tätigkeit
vorgenommenen Verarbeitungen.
3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.

43
dsgvo/ch06/ch06-art56.md
View File

@ -1,15 +1,46 @@
Artikel 56 - Zuständigkeit der federführenden Aufsichtsbehörde
--------------------------------------------------------------
1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.
1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der
Hauptniederlassung oder der einzigen Niederlassung des
Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren
nach Artikel 60 die zuständige federführende Aufsichtsbehörde für
die von diesem Verantwortlichen oder diesem Auftragsverarbeiter
durchgeführte grenzüberschreitende Verarbeitung.
2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.
2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig,
sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen
Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur
mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder
betroffene Personen nur ihres Mitgliedstaats
erheblich beeinträchtigt.
3. In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht.
3. In den in Absatz 2 des vorliegenden Artikels genannten Fällen
unterrichtet die Aufsichtsbehörde unverzüglich die federführende
Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von
drei Wochen nach der Unterrichtung entscheidet die federführende
Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach
Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der
Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat,
dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat
oder nicht.
4. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.
4. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu
befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die
Aufsichtsbehörde, die die federführende Aufsichtsbehörde
unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die
federführende Aufsichtsbehörde trägt diesem Entwurf bei der
Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3
weitestgehend Rechnung.
5. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.
5. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall
nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die
federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall
gemäß den Artikeln 61 und 62.
6. Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner
der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von
diesem Verantwortlichen oder diesem Auftragsverarbeiter
durchgeführten grenzüberschreitenden Verarbeitung.
6. Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.

111
dsgvo/ch06/ch06-art57.md
View File

@ -1,55 +1,114 @@
Artikel 57 - Aufgaben
---------------------
1. Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
1. Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss
jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a. die Anwendung dieser Verordnung überwachen und durchsetzen;
a. die Anwendung dieser Verordnung überwachen und durchsetzen;
b. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
b. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und
Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und
sie darüber aufklären. Besondere Beachtung finden dabei
spezifische Maßnahmen für Kinder;
c. im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
c. im Einklang mit dem Recht des Mitgliedsstaats das nationale
Parlament, die Regierung und andere Einrichtungen und Gremien
über legislative und administrative Maßnahmen zum Schutz der
Rechte und Freiheiten natürlicher Personen in Bezug auf die
Verarbeitung beraten;
d. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
d. die Verantwortlichen und die Auftragsverarbeiter für die ihnen
aus dieser Verordnung entstehenden Pflichten sensibilisieren;
e. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
e. auf Anfrage jeder betroffenen Person Informationen über die
Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung
stellen und gegebenenfalls zu diesem Zweck mit den
Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
f. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
f. sich mit Beschwerden einer betroffenen Person oder Beschwerden
einer Stelle, einer Organisation oder eines Verbandes gemäß
Artikel 80 befassen, den Gegenstand der Beschwerde in
angemessenem Umfang untersuchen und den Beschwerdeführer
innerhalb einer angemessenen Frist über den Fortgang und das
Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine
weitere Untersuchung oder Koordinierung mit einer anderen
Aufsichtsbehörde notwendig ist;
g. mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
g. mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch
Informationsaustausch, und ihnen Amtshilfe leisten, um die
einheitliche Anwendung und Durchsetzung dieser Verordnung zu
gewährleisten;
h. Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
h. Untersuchungen über die Anwendung dieser Verordnung durchführen,
auch auf der Grundlage von Informationen einer anderen
Aufsichtsbehörde oder einer anderen Behörde;
i. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
i. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den
Schutz personenbezogener Daten auswirken, insbesondere die
Entwicklung der Informations- und Kommunikationstechnologie und
der Geschäftspraktiken;
j. Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
j. Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und
des Artikels 46 Absatz 2 Buchstabe d festlegen;
k. eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
k. eine Liste der Verarbeitungsarten erstellen und führen, für die
gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung
durchzuführen ist;
l. Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
l. Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten
Verarbeitungsvorgänge leisten;
m. die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
m. die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1
fördern und zu diesen Verhaltensregeln, die ausreichende
Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen,
Stellungnahmen abgeben und sie billigen;
n. die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
n. die Einführung von Datenschutzzertifizierungsmechanismen und von
Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1
anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5
billigen;
o. gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
o. gegebenenfalls die nach Artikel 42 Absatz 7 erteilten
Zertifizierungen regelmäßig überprüfen;
p. die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen;
p. die Kriterien für die Akkreditierung einer Stelle für die
Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41
und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und
veröffentlichen;
q. die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
q. die Akkreditierung einer Stelle für die Überwachung der
Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer
Zertifizierungsstelle gemäß Artikel 43 vornehmen;
r. Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
r. Vertragsklauseln und Bestimmungen im Sinne des Artikels 46
Absatz 3 genehmigen;
s. verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
s. verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
t. Beiträge zur Tätigkeit des Ausschusses leisten;
t. Beiträge zur Tätigkeit des Ausschusses leisten;
u. interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
u. interne Verzeichnisse über Verstöße gegen diese Verordnung und
gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
v. jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
v. jede sonstige Aufgabe im Zusammenhang mit dem Schutz
personenbezogener Daten erfüllen.
2. Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
2. Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1
Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die
Bereitstellung eines Beschwerdeformulars, das auch elektronisch
ausgefüllt werden kann, ohne dass andere Kommunikationsmittel
ausgeschlossen werden.
3. Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
3. Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die
betroffene Person und gegebenenfalls für den
Datenschutzbeauftragten unentgeltlich.
4. Bei offenkundig unbegründeten oder — insbesondere im Fall von
häufiger Wiederholung — exzessiven Anfragen kann die
Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der
Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage
tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die
Beweislast für den offenkundig unbegründeten oder exzessiven
Charakter der Anfrage.
4. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

132
dsgvo/ch06/ch06-art58.md
View File

@ -1,67 +1,135 @@
Artikel 58 - Befugnisse
-----------------------
1. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
1. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
Untersuchungsbefugnisse, die es ihr gestatten,
a. den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
a. den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls
den Vertreter des Verantwortlichen oder des Auftragsverarbeiters
anzuweisen, alle Informationen bereitzustellen, die für die
Erfüllung ihrer Aufgaben erforderlich sind,
b. Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
b. Untersuchungen in Form von Datenschutzüberprüfungen
durchzuführen,
c. eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
c. eine Überprüfung der nach Artikel 42 Absatz 7 erteilten
Zertifizierungen durchzuführen,
d. den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
d. den Verantwortlichen oder den Auftragsverarbeiter auf einen
vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
e. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
e. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu
allen personenbezogenen Daten und Informationen, die zur
Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
f. gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
f. gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des
Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich
aller Datenverarbeitungsanlagen und -geräte, des
Verantwortlichen und des Auftragsverarbeiters zu erhalten.
2. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
2. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
Abhilfebefugnisse, die es ihr gestatten,
a. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
a. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen,
dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen
diese Verordnung verstoßen,
b. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
b. einen Verantwortlichen oder einen Auftragsverarbeiter zu
verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese
Verordnung verstoßen hat,
c. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
c. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen,
den Anträgen der betroffenen Person auf Ausübung der ihr nach
dieser Verordnung zustehenden Rechte zu entsprechen,
d. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
d. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen,
Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und
innerhalb eines bestimmten Zeitraums in Einklang mit dieser
Verordnung zu bringen,
e. den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
e. den Verantwortlichen anzuweisen, die von einer Verletzung des
Schutzes personenbezogener Daten betroffenen Person entsprechend
zu benachrichtigen,
f. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
f. eine vorübergehende oder endgültige Beschränkung der
Verarbeitung, einschließlich eines Verbots, zu verhängen,
g. die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
g. die Berichtigung oder Löschung von personenbezogenen Daten oder
die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und
18 und die Unterrichtung der Empfänger, an die diese
personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19
offengelegt wurden, über solche Maßnahmen anzuordnen,
h. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
h. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle
anzuweisen, eine gemäß den Artikel 42 und 43 erteilte
Zertifizierung zu widerrufen, oder die Zertifizierungsstelle
anzuweisen, keine Zertifizierung zu erteilen, wenn die
Voraussetzungen für die Zertifizierung nicht oder nicht mehr
erfüllt werden,
i. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
i. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder
anstelle von in diesem Absatz genannten Maßnahmen, je nach den
Umständen des Einzelfalls,
j. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
j. die Aussetzung der Übermittlung von Daten an einen Empfänger in
einem Drittland oder an eine internationale
Organisation anzuordnen.
3. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
3. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr
gestatten,
a. gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,
a. gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36
den Verantwortlichen zu beraten,
b. zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
b. zu allen Fragen, die im Zusammenhang mit dem Schutz
personenbezogener Daten stehen, von sich aus oder auf Anfrage
Stellungnahmen an das nationale Parlament, die Regierung des
Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats
an sonstige Einrichtungen und Stellen sowie an die
Öffentlichkeit zu richten,
c. die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,
c. die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls
im Recht des Mitgliedstaats eine derartige vorherige Genehmigung
verlangt wird,
d. eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
d. eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln
gemäß Artikel 40 Absatz 5 zu billigen,
e. Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
e. Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
f. im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
f. im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen
und Kriterien für die Zertifizierung zu billigen,
g. Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,
g. Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel
46 Absatz 2 Buchstabe d festzulegen,
h. Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
h. Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu
genehmigen,
i. Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
i. Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b
zu genehmigen
j. verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
j. verbindliche interne Vorschriften gemäß Artikel 47
zu genehmigen.
4. Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
4. Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel
übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien
einschließlich wirksamer gerichtlicher Rechtsbehelfe und
ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des
Mitgliedstaats im Einklang mit der Charta.
5. Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
5. Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine
Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den
Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die
Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich
sonst daran zu beteiligen, um die Bestimmungen dieser
Verordnung durchzusetzen.
6. Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass
seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3
aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die
Ausübung dieser Befugnisse darf nicht die effektive Durchführung des
Kapitels VII beeinträchtigen.
6. Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.

8
dsgvo/ch06/ch06-art59.md
View File

@ -1,4 +1,10 @@
Artikel 59 - Tätigkeitsbericht
------------------------------
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.
Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit,
der eine Liste der Arten der gemeldeten Verstöße und der Arten der
getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese
Berichte werden dem nationalen Parlament, der Regierung und anderen nach
dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie
werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich
gemacht.

94
dsgvo/ch07/ch07-art60.md
View File

@ -1,27 +1,97 @@
Artikel 60 - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
------------------------------------------------------------------------------------------------------------------
1. Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.
1. Die federführende Aufsichtsbehörde arbeitet mit den anderen
betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel
zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die
federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden
tauschen untereinander alle zweckdienlichen Informationen aus.
2. Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.
2. Die federführende Aufsichtsbehörde kann jederzeit andere betroffene
Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und
gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur
Durchführung von Untersuchungen oder zur Überwachung der Umsetzung
einer Maßnahme in Bezug auf einen Verantwortlichen oder einen
Auftragsverarbeiter, der in einem anderen Mitgliedstaat
niedergelassen ist.
3. Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
3. Die federführende Aufsichtsbehörde übermittelt den anderen
betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen
Informationen zu der Angelegenheit. Sie legt den anderen betroffenen
Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur
Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
4. Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
4. Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von
vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels
konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen
und begründeten Einspruch ein und schließt sich die federführende
Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an
oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht
begründet ist, so leitet die federführende Aufsichtsbehörde das
Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
5. Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.
5. Beabsichtigt die federführende Aufsichtsbehörde, sich dem
maßgeblichen und begründeten Einspruch anzuschließen, so legt sie
den anderen betroffenen Aufsichtsbehörden einen überarbeiteten
Beschlussentwurf zur Stellungnahme vor. Der überarbeitete
Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach
Absatz 4 unterzogen.
6. Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.
6. Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen
den Beschlussentwurf ein, der von der federführenden
Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten
Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde
und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf
einverstanden und sind an ihn gebunden.
7. Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.
7. Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt
ihn der Hauptniederlassung oder der einzigen Niederlassung des
Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit
und setzt die anderen betroffenen Aufsichtsbehörden und den
Ausschuss von dem betreffenden Beschluss einschließlich einer
Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die
Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist,
unterrichtet den Beschwerdeführer über den Beschluss.
8. Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
8. Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die
Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde,
abweichend von Absatz 7 den Beschluss, teilt ihn dem
Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
9. Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt.
9. Sind sich die federführende Aufsichtsbehörde und die betreffenden
Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen
oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig
zu werden, so wird in dieser Angelegenheit für jeden dieser Teile
ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde
erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf
den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder
einzigen Niederlassung des Verantwortlichen oder des
Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und
setzt den Beschwerdeführer hiervon in Kenntnis, während die für den
Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den
Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde
betrifft, und ihn diesem Beschwerdeführer mitteilt und den
Verantwortlichen oder den Auftragsverarbeiter hiervon in
Kenntnis setzt.
10. Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.
10. Nach der Unterrichtung über den Beschluss der federführenden
Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der
Verantwortliche oder der Auftragsverarbeiter die erforderlichen
Maßnahmen, um die Verarbeitungstätigkeiten all seiner
Niederlassungen in der Union mit dem Beschluss in Einklang
zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt
der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur
Einhaltung des Beschlusses ergriffen wurden; diese wiederum
unterrichtet die anderen betroffenen Aufsichtsbehörden.
11. Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
11. Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu
der Annahme, dass zum Schutz der Interessen betroffener Personen
dringender Handlungsbedarf besteht, so kommt das
Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
12. Die federführende Aufsichtsbehörde und die anderen betroffenen
Aufsichtsbehörden übermitteln einander die nach diesem Artikel
geforderten Informationen auf elektronischem Wege unter Verwendung
eines standardisierten Formats.
12. Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.

66
dsgvo/ch07/ch07-art61.md
View File

@ -1,25 +1,69 @@
Artikel 61 - Gegenseitige Amtshilfe
-----------------------------------
1. Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.
1. Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen
und gewähren einander Amtshilfe, um diese Verordnung einheitlich
durchzuführen und anzuwenden, und treffen Vorkehrungen für eine
wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf
Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise
Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation,
um Vornahme von Nachprüfungen und Untersuchungen.
2. Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören.
2. Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem
Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens
innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu
kann insbesondere auch die Übermittlung maßgeblicher Informationen
über die Durchführung einer Untersuchung gehören.
3. Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden.
3. Amtshilfeersuchen enthalten alle erforderlichen Informationen,
einschließlich Zweck und Begründung des Ersuchens. Die übermittelten
Informationen werden ausschließlich für den Zweck verwendet, für den
sie angefordert wurden.
4. Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
4. Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
a. sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder
a. sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die
sie durchführen soll, nicht zuständig ist oder
b. ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen eingeht, unterliegt.
b. ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen
würde oder gegen das Unionsrecht oder das Recht der
Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen
eingeht, unterliegt.
5. Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens.
5. Die ersuchte Aufsichtsbehörde informiert die ersuchende
Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den
Fortgang der Maßnahmen, die getroffen wurden, um dem
Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß
Absatz 4 die Gründe für die Ablehnung des Ersuchens.
6. Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats.
6. Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um
die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel
auf elektronischem Wege unter Verwendung eines
standardisierten Formats.
7. Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten.
7. Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund
eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die
Aufsichtsbehörden können untereinander Regeln vereinbaren, um
einander in Ausnahmefällen besondere aufgrund der Amtshilfe
entstandene Ausgaben zu erstatten.
8. Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2 erforderlich macht.
8. Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats
nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die
Informationen gemäß Absatz 5, so kann die ersuchende
Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres
Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall
wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1
ausgegangen, der einen im Dringlichkeitsverfahren angenommenen
verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2
erforderlich macht.
9. Die Kommission kann im Wege von Durchführungsrechtsakten Form und
Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung
des elektronischen Informationsaustauschs zwischen den
Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem
Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels
genannte standardisierte Format, festlegen. Diese
Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2
genannten Prüfverfahren erlassen.
9. Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.

66
dsgvo/ch07/ch07-art62.md
View File

@ -1,17 +1,69 @@
Artikel 62 - Gemeinsame Maßnahmen der Aufsichtsbehörden
-------------------------------------------------------
1. Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
1. Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen
einschließlich gemeinsamer Untersuchungen und gemeinsamer
Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete
der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
2. Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme.
2. Verfügt der Verantwortliche oder der Auftragsverarbeiter über
Niederlassungen in mehreren Mitgliedstaaten oder werden die
Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl
betroffener Personen in mehr als einem Mitgliedstaat erhebliche
Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser
Mitgliedstaaten berechtigt, an den gemeinsamen
Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4
zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser
Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und
antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde
um Teilnahme.
3. Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
3. Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und
mit Genehmigung der unterstützenden Aufsichtsbehörde den an den
gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der
unterstützenden Aufsichtsbehörde Befugnisse einschließlich
Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht
des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist,
den Mitgliedern oder Bediensteten der unterstützenden
Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem
Recht des Mitgliedstaats der unterstützenden
Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur
unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten
der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder
oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen
dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
4. Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen bei ihrem Einsatz verursachten Schäden.
4. Sind gemäß Absatz 1 Bedienstete einer unterstützenden
Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so
übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach
Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der
Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich
der Haftung für alle von ihnen bei ihrem Einsatz
verursachten Schäden.
5. Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat.
5. Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht
wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn
seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat
der unterstützenden Aufsichtsbehörde, deren Bedienstete im
Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden
zugefügt haben, erstattet diesem anderen Mitgliedstaat den
Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten
geleistet hat.
6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu machen.
6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit
Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall
des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des
erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend
zu machen.
7. Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde
binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des
vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden
eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats
gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden
Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im
Dringlichkeitsverfahren angenommene Stellungnahme oder einen im
Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des
Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht.
7. Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht.

5
dsgvo/ch07/ch07-art63.md
View File

@ -1,4 +1,7 @@
Artikel 63 - Kohärenzverfahren
------------------------------
Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.
Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union
beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem
Abschnitt beschriebenen Kohärenzverfahrens untereinander und
gegebenenfalls mit der Kommission zusammen.

88
dsgvo/ch07/ch07-art64.md
View File

@ -1,35 +1,91 @@
Artikel 64 - Stellungnahme des Ausschusses
------------------------------------------
1. Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser
1. Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige
Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen
zu erlassen. Zu diesem Zweck übermittelt die zuständige
Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn
dieser
a. der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,
a. der Annahme einer Liste der Verarbeitungsvorgänge dient, die der
Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35
Absatz 4 unterliegen,
b. eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht,
b. eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage
betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung
oder Ergänzung von Verhaltensregeln mit dieser Verordnung in
Einklang steht,
c. der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,
c. der Billigung der Kriterien für die Akkreditierung einer Stelle
nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach
Artikel 43 Absatz 3 dient,
d. der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,
d. der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46
Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,
e. der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder
e. der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3
Buchstabe a dient, oder
f. der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.
f. der Annahme verbindlicher interner Vorschriften im Sinne von
Artikel 47 dient.
2. Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.
2. Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission
können beantragen, dass eine Angelegenheit mit allgemeiner Geltung
oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss
geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn
eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe
gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62
nicht nachkommt.
3. In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt.
3. In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss
eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde,
sofern er nicht bereits eine Stellungnahme zu derselben
Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht
Wochen mit der einfachen Mehrheit der Mitglieder des
Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der
Komplexität der Angelegenheit um weitere sechs Wochen
verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf
angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses
übermittelt wird, so wird angenommen, dass ein Mitglied, das
innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine
Einwände erhoben hat, dem Beschlussentwurf zustimmt.
4. Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich — je nach Fall — einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden.
4. Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich
dem Ausschuss auf elektronischem Wege unter Verwendung eines
standardisierten Formats alle zweckdienlichen Informationen,
einschließlich — je nach Fall — einer kurzen Darstellung des
Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche
Maßnahme ergriffen werden muss, und der Standpunkte anderer
betroffener Aufsichtsbehörden.
5. Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege
5. Der Vorsitz des Ausschusses unterrichtet unverzüglich auf
elektronischem Wege
a. unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung und
a. unter Verwendung eines standardisierten Formats die Mitglieder
des Ausschusses und die Kommission über alle zweckdienlichen
Informationen, die ihm zugegangen sind. Soweit erforderlich
stellt das Sekretariat des Ausschusses Übersetzungen der
zweckdienlichen Informationen zur Verfügung und
b. je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht sie.
b. je nach Fall die in den Absätzen 1 und 2 genannte
Aufsichtsbehörde und die Kommission über die Stellungnahme und
veröffentlicht sie.
6. Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an.
6. Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten
Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten
Frist an.
7. Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt sie den geänderten Beschlussentwurf.
7. Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme
des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz
binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem
Wege unter Verwendung eines standardisierten Formats mit, ob sie den
Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls
übermittelt sie den geänderten Beschlussentwurf.
8. Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses
innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter
Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der
Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu
folgen, so gilt Artikel 65 Absatz 1.
8. Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1.

70
dsgvo/ch07/ch07-art65.md
View File

@ -1,21 +1,73 @@
Artikel 65 - Streitbeilegung durch den Ausschuss
------------------------------------------------
1. Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:
1. Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung
in Einzelfällen sicherzustellen, erlässt der Ausschuss in den
folgenden Fällen einen verbindlichen Beschluss:
a. wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt;
a. wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel
60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen
einen Beschlussentwurf der federführenden Behörde eingelegt hat
oder die federführende Behörde einen solchen Einspruch als nicht
maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche
Beschluss betrifft alle Angelegenheiten, die Gegenstand des
maßgeblichen und begründeten Einspruchs sind, insbesondere die
Frage, ob ein Verstoß gegen diese Verordnung vorliegt;
b. wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,
b. wenn es widersprüchliche Standpunkte dazu gibt, welche der
betroffenen Aufsichtsbehörden für die Hauptniederlassung
zuständig ist,
c. wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen.
c. wenn eine zuständige Aufsichtsbehörde in den in Artikel 64
Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses
einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64
nicht folgt. In diesem Fall kann jede betroffene
Aufsichtsbehörde oder die Kommission die Angelegenheit dem
Ausschuss vorlegen.
2. Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich.
2. Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach
der Befassung mit der Angelegenheit mit einer Mehrheit von zwei
Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann
wegen der Komplexität der Angelegenheit um einen weiteren Monat
verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet
und an die federführende Aufsichtsbehörde und alle betroffenen
Aufsichtsbehörden übermittelt und ist für diese verbindlich.
3. War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.
3. War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2
genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen
Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2
genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des
Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des
Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.
4. Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an.
4. Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den
Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem
Ausschuss vorgelegte Angelegenheit an.
5. Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat.
5. Der Vorsitz des Ausschusses unterrichtet die betroffenen
Aufsichtsbehörden unverzüglich über den in Absatz 1
genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis.
Der Beschluss wird unverzüglich auf der Website des Ausschusses
veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6
genannten endgültigen Beschluss mitgeteilt hat.
6. Die federführende Aufsichtsbehörde oder gegebenenfalls die
Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft
den endgültigen Beschluss auf der Grundlage des in Absatz 1 des
vorliegenden Artikels genannten Beschlusses unverzüglich und
spätestens einen Monat, nachdem der Europäische Datenschutzausschuss
seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde
oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde
eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr
endgültiger Beschluss dem Verantwortlichen oder dem
Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird,
in Kenntnis. Der endgültige Beschluss der betroffenen
Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und
9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1
genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1
des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der
Website des Ausschusses veröffentlicht wird. Dem endgültigen
Beschluss wird der in Absatz 1 des vorliegenden Artikels genannte
Beschluss beigefügt.
6. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden Artikels genannte Beschluss beigefügt.

31
dsgvo/ch07/ch07-art66.md
View File

@ -1,11 +1,34 @@
Artikel 66 - Dringlichkeitsverfahren
------------------------------------
1. Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.
1. Unter außergewöhnlichen Umständen kann eine betroffene
Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63,
64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige
Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten
treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten
sollen, wenn sie zu der Auffassung gelangt, dass dringender
Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen
Personen zu schützen. Die Aufsichtsbehörde setzt die anderen
betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission
unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass
in Kenntnis.
2. Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen.
2. Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und
ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen
werden müssen, kann sie unter Angabe von Gründen im
Dringlichkeitsverfahren um eine Stellungnahme oder einen
verbindlichen Beschluss des Ausschusses ersuchen.
3. Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu schützen.
3. Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den
dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine
Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des
Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz
dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat,
um die Rechte und Freiheiten von betroffenen Personen zu schützen.
4. Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine
Stellungnahme oder ein verbindlicher Beschluss im
Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen
mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.
4. Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.

9
dsgvo/ch07/ch07-art67.md
View File

@ -1,6 +1,11 @@
Artikel 67 - Informationsaustausch
----------------------------------
Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen.
Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite
zur Festlegung der Ausgestaltung des elektronischen
Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den
Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten
Formats nach Artikel 64, erlassen.
Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach
Artikel 93 Absatz 2 erlassen.

28
dsgvo/ch07/ch07-art68.md
View File

@ -1,15 +1,31 @@
Artikel 68 - Europäischer Datenschutzausschuss
----------------------------------------------
1. Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“. wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet.
1. Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“. wird
als Einrichtung der Union mit eigener
Rechtspersönlichkeit eingerichtet.
2. Der Ausschuss wird von seinem Vorsitz vertreten.
2. Der Ausschuss wird von seinem Vorsitz vertreten.
3. Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
3. Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes
Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder
ihren jeweiligen Vertretern.
4. Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.
4. Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die
Überwachung der Anwendung der nach Maßgabe dieser Verordnung
erlassenen Vorschriften zuständig, so wird im Einklang mit den
Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer
Vertreter benannt.
5. Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses.
5. Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten
und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt
einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die
Kommission über die Tätigkeiten des Ausschusses.
6. In den in Artikel 65 genannten Fällen ist der Europäische
Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die
Grundsätze und Vorschriften betreffen, die für die Organe,
Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich
den Grundsätzen und Vorschriften dieser Verordnung entsprechen.
6. In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen.

9
dsgvo/ch07/ch07-art69.md
View File

@ -1,7 +1,12 @@
Artikel 69 - Unabhängigkeit
---------------------------
1. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
1. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in
Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
2. Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1
Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung
seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung
noch nimmt er Weisungen entgegen.
2. Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.

155
dsgvo/ch07/ch07-art70.md
View File

@ -1,61 +1,158 @@
Artikel 70 - Aufgaben des Ausschusses
-------------------------------------
1. Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr:
1. Der Ausschuss stellt die einheitliche Anwendung dieser
Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder
gegebenenfalls auf Ersuchen der Kommission insbesondere folgende
Tätigkeiten wahr:
a. Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden;
a. Überwachung und Sicherstellung der ordnungsgemäßen Anwendung
dieser Verordnung in den in den Artikeln 64 und 65 genannten
Fällen unbeschadet der Aufgaben der nationalen
Aufsichtsbehörden;
b. Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung;
b. Beratung der Kommission in allen Fragen, die im Zusammenhang mit
dem Schutz personenbezogener Daten in der Union stehen,
einschließlich etwaiger Vorschläge zur Änderung dieser
Verordnung;
c. Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften;
c. Beratung der Kommission über das Format und die Verfahren für
den Austausch von Informationen zwischen den Verantwortlichen,
den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf
verbindliche interne Datenschutzvorschriften;
d. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten;
d. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz
2 von Links zu personenbezogenen Daten oder Kopien oder
Replikationen dieser Daten aus öffentlich zugänglichen
Kommunikationsdiensten;
e. Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission — von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;
e. Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder
auf Ersuchen der Kommission — von die Anwendung dieser
Verordnung betreffenden Fragen und Bereitstellung von
Leitlinien, Empfehlungen und bewährten Verfahren zwecks
Sicherstellung einer einheitlichen Anwendung dieser Verordnung;
f. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;
f. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
näheren Bestimmung der Kriterien und Bedingungen für die auf
Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;
g. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat;
g. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die
Feststellung von Verletzungen des Schutzes personenbezogener
Daten und die Festlegung der Unverzüglichkeit im Sinne des
Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen,
unter denen der Verantwortliche oder der Auftragsverarbeiter die
Verletzung des Schutzes personenbezogener Daten zu melden hat;
h. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat;
h. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den
Umständen, unter denen eine Verletzung des Schutzes
personenbezogener Daten voraussichtlich ein hohes Risiko für die
Rechte und Freiheiten natürlicher Personen im Sinne des Artikels
34 Absatz 1 zur Folge hat;
i. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen;
i. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und
Anforderungen für die Übermittlungen personenbezogener Daten,
die auf verbindlichen internen Datenschutzvorschriften von
Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort
aufgeführten weiteren erforderlichen Anforderungen zum Schutz
personenbezogener Daten der betroffenen Personen;
j. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz 1;
j. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
näheren Bestimmung der Kriterien und Bedingungen für die
Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz
1;
k. Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83;
k. Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug
auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und
3 und die Festsetzung von Geldbußen gemäß Artikel 83;
l. Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bewährten Verfahren;
l. Überprüfung der praktischen Anwendung der unter den Buchstaben e
und f genannten Leitlinien, Empfehlungen und bewährten
Verfahren;
m. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen diese Verordnung gemäß Artikel 54 Absatz 2;
m. Bereitstellung von Leitlinien, Empfehlungen und bewährten
Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
Festlegung gemeinsamer Verfahren für die von natürlichen
Personen vorgenommene Meldung von Verstößen gegen diese
Verordnung gemäß Artikel 54 Absatz 2;
n. Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40 und 42;
n. Förderung der Ausarbeitung von Verhaltensregeln und der
Einrichtung von datenschutzspezifischen Zertifizierungsverfahren
sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40
und 42;
o. Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz 7;
o. Akkreditierung von Zertifizierungsstellen und deren regelmäßige
Überprüfung gemäß Artikel 43 und Führung eines öffentlichen
Registers der akkreditierten Einrichtungen gemäß Artikel 43
Absatz 6 und der in Drittländern niedergelassenen akkreditierten
Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42
Absatz 7;
p. Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42;
p. Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen
im Hinblick auf die Akkreditierung von Zertifizierungsstellen
gemäß Artikel 42;
q. Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8;
q. Abgabe einer Stellungnahme für die Kommission zu den
Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8;
r. Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel 12 Absatz 7;
r. Abgabe einer Stellungnahme für die Kommission zu den
Bildsymbolen gemäß Artikel 12 Absatz 7;
s. Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation;
s. Abgabe einer Stellungnahme für die Kommission zur Beurteilung
der Angemessenheit des in einem Drittland oder einer
internationalen Organisation gebotenen Schutzniveaus
einschließlich zur Beurteilung der Frage, ob das Drittland, das
Gebiet, ein oder mehrere spezifische Sektoren in diesem
Drittland oder eine internationale Organisation kein
angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck
gibt die Kommission dem Ausschuss alle erforderlichen
Unterlagen, darunter den Schriftwechsel mit der Regierung des
Drittlands, dem Gebiet oder spezifischen Sektor oder der
internationalen Organisation;
t. Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel 65, einschließlich der in Artikel 66 genannten Fälle;
t. Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64
Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu
Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden
und um Erlass verbindlicher Beschlüsse gemäß Artikel 65,
einschließlich der in Artikel 66 genannten Fälle;
u. Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;
u. Förderung der Zusammenarbeit und eines wirksamen bilateralen und
multilateralen Austauschs von Informationen und bewährten
Verfahren zwischen den Aufsichtsbehörden;
v. Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen;
v. Förderung von Schulungsprogrammen und Erleichterung des
Personalaustausches zwischen Aufsichtsbehörden sowie
gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit
internationalen Organisationen;
w. Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt;
w. Förderung des Austausches von Fachwissen und von Dokumentationen
über Datenschutzvorschriften und -praxis mit
Datenschutzaufsichtsbehörden in aller Welt;
x. Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9 und
x. Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten
Verhaltensregeln gemäß Artikel 40 Absatz 9 und
y. Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.
y. Führung eines öffentlich zugänglichen elektronischen Registers
der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf
Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.
2. Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.
2. Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter
Berücksichtigung der Dringlichkeit des Sachverhalts eine
Frist angeben.
3. Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie.
3. Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen
und bewährten Verfahren an die Kommission und an den in Artikel 93
genannten Ausschuss weiter und veröffentlicht sie.
4. Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und
gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung
zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die
Ergebnisse der Konsultation der Öffentlichkeit zugänglich.
4. Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.

12
dsgvo/ch07/ch07-art71.md
View File

@ -1,7 +1,15 @@
Artikel 71 - Berichterstattung
------------------------------
1. Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt.
1. Der Ausschuss erstellt einen Jahresbericht über den Schutz
natürlicher Personen bei der Verarbeitung in der Union und
gegebenenfalls in Drittländern und internationalen Organisationen.
Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem
Rat und der Kommission übermittelt.
2. Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung
der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien,
Empfehlungen und bewährten Verfahren sowie der in Artikel 65
genannten verbindlichen Beschlüsse.
2. Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.

7
dsgvo/ch07/ch07-art72.md
View File

@ -1,7 +1,10 @@
Artikel 72 - Verfahrensweise
----------------------------
1. Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.
1. Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der
Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.
2. Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner
Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest.
2. Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest.

7
dsgvo/ch07/ch07-art73.md
View File

@ -1,7 +1,10 @@
Artikel 73 - Vorsitz
--------------------
1. Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende.
1. Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher
Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende.
2. Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter
beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.
2. Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.

18
dsgvo/ch07/ch07-art74.md
View File

@ -1,13 +1,21 @@
Artikel 74 - Aufgaben des Vorsitzes
-----------------------------------
1. Der Vorsitz hat folgende Aufgaben:
1. Der Vorsitz hat folgende Aufgaben:
a. Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,
a. Einberufung der Sitzungen des Ausschusses und Erstellung der
Tagesordnungen,
b. Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden,
b. Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an
die federführende Aufsichtsbehörde und die betroffenen
Aufsichtsbehörden,
c. Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63.
c. Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des
Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem
Kohärenzverfahren nach Artikel 63.
2. Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem
Vorsitzenden und dessen Stellvertretern in seiner
Geschäftsordnung fest.
2. Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.

46
dsgvo/ch07/ch07-art75.md
View File

@ -1,29 +1,49 @@
Artikel 75 - Sekretariat
------------------------
1. Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird.
1. Der Ausschuss wird von einem Sekretariat unterstützt, das von dem
Europäischen Datenschutzbeauftragten bereitgestellt wird.
2. Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus.
2. Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung
des Vorsitzes des Ausschusses aus.
3. Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
3. Das Personal des Europäischen Datenschutzbeauftragten, das an der
Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen
Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das
Personal, das an der Wahrnehmung der dem Europäischen
Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
4. Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist.
4. Soweit angebracht, erstellen und veröffentlichen der Ausschuss und
der Europäische Datenschutzbeauftragte eine Vereinbarung zur
Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer
Zusammenarbeit festgelegt sind und die für das Personal des
Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung
der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben
beteiligt ist.
5. Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung.
5. Das Sekretariat leistet dem Ausschuss analytische, administrative
und logistische Unterstützung.
6. Das Sekretariat ist insbesondere verantwortlich für
6. Das Sekretariat ist insbesondere verantwortlich für
a. das Tagesgeschäft des Ausschusses,
a. das Tagesgeschäft des Ausschusses,
b. die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission,
b. die Kommunikation zwischen den Mitgliedern des Ausschusses,
seinem Vorsitz und der Kommission,
c. die Kommunikation mit anderen Organen und mit der Öffentlichkeit,
c. die Kommunikation mit anderen Organen und mit der
Öffentlichkeit,
d. den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation,
d. den Rückgriff auf elektronische Mittel für die interne und die
externe Kommunikation,
e. die Übersetzung sachdienlicher Informationen,
e. die Übersetzung sachdienlicher Informationen,
f. die Vor- und Nachbereitung der Sitzungen des Ausschusses,
f. die Vor- und Nachbereitung der Sitzungen des Ausschusses,
g. die Vorbereitung, Abfassung und Veröffentlichung von
Stellungnahmen, von Beschlüssen über die Beilegung von
Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom
Ausschuss angenommenen Dokumenten.
g. die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten.

9
dsgvo/ch07/ch07-art76.md
View File

@ -1,7 +1,12 @@
Artikel 76 - Vertraulichkeit
----------------------------
1. Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält.
1. Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung
vertraulich, wenn der Ausschuss dies für erforderlich hält.
2. Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses,
Sachverständigen und Vertretern von Dritten vorgelegt werden, wird
durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments
und des Rates geregelt.
2. Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates geregelt.

14
dsgvo/ch08/ch08-art77.md
View File

@ -1,7 +1,17 @@
Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde
------------------------------------------------------------
1. Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
1. Jede betroffene Person hat unbeschadet eines anderweitigen
verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht
auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem
Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des
Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der
Ansicht ist, dass die Verarbeitung der sie betreffenden
personenbezogenen Daten gegen diese Verordnung verstößt.
2. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde,
unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse
der Beschwerde einschließlich der Möglichkeit eines gerichtlichen
Rechtsbehelfs nach Artikel 78.
2. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.

25
dsgvo/ch08/ch08-art78.md
View File

@ -1,11 +1,28 @@
Artikel 78 - Recht auf wirksamen Rechtsbehelf gegen eine Aufsichtsbehörde
-------------------------------------------------------------------------
1. Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
1. Jede natürliche oder juristische Person hat unbeschadet eines
anderweitigen verwaltungsrechtlichen oder außergerichtlichen
Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen
Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen
Beschluss einer Aufsichtsbehörde.
2. Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.
2. Jede betroffene Person hat unbeschadet eines anderweitigen
verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das
Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach
den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit
einer Beschwerde befasst oder die betroffene Person nicht innerhalb
von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel
77 erhobenen Beschwerde in Kenntnis gesetzt hat.
3. Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.
3. Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des
Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren
Sitz hat.
4. Kommt es zu einem Verfahren gegen den Beschluss einer
Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des
Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so
leitet die Aufsichtsbehörde diese Stellungnahme oder diesen
Beschluss dem Gericht zu.
4. Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

20
dsgvo/ch08/ch08-art79.md
View File

@ -1,7 +1,23 @@
Artikel 79 - Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
----------------------------------------------------------------------------------------------------------
1. Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.
1. Jede betroffene Person hat unbeschadet eines verfügbaren
verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs
einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde
gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen
Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser
Verordnung zustehenden Rechte infolge einer nicht im Einklang mit
dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen
Daten verletzt wurden.
2. Für Klagen gegen einen Verantwortlichen oder gegen einen
Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig,
in dem der Verantwortliche oder der Auftragsverarbeiter eine
Niederlassung hat. Wahlweise können solche Klagen auch bei den
Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene
Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei
dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde
eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse
tätig geworden ist.
2. Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

22
dsgvo/ch08/ch08-art80.md
View File

@ -1,7 +1,25 @@
Artikel 80 - Vertretung von Betroffenen Personen
------------------------------------------------
1. Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist.
1. Die betroffene Person hat das Recht, eine Einrichtung,
Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die
ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist,
deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die
im Bereich des Schutzes der Rechte und Freiheiten von betroffenen
Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig
ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in
ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte
wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in
Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten
vorgesehen ist.
2. Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des
vorliegenden Artikels genannten Einrichtungen, Organisationen oder
Vereinigungen unabhängig von einem Auftrag der betroffenen Person in
diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77
zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in
den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen,
wenn ihres Erachtens die Rechte einer betroffenen Person gemäß
dieser Verordnung infolge einer Verarbeitung verletzt worden sind.
2. Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind.

20
dsgvo/ch08/ch08-art81.md
View File

@ -1,9 +1,23 @@
Artikel 81 - Aussetzung des Verfahrens
--------------------------------------
1. Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches Verfahren existiert.
1. Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von
einem Verfahren zu demselben Gegenstand in Bezug auf die
Verarbeitung durch denselben Verantwortlichen oder
Auftragsverarbeiter, das vor einem Gericht in einem anderen
Mitgliedstaat anhängig ist, so nimmt es mit diesem Gericht Kontakt
auf, um sich zu vergewissern, dass ein solches Verfahren existiert.
2. Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige Verfahren aussetzen.
2. Ist ein Verfahren zu demselben Gegenstand in Bezug auf die
Verarbeitung durch denselben Verantwortlichen oder
Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat
anhängig, so kann jedes später angerufene zuständige Gericht das bei
ihm anhängige Verfahren aussetzen.
3. Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes
später angerufene Gericht auf Antrag einer Partei auch für
unzuständig erklären, wenn das zuerst angerufene Gericht für die
betreffenden Klagen zuständig ist und die Verbindung der Klagen nach
seinem Recht zulässig ist.
3. Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem Recht zulässig ist.

43
dsgvo/ch08/ch08-art82.md
View File

@ -1,15 +1,46 @@
Artikel 82 - Haftung und Recht auf Schadensersatz
-------------------------------------------------
1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein
materieller oder immaterieller Schaden entstanden ist, hat Anspruch
auf Schadenersatz gegen den Verantwortlichen oder gegen
den Auftragsverarbeiter.
2. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
2. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für
den Schaden, der durch eine nicht dieser Verordnung entsprechende
Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für
den durch eine Verarbeitung verursachten Schaden nur dann, wenn er
seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus
dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung
der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung
Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
3. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
3. Der Verantwortliche oder der Auftragsverarbeiter wird von der
Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in
keinerlei Hinsicht für den Umstand, durch den der Schaden
eingetreten ist, verantwortlich ist.
4. Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist.
4. Ist mehr als ein Verantwortlicher oder mehr als ein
Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein
Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie
gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung
verursachten Schaden verantwortlich, so haftet jeder Verantwortliche
oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein
wirksamer Schadensersatz für die betroffene Person
sichergestellt ist.
5. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht.
5. Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4
vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so
ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von
den übrigen an derselben Verarbeitung beteiligten für die
Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den
Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2
festgelegten Bedingungen ihrem Anteil an der Verantwortung für den
Schaden entspricht.
6. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf
Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel
79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats
zuständig sind.
6. Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind.

132
dsgvo/ch08/ch08-art83.md
View File

@ -1,59 +1,135 @@
Artikel 83 - Allgemeine Bedingungen für die Verhängung von Geldbußen
--------------------------------------------------------------------
1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von
Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung
gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam,
verhältnismäßig und abschreckend ist.
2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
2. Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu
oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a
bis h und i verhängt. Bei der Entscheidung über die Verhängung einer
Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes
gebührend berücksichtigt:
a. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
a. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der
Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung
sowie der Zahl der von der Verarbeitung betroffenen Personen und
des Ausmaßes des von ihnen erlittenen Schadens;
b. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
b. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
c. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter
getroffenen Maßnahmen zur Minderung des den betroffenen Personen
entstandenen Schadens;
d. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
d. Grad der Verantwortung des Verantwortlichen oder des
Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß
den Artikeln 25 und 32 getroffenen technischen und
organisatorischen Maßnahmen;
e. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
e. etwaige einschlägige frühere Verstöße des Verantwortlichen oder
des Auftragsverarbeiters;
f. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
f. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem
Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen
zu mindern;
g. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
g. Kategorien personenbezogener Daten, die von dem Verstoß
betroffen sind;
h. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
h. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt
wurde, insbesondere ob und gegebenenfalls in welchem Umfang der
Verantwortliche oder der Auftragsverarbeiter den Verstoß
mitgeteilt hat;
i. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
i. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den
betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug
auf denselben Gegenstand angeordneten Maßnahmen, wenn solche
Maßnahmen angeordnet wurden;
j. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
j. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder
genehmigten Zertifizierungsverfahren nach Artikel 42 und
k. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
k. jegliche anderen erschwerenden oder mildernden Umstände im
jeweiligen Fall, wie unmittelbar oder mittelbar durch den
Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
3. Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
3. Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei
gleichen oder miteinander verbundenen Verarbeitungsvorgängen
vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser
Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den
Betrag für den schwerwiegendsten Verstoß.
4. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
4. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang
mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines
Unternehmens von bis zu 2 % seines gesamten weltweit erzielten
Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je
nachdem, welcher der Beträge höher ist:
a. die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
a. die Pflichten der Verantwortlichen und der Auftragsverarbeiter
gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;
b. die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
b. die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42
und 43;
c. die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
c. die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.
5. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
5. Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang
mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines
Unternehmens von bis zu 4 % seines gesamten weltweit erzielten
Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je
nachdem, welcher der Beträge höher ist:
a. die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
a. die Grundsätze für die Verarbeitung, einschließlich der
Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und
9;
b. die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
b. die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c. die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
c. die Übermittlung personenbezogener Daten an einen Empfänger in
einem Drittland oder an eine internationale Organisation gemäß
den Artikeln 44 bis 49;
d. alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
d. alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten,
die im Rahmen des Kapitels IX erlassen wurden;
e. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
e. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder
endgültigen Beschränkung oder Aussetzung der Datenübermittlung
durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder
Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58
Absatz 1.
6. Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
6. Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß
Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden
Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines
Unternehmens von bis zu 4 % seines gesamten weltweit erzielten
Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je
nachdem, welcher der Beträge höher ist.
7. Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.
7. Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß
Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür
festlegen, ob und in welchem Umfang gegen Behörden und öffentliche
Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind,
Geldbußen verhängt werden können.
8. Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.
8. Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde
gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem
Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich
wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer
Verfahren, unterliegen.
9. Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor,
kann dieser Artikel so angewandt werden, dass die Geldbuße von der
zuständigen Aufsichtsbehörde in die Wege geleitet und von den
zuständigen nationalen Gerichten verhängt wird, wobei
sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die
gleiche Wirkung wie die von Aufsichtsbehörden verhängten
Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen
wirksam, verhältnismäßig und abschreckend sein. Die betreffenden
Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die
Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen,
sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen
dieser Vorschriften.
9. Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.

11
dsgvo/ch08/ch08-art84.md
View File

@ -1,7 +1,14 @@
Artikel 84 - Sanktionen
-----------------------
1. Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen — fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.
1. Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen
für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die
keiner Geldbuße gemäß Artikel 83 unterliegen — fest und treffen alle
zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen
wirksam, verhältnismäßig und abschreckend sein.
2. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die
Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie
unverzüglich alle späteren Änderungen dieser Vorschriften mit.
2. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

25
dsgvo/ch09/ch09-art85.md
View File

@ -1,9 +1,28 @@
Artikel 85 - Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
------------------------------------------------------------------------------------
1. Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
1. Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf
den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem
Recht auf freie Meinungsäußerung und Informationsfreiheit,
einschließlich der Verarbeitung zu journalistischen Zwecken und zu
wissenschaftlichen, künstlerischen oder literarischen Zwecken,
in Einklang.
2. Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.
2. Für die Verarbeitung, die zu journalistischen Zwecken oder zu
wissenschaftlichen, künstlerischen oder literarischen Zwecken
erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von
Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen
Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter),
Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder
an internationale Organisationen), Kapitel VI (Unabhängige
Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und
Kapitel IX (Vorschriften für besondere Verarbeitungssituationen)
vor, wenn dies erforderlich ist, um das Recht auf Schutz der
personenbezogenen Daten mit der Freiheit der Meinungsäußerung und
der Informationsfreiheit in Einklang zu bringen.
3. Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die
er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle
späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.
3. Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.

9
dsgvo/ch09/ch09-art86.md
View File

@ -1,4 +1,11 @@
Artikel 86 - Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
-------------------------------------------------------------------------------
Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.
Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer
Behörde oder einer öffentlichen Einrichtung oder einer privaten
Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden
Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem
Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder
Einrichtung unterliegt, offengelegt werden, um den Zugang der
Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz
personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen.

8
dsgvo/ch09/ch09-art87.md
View File

@ -1,4 +1,10 @@
Artikel 87 - Verarbeitung der nationalen Kennziffer
---------------------------------------------------
Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden.
Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen
Bedingungen eine nationale Kennziffer oder andere Kennzeichen von
allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In
diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen
von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die
Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung
verwendet werden.

28
dsgvo/ch09/ch09-art88.md
View File

@ -1,9 +1,31 @@
Artikel 88 - Datenverarbeitung im Beschäftigungskontext
-------------------------------------------------------
1. Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
1. Die Mitgliedstaaten können durch Rechtsvorschriften oder durch
Kollektivvereinbarungen spezifischere Vorschriften zur
Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich
der Verarbeitung personenbezogener Beschäftigtendaten im
Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der
Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch
Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten
Pflichten, des Managements, der Planung und der Organisation der
Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der
Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des
Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der
Inanspruchnahme der mit der Beschäftigung zusammenhängenden
individuellen oder kollektiven Rechte und Leistungen und für Zwecke
der Beendigung des Beschäftigungsverhältnisses vorsehen.
2. Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
2. Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur
Wahrung der menschlichen Würde, der berechtigten Interessen und der
Grundrechte der betroffenen Person, insbesondere im Hinblick auf die
Transparenz der Verarbeitung, die Übermittlung personenbezogener
Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und
die Überwachungssysteme am Arbeitsplatz.
3. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die
Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie
unverzüglich alle späteren Änderungen dieser Vorschriften mit.
3. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

38
dsgvo/ch09/ch09-art89.md
View File

@ -1,11 +1,41 @@
Artikel 89 - Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszweken und zu statistischen Zwecken
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1. Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.
1. Die Verarbeitung zu im öffentlichen Interesse liegenden
Archivzwecken, zu wissenschaftlichen oder historischen
Forschungszwecken oder zu statistischen Zwecken unterliegt
geeigneten Garantien für die Rechte und Freiheiten der betroffenen
Person gemäß dieser Verordnung. Mit diesen Garantien wird
sichergestellt, dass technische und organisatorische Maßnahmen
bestehen, mit denen insbesondere die Achtung des Grundsatzes der
Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die
Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf
diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke
durch die Weiterverarbeitung, bei der die Identifizierung von
betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt
werden können, werden diese Zwecke auf diese Weise erfüllt.
2. Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.
2. Werden personenbezogene Daten zu wissenschaftlichen oder
historischen Forschungszwecken oder zu statistischen Zwecken
verarbeitet, können vorbehaltlich der Bedingungen und Garantien
gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im
Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß
der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte
voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich
machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die
Erfüllung dieser Zwecke notwendig sind.
3. Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.
3. Werden personenbezogene Daten für im öffentlichen Interesse liegende
Archivzwecke verarbeitet, können vorbehaltlich der Bedingungen und
Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht
oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten
gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als
diese Rechte voraussichtlich die Verwirklichung der spezifischen
Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche
Ausnahmen für die Erfüllung dieser Zwecke notwendig sind.
4. Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig
einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung
zu den in diesen Absätzen genannten Zwecken.
4. Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten Zwecken.

19
dsgvo/ch09/ch09-art90.md
View File

@ -1,7 +1,22 @@
Artikel 90 - Geheimhaltungspflichten
------------------------------------
1. Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
1. Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im
Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den
Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht
oder dem Recht der Mitgliedstaaten oder nach einer von den
zuständigen nationalen Stellen erlassenen Verpflichtung dem
Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht
unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist,
um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht
zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten
nur in Bezug auf personenbezogene Daten, die der Verantwortliche
oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder
erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt.
2. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die
Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt
sie unverzüglich von allen weiteren Änderungen dieser Vorschriften
in Kenntnis.
2. Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis.

13
dsgvo/ch09/ch09-art91.md
View File

@ -1,7 +1,16 @@
Artikel 91 - Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
------------------------------------------------------------------------------------------------------------
1. Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.
1. Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft
in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser
Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der
Verarbeitung an, so dürfen diese Regeln weiter angewandt werden,
sofern sie mit dieser Verordnung in Einklang gebracht werden.
2. Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß
Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der
Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer
Art sein kann, sofern sie die in Kapitel VI niedergelegten
Bedingungen erfüllt.
2. Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt.

32
dsgvo/ch10/ch10-art92.md
View File

@ -1,13 +1,35 @@
Artikel 92 - Ausübung der Befugnisübertragung
---------------------------------------------
1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.
1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission
unter den in diesem Artikel festgelegten Bedingungen übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24. Mai 2016 übertragen.
2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12
Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte
Zeit ab dem 24. Mai 2016 übertragen.
3. Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt.
3. Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43
Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit
widerrufen werden. Der Beschluss über den Widerruf beendet die
Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am
Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union
oder zu einem im Beschluss über den Widerruf angegebenen späteren
Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die
bereits in Kraft sind, wird von dem Beschluss über den Widerruf
nicht berührt.
4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.
4. Sobald die Kommission einen delegierten Rechtsakt erlässt,
übermittelt sie ihn gleichzeitig dem Europäischen Parlament und
dem Rat.
5. Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel
43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das
Europäische Parlament noch der Rat innerhalb einer Frist von drei
Monaten nach Übermittlung dieses Rechtsakts an das Europäische
Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf
dieser Frist das Europäische Parlament und der Rat beide der
Kommission mitgeteilt haben, dass sie keine Einwände erheben werden.
Auf Veranlassung des Europäischen Parlaments oder des Rates wird
diese Frist um drei Monate verlängert.
5. Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert.

11
dsgvo/ch10/ch10-art93.md
View File

@ -1,9 +1,14 @@
Artikel 93 - Ausschussverfahren
-------------------------------
1. Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.
1. Die Kommission wird von einem Ausschuss unterstützt. Dieser
Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU)
Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.
2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der
Verordnung (EU) Nr. 182/2011.
3. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der
Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.
3. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.

11
dsgvo/ch11/ch11-art94.md
View File

@ -1,7 +1,14 @@
Artikel 94 - Aufhebung der Richtlinie 95/46/EG
----------------------------------------------
1. Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben.
1. Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai
2018 aufgehoben.
2. Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die
vorliegende Verordnung. Verweise auf die durch Artikel 29 der
Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen
bei der Verarbeitung personenbezogener Daten gelten als Verweise auf
den kraft dieser Verordnung errichteten
Europäischen Datenschutzausschuss.
2. Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss.

7
dsgvo/ch11/ch11-art95.md
View File

@ -1,4 +1,9 @@
Artikel 95 - Verhältnis zur Richtlinie 2002/58/EG
-------------------------------------------------
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug
auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich
zugänglicher elektronischer Kommunikationsdienste in öffentlichen
Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf,
soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten
Pflichten unterliegen, die dasselbe Ziel verfolgen.

7
dsgvo/ch11/ch11-art96.md
View File

@ -1,4 +1,9 @@
Artikel 96 - Verhältnis zu bereits geschlossenen Übereinkünften
---------------------------------------------------------------
Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24. Mai 2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden.
Internationale Übereinkünfte, die die Übermittlung personenbezogener
Daten an Drittländer oder internationale Organisationen mit sich
bringen, die von den Mitgliedstaaten vor dem 24. Mai 2016 abgeschlossen
wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht
stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt
werden.

31
dsgvo/ch11/ch11-art97.md
View File

@ -1,17 +1,34 @@
Artikel 97 - Berichte der Kommission
------------------------------------
1. Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht.
1. Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission
dem Europäischen Parlament und dem Rat einen Bericht über die
Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden
öffentlich gemacht.
2. Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere die Anwendung und die Wirkungsweise
2. Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die
Kommission insbesondere die Anwendung und die Wirkungsweise
a. des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen insbesondere im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,
a. des Kapitels V über die Übermittlung personenbezogener Daten an
Drittländer oder an internationale Organisationen insbesondere
im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden
Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25
Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen,
b. des Kapitels VII über Zusammenarbeit und Kohärenz.
b. des Kapitels VII über Zusammenarbeit und Kohärenz.
3. Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern.
3. Für den in Absatz 1 genannten Zweck kann die Kommission
Informationen von den Mitgliedstaaten und den
Aufsichtsbehörden anfordern.
4. Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen.
4. Bei den in den Absätzen 1 und 2 genannten Bewertungen und
Überprüfungen berücksichtigt die Kommission die Standpunkte und
Feststellungen des Europäischen Parlaments, des Rates und anderer
einschlägiger Stellen oder Quellen.
5. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur
Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere
die Entwicklungen in der Informationstechnologie und die
Fortschritte in der Informationsgesellschaft.
5. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft.

8
dsgvo/ch11/ch11-art98.md
View File

@ -1,4 +1,10 @@
Artikel 98 - Überprüfung anderer Rechtsake der Union zum Datenschutz
--------------------------------------------------------------------
Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher Daten.
Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung
anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor,
damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei
der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die
Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung
solcher Daten durch die Organe, Einrichtungen, Ämter und Agenturen der
Union und zum freien Verkehr solcher Daten.

6
dsgvo/ch11/ch11-art99.md
View File

@ -1,7 +1,9 @@
Artikel 99 - Inkrafttreten und Anwendung
----------------------------------------
1. Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
1. Diese Verordnung tritt am zwanzigsten Tag nach ihrer
Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
2. Sie gilt ab dem 25. Mai 2018.
2. Sie gilt ab dem 25. Mai 2018.