DSGVO – Vorschriften in einfachen Worten, genaue Formulierungen finden Sie unter dem angegebenen Link.
Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO) ist ein bahnbrechendes Datenschutzgesetz, das von der Europäischen Union (EU) zum Schutz der Rechte des Einzelnen an personenbezogenen Daten erlassen wurde. Die 2018 eingeführte DSGVO legt strenge Regeln für die Erhebung, Verarbeitung und den Schutz personenbezogener Daten durch Unternehmen fest. Ziel ist es, Einzelpersonen mehr Kontrolle über ihre Informationen zu geben und gleichzeitig das Vertrauen in digitale Transaktionen zu stärken. Zu den wichtigsten Bestimmungen gehören Einwilligungserfordernisse, Rechte der betroffenen Person, strenge Datensicherheitsmaßnahmen und hohe Geldstrafen bei Nichteinhaltung. Die Auswirkungen der DSGVO erstrecken sich auf die ganze Welt, da Unternehmen auf der ganzen Welt beim Umgang mit Daten von EU-Bürgern ihre Vorschriften einhalten müssen, was eine neue Ära des Datenschutzbewusstseins und der Rechenschaftspflicht im digitalen Zeitalter einläutet.
Die DSGVO verhängt erhebliche Geldstrafen gegen Einzelpersonen oder Organisationen, die gegen ihre Datenschutz- und Sicherheitsprotokolle verstoßen, wobei die möglichen Strafen mehrere zehn Millionen Euro betragen können.
Die unten aufgeführten Regeln dienen zum schnellen Nachschlagen, es ist jedoch sehr wichtig, immer wieder auf der offiziellen Website nachzuschauen, um sicherzustellen, dass Sie die richtigen Regeln befolgen.
Kapitel 1 (Artikel 1-4) enthält die einleitenden Bestimmungen.
- Diese Verordnung legt Leitlinien zum Schutz der personenbezogenen Daten natürlicher Personen und zur Gewährleistung ihrer Freizügigkeit fest.
- Es schützt die Grundrechte und Grundfreiheiten des Einzelnen und betont sein Recht auf Schutz personenbezogener Daten.
- Die Verordnung stellt sicher, dass der freie Verkehr personenbezogener Daten innerhalb der Union trotz Bedenken hinsichtlich des Datenschutzes natürlicher Personen uneingeschränkt bleibt.
- Diese Verordnung regelt die Verarbeitung personenbezogener Daten, ganz oder teilweise automatisiert, sowie die Verarbeitung, die nicht mit automatisierten Mitteln erfolgt, sondern Teil eines Dateisystems ist oder für dieses bestimmt ist.
- Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten:
2.1. Bei Tätigkeiten, die außerhalb des Geltungsbereichs des Unionsrechts liegen;
2.2. Wird von den Mitgliedstaaten gemäß Titel V Kapitel 2 EUV durchgeführt;
2.3. Von natürlichen Personen aus rein persönlichen oder häuslichen Gründen durchgeführt;
2.4. Wird von zuständigen Behörden zur Verhinderung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten, einschließlich des Schutzes vor Bedrohungen der öffentlichen Sicherheit, durchgeführt. - Die Organe, Einrichtungen, Ämter und Agenturen der Union, die personenbezogene Daten verarbeiten, unterliegen der Verordnung (EG) Nr. 45/2001, die gemäß Artikel 98 mit den Grundsätzen und Regeln dieser Verordnung im Einklang stehen muss.
- Diese Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG, insbesondere im Hinblick auf die Haftungsvorschriften für Vermittlungsdienstleister gemäß den Artikeln 12 bis 15 dieser Richtlinie.
1. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten, die innerhalb der Union durch einen für die Verarbeitung Verantwortlichen oder eine Niederlassung eines Auftragsverarbeiters durchgeführt wird, unabhängig vom Ort der Verarbeitung.
2. Diese Verordnung gilt auch für die Verarbeitung personenbezogener Daten natürlicher Personen in der Union durch nicht in der Union ansässige Verantwortliche oder Auftragsverarbeiter, sofern sich die Verarbeitung auf Folgendes bezieht:
2.1. Anbieten von Waren oder Dienstleistungen an Einzelpersonen in der Union, unabhängig davon, ob eine Zahlung erforderlich ist; oder
2.2. Überwachung ihres Verhaltens, sofern das Verhalten innerhalb der Union auftritt.
3. Darüber hinaus gilt diese Verordnung für die Verarbeitung personenbezogener Daten durch Verantwortliche, die nicht in der Union niedergelassen sind, sondern an Orten tätig sind, an denen nach dem Völkerrecht das Recht eines Mitgliedstaats gilt.
Im Rahmen dieser Verordnung:
1. „Personenbezogene Daten“ sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person („betroffene Person“). Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere über einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder bestimmte physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale identifiziert werden kann.
2. „Verarbeitung“ umfasst jeden mit oder ohne Automatisierung durchgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehören das Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung, Abgleich, Verknüpfung, Einschränkung, Löschung oder Vernichtung.
3. Bei der „Einschränkung der Verarbeitung“ handelt es sich um die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
4. „Profiling“ ist jede automatisierte Verarbeitung personenbezogener Daten, die dazu dient, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, beispielsweise die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, die persönlichen Vorlieben, die Interessen, die Zuverlässigkeit, das Verhalten, den Aufenthaltsort einer natürlichen Person zu analysieren oder vorherzusagen. oder Bewegungen.
5. Unter „Pseudonymisierung“ versteht man die Verarbeitung personenbezogener Daten in einer Weise, die ohne Hinzuziehung zusätzlicher Informationen keine Zuordnung mehr zu einer spezifischen betroffenen Person zulässt. Diese zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
6. „Dateisystem“ bezeichnet jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob sie zentral, dezentral oder nach Funktion oder geografischer Lage verteilt sind.
7. „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wenn das Recht der Union oder der Mitgliedstaaten die Zwecke und Mittel der Verarbeitung bestimmt, können der Verantwortliche oder bestimmte Benennungskriterien durch das Recht der Union oder der Mitgliedstaaten vorgesehen werden.
8. „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
9. „Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Recht der Union oder der Mitgliedstaaten personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger. Ihre Verarbeitung dieser Daten muss den geltenden Datenschutzbestimmungen entsprechend den Zwecken der Verarbeitung entsprechen.
10. „Dritter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder Stelle, bei der es sich nicht um die betroffene Person, den Verantwortlichen, den Auftragsverarbeiter oder die Personen handelt, die vom Verantwortlichen oder Auftragsverarbeiter im Rahmen ihrer unmittelbaren Verantwortung zur Verarbeitung personenbezogener Daten ermächtigt wurden.
11. „Einwilligung“ der betroffenen Person ist jede freiwillige, konkrete, informierte und eindeutige Willensbekundung der betroffenen Person. Dieser Hinweis, der durch eine Erklärung oder eine eindeutige bestätigende Handlung übermittelt wird, bedeutet, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
12. „Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
13. „Genetische Daten“ sind personenbezogene Daten über die vererbten oder erworbenen genetischen Merkmale einer natürlichen Person. Diese Merkmale liefern einzigartige Informationen über die Physiologie oder Gesundheit des Individuums, die typischerweise aus einer Analyse einer biologischen Probe des Individuums resultieren.
14. „Biometrische Daten“ sind personenbezogene Daten, die aus einer bestimmten technischen Verarbeitung gewonnen werden und sich auf die physischen, physiologischen oder Verhaltensmerkmale einer natürlichen Person beziehen. Solche Daten ermöglichen oder bestätigen die eindeutige Identifizierung dieser Person, beispielsweise Gesichtsbilder oder Fingerabdruckdaten.
15. „Gesundheitsdaten“ umfassen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Dazu gehören Informationen über die Bereitstellung von Gesundheitsdienstleistungen und geben Aufschluss über den Gesundheitszustand des Einzelnen.
16. „Hauptniederlassung“ ist wie folgt definiert:
16.1. Bei einem für die Verarbeitung Verantwortlichen mit Niederlassungen in mehreren Mitgliedstaaten ist die Hauptniederlassung der Standort seiner Hauptverwaltung in der Union. Wenn jedoch Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden und diese Niederlassung die Befugnis zur Umsetzung dieser Entscheidungen hat, gilt diese Niederlassung als Hauptniederlassung.
16.2. Bei einem Verarbeiter mit Niederlassungen in mehreren Mitgliedstaaten ist die Hauptniederlassung der Standort seiner Hauptverwaltung in der Union. Alternativ gilt, wenn der Auftragsverarbeiter keine zentrale Verwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Hauptverarbeitungstätigkeiten stattfinden, im Rahmen einer Niederlassung des Auftragsverarbeiters als Hauptniederlassung, soweit der Auftragsverarbeiter dieser unterliegt auf bestimmte Verpflichtungen gemäß dieser Verordnung.
17. „Vertreter“ bezieht sich auf eine in der Union ansässige natürliche oder juristische Person, die vom Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 27 schriftlich benannt wurde und im Namen des Verantwortlichen oder Auftragsverarbeiters bei der Erfüllung ihrer jeweiligen Verpflichtungen gemäß dieser Verordnung handelt.
18. „Unternehmen“ bezeichnet eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.
19. „Unternehmensgruppe“ umfasst ein beherrschendes Unternehmen und seine Tochtergesellschaften.
20. „Verbindliche unternehmensinterne Vorschriften“ sind Richtlinien zum Schutz personenbezogener Daten, die von einem Verantwortlichen oder Auftragsverarbeiter mit Sitz in einem Mitgliedstaat für die Übermittlung oder Reihe von Übermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter in einem oder mehreren Drittländern innerhalb einer Unternehmensgruppe erlassen werden Unternehmen, die eine gemeinsame wirtschaftliche Tätigkeit ausüben.
21. „Aufsichtsbehörde“ ist eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige öffentliche Einrichtung.
22. „Betroffene Aufsichtsbehörde“ bezieht sich auf eine Aufsichtsbehörde, die an der Verarbeitung personenbezogener Daten beteiligt ist, weil:
22.1 Der Verantwortliche oder Auftragsverarbeiter hat seinen Sitz im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde.
22.2 Betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde sind von der Verarbeitung erheblich betroffen oder werden voraussichtlich erheblich betroffen sein.
22.3 Es wurde eine Beschwerde bei dieser Aufsichtsbehörde eingereicht.
23. „Grenzüberschreitende Verarbeitung“ umfasst:
23.1 Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit von Niederlassungen in mehreren Mitgliedstaaten eines Verantwortlichen oder Auftragsverarbeiters in der Union, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist.
23.2 Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union, die jedoch betroffene Personen in mehreren Mitgliedstaaten erheblich beeinträchtigt oder voraussichtlich erheblich beeinträchtigen wird.
24. „Maßgeblicher und begründeter Einspruch“ bezeichnet einen Einspruch gegen eine vorläufige Entscheidung darüber, ob ein Verstoß gegen diese Verordnung vorliegt oder ob geplante Maßnahmen gegenüber dem Verantwortlichen oder Auftragsverarbeiter mit dieser Verordnung im Einklang stehen. Ein solcher Einspruch zeigt deutlich, wie groß die Risiken sind, die mit der Vorentscheidung für die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls für den uneingeschränkten Verkehr personenbezogener Daten innerhalb der Union verbunden sind.
25. „Dienst der Informationsgesellschaft“ bezeichnet einen Dienst im Sinne von Artikel 1 Absatz 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates.
26. „Internationale Organisation“ stellt eine Organisation und ihre nachgeordneten Organe dar, die dem Völkerrecht unterliegen, oder jede andere Körperschaft, die durch oder auf der Grundlage eines Abkommens zwischen zwei oder mehr Ländern gegründet wurde.
Kapitel 2 (Artikel 5-11) beschreibt die Grundprinzipien.
1. Personenbezogene Daten müssen den folgenden Grundsätzen entsprechen:
1.1. Die Verarbeitung erfolgt rechtmäßig, fair und transparent gegenüber der betroffenen Person.
1.2. Für festgelegte, eindeutige und legitime Zwecke erhoben, um eine weitere unvereinbare Verarbeitung zu vermeiden. Die archivarische, wissenschaftliche, historische oder statistische Verarbeitung gemäß Artikel 89 Absatz 1 gilt jedoch nicht als mit den ursprünglichen Zwecken unvereinbar.
1.3. Angemessen, relevant und auf das für die beabsichtigten Zwecke erforderliche Maß beschränkt (Datenminimierung).
1.4. Präzise und regelmäßig aktualisiert; Fehlerhafte Daten sollten umgehend korrigiert oder gelöscht werden.
1.5. Die Speicherung erfolgt so, dass eine Identifizierung nicht länger als nötig möglich ist, mit Ausnahme von Ausnahmen für archivische, wissenschaftliche oder statistische Zwecke gemäß Artikel 89 Absatz 1, die angemessene Sicherheitsvorkehrungen erfordern.
1.6. Sicher verarbeitet, Gewährleistung des Schutzes vor unbefugter oder rechtswidriger Verarbeitung, unbeabsichtigtem Verlust, Zerstörung oder Beschädigung unter Einsatz geeigneter technischer oder organisatorischer Maßnahmen (Integrität und Vertraulichkeit).
2. Der Verantwortliche trägt die Verantwortung für die Einhaltung dieser Grundsätze und muss deren Einhaltung nachweisen („Rechenschaftspflicht“).
- Eine Verarbeitung gilt nur dann als rechtmäßig, wenn eine der folgenden Voraussetzungen erfüllt ist:
1.1. Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten für bestimmte Zwecke zugestimmt.
1.2. Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
1.3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich.
1.4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
1.5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Die Regelungen der Ziffer (1.5) gelten nicht für die Verarbeitung durch Behörden im Rahmen der Wahrnehmung ihrer Aufgaben.
2. Die Mitgliedstaaten können spezifischere Bestimmungen erlassen, um die Anwendung der Verarbeitungsvorschriften dieser Verordnung im Hinblick auf die Einhaltung von Absatz 1 Buchstaben c und e anzupassen. Diese Bestimmungen können genaue Anforderungen an die Verarbeitung und andere Maßnahmen zur Gewährleistung einer rechtmäßigen und fairen Verarbeitung umfassen. auch in anderen spezifischen Verarbeitungssituationen, die in Kapitel IX beschrieben sind.
3. Die Rechtsgrundlage für die Verarbeitung gemäß Absatz 1 Buchstaben c und e wird bestimmt durch:
3.1. Unionsrecht; oder
3.2. Für den Verantwortlichen geltendes Recht des Mitgliedstaats.
Der Zweck der Verarbeitung wird in dieser Rechtsgrundlage festgelegt oder gilt im Hinblick auf die Verarbeitung nach Absatz 1 Buchstabe e als erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Solche Rechtsgrundlagen können spezifische Bestimmungen zur Anpassung der Anwendung der Regeln dieser Verordnung enthalten, einschließlich allgemeiner Bedingungen für die Rechtmäßigkeit der Verarbeitung, Datentypen, die der Verarbeitung unterliegen, betroffener betroffener Personen, Stellen, an die personenbezogene Daten weitergegeben werden dürfen, Zweckbeschränkungen, Speicherdauern, und Verarbeitungsvorgänge und -verfahren, um eine rechtmäßige und faire Verarbeitung sicherzustellen, wie in Kapitel IX beschrieben. Die Gesetze der Union oder der Mitgliedstaaten müssen ein Ziel von öffentlichem Interesse verfolgen und dem verfolgten legitimen Ziel angemessen dienen.
4. Wenn die Verarbeitung zu einem anderen Zweck als dem, für den die personenbezogenen Daten ursprünglich erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf Rechtsvorschriften der Union oder eines Mitgliedstaats beruht, die in einer demokratischen Gesellschaft als notwendig und verhältnismäßig erachtet werden, um die in Artikel 23 Absatz 1 genannten Ziele zu wahren muss der Verantwortliche beurteilen, ob die Verarbeitung zu einem anderen Zweck mit dem ursprünglichen Zweck der Datenerhebung vereinbar ist. Zu den Überlegungen gehören:
4.1. Das Verhältnis zwischen den Zwecken der Datenerhebung und denen der beabsichtigten Weiterverarbeitung.
4.2. Der Kontext der Datenerhebung, insbesondere die Beziehung zwischen betroffenen Personen und dem Verantwortlichen.
4.3. Die Art der personenbezogenen Daten, insbesondere ob es sich um besondere Kategorien personenbezogener Daten gemäß Artikel 9 oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 handelt.
4.4. Die möglichen Folgen der weiteren Verarbeitung für betroffene Personen.
4.5. Das Vorhandensein geeigneter Schutzmaßnahmen, wie z. B. Verschlüsselung oder Pseudonymisierung.
Passende Vorträge
( 39 ) Grundsätze der Datenverarbeitung
( 40 ) Rechtmäßigkeit der Datenverarbeitung
( 41 ) Rechtsgrundlage bzw. gesetzgeberische Maßnahmen
( 42 ) Beweislast und Voraussetzungen für eine Einwilligung
( 43 ) Freiwillig erteilte Einwilligung
( 44 ) Vertragserfüllung
( 45 ) Erfüllung von Rechtliche Verpflichtungen
( 46 ) Lebenswichtige Interessen der betroffenen Person
( 47 ) Überwiegendes berechtigtes Interesse
( 48 ) Überwiegendes berechtigtes Interesse innerhalb der Unternehmensgruppe
( 49 ) Netz- und Informationssicherheit als überwiegendes berechtigtes Interesse
( 50 ) Weiterverarbeitung personenbezogener Daten
( 171 ) Aufhebung der Richtlinie 95/46/EG und der Übergangsbestimmungen
- Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, wenn die Einwilligung die Grundlage der Verarbeitung bildet.
- Sofern die Einwilligung des Betroffenen in einer schriftlichen Erklärung zu anderen Angelegenheiten enthalten ist, muss das Einwilligungsersuchen gesondert, verständlich und leicht zugänglich sowie in einer klaren und einfachen Sprache dargelegt werden. Jeder Teil einer solchen Erklärung, der gegen diese Verordnung verstößt, ist unverbindlich.
- Die betroffene Person hat das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der vor dem Widerruf erteilten Einwilligung berührt wird. Die betroffene Person muss über dieses Recht informiert werden, bevor sie ihre Einwilligung erteilt, und der Widerruf der Einwilligung sollte so einfach sein wie die Erteilung der Einwilligung.
- Bei der Beurteilung der Freiwilligkeit einer Einwilligung ist insbesondere zu berücksichtigen, ob die Erfüllung eines Vertrages, einschließlich der Leistungserbringung, von einer Einwilligung in die Verarbeitung personenbezogener Daten abhängt, die für die Vertragserfüllung nicht erforderlich sind.
- In Fällen, die unter Artikel 6 Absatz 1 Buchstabe a fallen und die Bereitstellung von Diensten der Informationsgesellschaft direkt für ein Kind betreffen, ist die Verarbeitung personenbezogener Daten eines Kindes rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. Wenn das Kind jünger als 16 Jahre ist, ist die Verarbeitung nur dann rechtmäßig, wenn die Einwilligung der Person eingeholt oder genehmigt wurde, die die elterliche Verantwortung für das Kind trägt. Die Mitgliedstaaten können gesetzlich ein niedrigeres Alter vorsehen, sofern dieses nicht unter 13 Jahren liegt.
- Der Verantwortliche muss in solchen Fällen angemessene Versuche unternehmen, um mithilfe der verfügbaren Technologie zu überprüfen, ob die Einwilligung von der Person eingeholt oder genehmigt wurde, die die elterliche Verantwortung für das Kind trägt.
- Absatz 1 ändert nichts an den allgemeinen Vertragsgesetzen der Mitgliedstaaten, einschließlich der Vorschriften über die Gültigkeit, das Zustandekommen oder die Auswirkungen eines Vertrags, an dem ein Kind beteiligt ist.
Passende Vorträge
( 38 ) Besonderer Schutz personenbezogener Daten von Kindern
1. Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung von Personen, Daten zur Gesundheit oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person hervorgehen, ist verboten.
2. Zu den Ausnahmen von Absatz 1 zählen:
2.1. Wenn die betroffene Person der Verarbeitung für bestimmte Zwecke ausdrücklich zustimmt, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten verbietet die Aufhebung des in Absatz 1 genannten Verbots durch die betroffene Person.
2.2. Wenn die Verarbeitung für die Erfüllung der Pflichten und die Ausübung spezifischer Rechte des Verantwortlichen oder der betroffenen Person in Bezug auf Arbeits-, Sozialversicherungs- oder Sozialschutzrecht erforderlich ist, die durch das Recht der Union oder eines Mitgliedstaats oder einen Tarifvertrag zulässig sind, der angemessene Schutzmaßnahmen für die Grundrechte und Interessen der betroffenen Person gewährleistet die betroffene Person.
2.3. Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person unerlässlich ist, insbesondere wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu erteilen.
2.4. Wenn die Verarbeitung durch eine gemeinnützige Einrichtung mit politischen, philosophischen, religiösen oder gewerkschaftlichen Zielen unter angemessenen Schutzmaßnahmen ausschließlich in Bezug auf deren Mitglieder, ehemalige Mitglieder oder Personen mit regelmäßigen Kontakten erfolgt und die Daten nicht ohne Zustimmung außerhalb der Einrichtung weitergegeben werden.
2.5. Bei der Verarbeitung handelt es sich um personenbezogene Daten, die die betroffene Person freiwillig öffentlich gemacht hat.
2.6. Wenn die Verarbeitung für Rechtsansprüche oder im Rahmen gerichtlicher Tätigkeiten erforderlich ist.
2.7. Wenn die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten einem erheblichen öffentlichen Interesse dient, müssen die Datenschutzrechte gewahrt und spezifische Maßnahmen zum Schutz der Rechte und Interessen der betroffenen Person ergriffen werden.
2.8. Wenn die Verarbeitung Zwecken der Präventiv- oder Arbeitsmedizin, der medizinischen Diagnose, der Bereitstellung von Gesundheitsfürsorge oder der Verwaltung von Gesundheitssystemen auf der Grundlage des Rechts der Union oder der Mitgliedstaaten dient, vorbehaltlich festgelegter Bedingungen und Garantien.
2.9. Wenn die Verarbeitung öffentlichen Gesundheitsinteressen dient, beispielsweise dem Schutz vor grenzüberschreitenden Gesundheitsbedrohungen oder der Gewährleistung der Qualität und Sicherheit der Gesundheitsversorgung, nach dem Recht der Union oder der Mitgliedstaaten mit angemessenen Maßnahmen zum Schutz der Rechte der betroffenen Person.
2.10. Wenn die Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen Forschungszwecken oder zu statistischen Zwecken erfolgt, erfolgt die Verarbeitung auf der Grundlage des Rechts der Union oder der Mitgliedstaaten mit geeigneten Maßnahmen zum Schutz der Rechte der betroffenen Person.
3. Die in Absatz 1 genannten personenbezogenen Daten können für die in Absatz 2 Buchstabe h genannten Zwecke verarbeitet werden, wenn sie von Fachleuten verarbeitet werden, die nach dem Recht der Union oder der Mitgliedstaaten an die berufliche Schweigepflicht gebunden sind oder von zuständigen nationalen Behörden festgelegt wurden, oder von anderen, die einer ähnlichen Geheimhaltungspflicht unterliegen Verpflichtungen.
4. Die Mitgliedstaaten können zusätzliche Bedingungen oder Beschränkungen für die Verarbeitung genetischer, biometrischer oder Gesundheitsdaten vorsehen.
Passende Vorträge
( 46 ) Lebenswichtige Interessen der betroffenen Person
( 51 ) Schutz sensibler personenbezogener Daten
( 52 ) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten
( 53 ) Verarbeitung sensibler Daten im Gesundheits- und Sozialbereich
( 54 ) Verarbeitung sensibler Daten in Öffentlicher Gesundheitssektor
( 55 ) Öffentliches Interesse an der Verarbeitung durch Behörden für Zwecke anerkannter Religionsgemeinschaften
( 56 ) Verarbeitung personenbezogener Daten über politische Meinungen von Personen durch Parteien
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen gemäß Artikel 6 Absatz 1 muss entweder unter der Aufsicht einer offiziellen Behörde oder im Einklang mit dem Recht der Union oder eines Mitgliedstaats erfolgen, das angemessene Garantien für die Rechte und Rechte enthält Freiheiten der betroffenen Personen. Ein umfangreiches Register mit strafrechtlichen Verurteilungen sollte ausschließlich unter der Aufsicht offizieller Behörden geführt werden.
Passende Vorträge
- Wenn die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person nicht mehr erfordern, ist der Verantwortliche nicht verpflichtet, zusätzliche Informationen ausschließlich zur Identifizierung der betroffenen Person zur Einhaltung dieser Verordnung zu sammeln, zu beschaffen oder zu verarbeiten.
- In den in Absatz 1 dieses Artikels beschriebenen Fällen, in denen der Verantwortliche die betroffene Person nicht identifizieren kann, sollte er die betroffene Person nach Möglichkeit informieren. Unter solchen Umständen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zusätzliche Informationen zu ihrer Identifizierung bereit, insbesondere zum Zweck der Ausübung ihrer Rechte gemäß diesen Artikeln.
Passende Vorträge
Kapitel 3 (Artikel 12-23) Rechte der betroffenen Person.
- Der für die Verarbeitung Verantwortliche muss sicherstellen, dass die in den Artikeln 13 und 14 genannten Informationen sowie alle Mitteilungen im Zusammenhang mit der Verarbeitung gemäß den Artikeln 15 bis 22 und 34 der betroffenen Person in prägnanter, transparenter, verständlicher und leicht zugänglicher Weise unter Verwendung klarer und klarer Informationen präsentiert werden einfache Sprache, insbesondere wenn sie sich an Kinder richtet. Diese Informationen sollten schriftlich oder auf geeignete Weise, einschließlich elektronischer Methoden, bereitgestellt werden. Auf Antrag kann eine mündliche Kommunikation gewährt werden, sofern die Identität der betroffenen Person auf andere Weise hinreichend überprüft wird.
- Der Verantwortliche sollte der betroffenen Person die Ausübung der Rechte gemäß den Artikeln 15 bis 22 erleichtern. Außer wie in Artikel 11 Absatz 2 dargelegt, sollte der Verantwortliche den Antrag einer betroffenen Person auf Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22 nicht ablehnen, es sei denn, er kann die Unfähigkeit nachweisen um die betroffene Person zu identifizieren.
- Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich über die Maßnahmen informieren, die als Reaktion auf Anfragen gemäß den Artikeln 15 bis 22 ergriffen wurden, und zwar innerhalb eines Monats nach Eingang der Anfrage. Dieser Zeitraum kann bei Bedarf unter Berücksichtigung der Komplexität und Anzahl der Anfragen um zwei Monate verlängert werden. Der betroffenen Person ist eine solche Verlängerung innerhalb eines Monats nach Eingang des Antrags unter Angabe der Gründe für die Verzögerung mitzuteilen. Wenn die betroffene Person den Antrag auf elektronischem Wege stellt, sollten die Informationen nach Möglichkeit elektronisch bereitgestellt werden, sofern die betroffene Person nichts anderes angibt.
- Wenn der für die Verarbeitung Verantwortliche beschließt, dem Antrag einer betroffenen Person nicht nachzukommen, muss er die betroffene Person unverzüglich, spätestens jedoch einen Monat nach Erhalt des Antrags unter Angabe der Gründe dafür informieren, dass er nicht tätig wird, und ihn über sein Recht informieren, eine Beschwerde einzureichen eine Aufsichtsbehörde kontaktieren oder gerichtliche Rechtsbehelfe einlegen.
- Die gemäß den Artikeln 13 und 14 bereitgestellten Informationen sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und 34 müssen kostenlos zur Verfügung gestellt werden. Wenn die Anfragen der betroffenen Person jedoch offensichtlich unbegründet oder übertrieben sind, insbesondere aufgrund von Wiederholungen, kann der Verantwortliche eine angemessene Gebühr erheben, die die Verwaltungskosten widerspiegelt, oder sich weigern, auf die Anfrage einzugehen. Der Verantwortliche trägt die Verantwortung für den Nachweis, dass die Anfrage offensichtlich unbegründet oder übertrieben ist.
- Unbeschadet des Artikels 11 kann der Verantwortliche, wenn er bei den in den Artikeln 15 bis 21 genannten Anträgen begründete Zweifel an der Identität des Antragstellers hat, zusätzliche Informationen zur Bestätigung der Identität der betroffenen Person anfordern.
- Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 zur Verfügung gestellt werden müssen, können mit standardisierten Symbolen versehen sein, die eine klare und verständliche Zusammenfassung der beabsichtigten Verarbeitung bieten. Bei elektronischer Darstellung sollten diese Symbole maschinenlesbar sein, um eine einfache Sichtbarkeit und Lesbarkeit zu gewährleisten.
- Die Kommission ist gemäß Artikel 92 ermächtigt, delegierte Rechtsakte zu erlassen, um die durch Symbole zu übermittelnden Informationen und Verfahren für die Bereitstellung standardisierter Symbole festzulegen.
Passende Vorträge
( 58 ) Der Grundsatz der Transparenz
( 59 ) Verfahren zur Ausübung der Rechte der betroffenen Personen
( 60 ) Informationspflicht
( 73 ) Beschränkungen von Rechten und Grundsätzen
- Bei der Erhebung personenbezogener Daten einer betroffenen Person muss der Verantwortliche folgende Informationen bereitstellen:
1.1. Identität und Kontaktdaten des Verantwortlichen und gegebenenfalls des Vertreters des Verantwortlichen.
1.2. Ggf. Kontaktdaten des Datenschutzbeauftragten.
1.3. Zwecke der Verarbeitung und die Rechtsgrundlage dafür.
1.4. Sofern die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, sind dies die berechtigten Interessen des Verantwortlichen oder eines Dritten.
1.5. Gegebenenfalls Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
1.6. Gegebenenfalls die Absicht, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder einen Hinweis auf geeignete Garantien und Mittel, um diese zu erhalten. - Darüber hinaus muss der Verantwortliche die folgenden weiteren Informationen bereitstellen, um eine faire und transparente Verarbeitung zu gewährleisten:
2.1. Die Speicherdauer der personenbezogenen Daten bzw. die Kriterien für deren Bestimmung.
2.2. Das Recht auf Zugang, Berichtigung oder Löschung personenbezogener Daten, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit.
2.3. Das Recht, die Einwilligung zu widerrufen, wenn die Verarbeitung auf einer Einwilligung beruht, ohne dass dadurch die Rechtmäßigkeit der Verarbeitung vor dem Widerruf berührt wird.
2.4. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
2.5. Ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist, welche Folgen die Nichtbereitstellung hat und ob die Bereitstellung der Daten verpflichtend ist.
2.6. Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über deren Logik, Tragweite und Auswirkungen für die betroffene Person. - Beabsichtigt der Verantwortliche, personenbezogene Daten zu einem anderen Zweck weiterzuverarbeiten, ist die betroffene Person zuvor unter Angabe aller relevanten weiteren Informationen gemäß Absatz 2 zu informieren.
- Diese Bestimmungen gelten nicht, wenn die betroffene Person bereits über die Informationen verfügt.
Passende Vorträge
( 60 ) Informationspflicht
( 61 ) Zeitpunkt der Information
( 62 ) Ausnahmen von der Informationspflicht
1. Werden personenbezogene Daten von einer anderen Quelle als der betroffenen Person erhoben, muss der Verantwortliche der betroffenen Person folgende Angaben machen:
1.1. Die Identität und Kontaktinformationen des Verantwortlichen sowie ggf. die seines Vertreters.
1.2. Ggf. Kontaktdaten des Datenschutzbeauftragten.
1.3. Die Verarbeitungszwecke und die Rechtsgrundlage.
1.4. Kategorien der betroffenen personenbezogenen Daten.
1.5. Gegebenenfalls Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
1.6. Gegebenenfalls die Absicht, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, zusammen mit dem Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder einem Hinweis auf geeignete Garantien und wie man diese erhält.
2. Darüber hinaus muss der Verantwortliche der betroffenen Person die folgenden Angaben machen, um eine faire und transparente Verarbeitung zu gewährleisten:
2.1. Die Aufbewahrungsfrist personenbezogener Daten oder die Kriterien für deren Festlegung.
2.2. Sofern die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, werden die berechtigten Interessen verfolgt.
2.3. Das Recht auf Zugang, Berichtigung oder Löschung personenbezogener Daten, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung und Datenübertragbarkeit.
2.4. Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a basiert, besteht das Recht, die Einwilligung zu widerrufen, ohne dass die Rechtmäßigkeit der vorherigen Verarbeitung berührt wird.
2.5. Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
2.6. Das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, mit aussagekräftigen Informationen zu deren Logik und möglichen Konsequenzen.
3. Der Verantwortliche muss folgende Informationen bereitstellen:
3.1. Innerhalb eines angemessenen Zeitraums nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung spezifischer Verarbeitungsumstände.
3.2. Zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person, sofern personenbezogene Daten zur Kommunikation verwendet werden.
3.3. Bei der erstmaligen Weitergabe personenbezogener Daten ist eine Weitergabe an einen anderen Empfänger zu erwarten.
4. Vor der Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck muss der Verantwortliche der betroffenen Person Informationen über diesen Zweck und alle in Absatz 2 genannten relevanten Einzelheiten erteilen.
5. Diese Bestimmungen gelten nicht:
5.1. Wenn die betroffene Person bereits über die Informationen verfügt.
5.2. Wenn die Bereitstellung dieser Informationen undurchführbar oder übermäßig belastend ist, insbesondere für Archivierungs-, Forschungs- oder Statistikzwecke, vorbehaltlich der Bedingungen und Garantien von Artikel 89 Absatz 1, oder wenn die Einhaltung der Verarbeitungsziele zuwiderlaufen würde. In solchen Fällen muss der Verantwortliche Maßnahmen zum Schutz der Rechte der betroffenen Person ergreifen.
5.3. Wenn die Einholung oder Offenlegung von Informationen durch das Recht der Union oder der Mitgliedstaaten mit angemessenen Schutzmaßnahmen vorgeschrieben ist.
5.4. Wenn personenbezogene Daten im Rahmen des Berufsgeheimnisses vertraulich bleiben müssen, das durch das Recht der Union oder eines Mitgliedstaats geregelt ist.
Passende Vorträge
( 60 ) Informationspflicht
( 61 ) Zeitpunkt der Information
( 62 ) Ausnahmen von der Informationspflicht
1. Die betroffene Person hat das Recht, gegenüber dem Verantwortlichen Auskunft darüber zu erhalten, ob personenbezogene Daten, die sie betreffen, verarbeitet werden, und, wenn dies der Fall ist, auf diese Daten und die folgenden Einzelheiten zuzugreifen:
1.1. Die Verarbeitungsziele.
1.2. Die Kategorien personenbezogener Daten, um die es geht.
1.3. Empfänger oder Kategorien von Empfängern, insbesondere in Drittländern oder bei internationalen Organisationen, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden.
1.4. Sofern machbar, die voraussichtliche Dauer der Speicherung der personenbezogenen Daten oder, falls nicht machbar, die Kriterien zur Bestimmung dieser Dauer.
1.5. Das Recht, die Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten zu verlangen oder dieser Verarbeitung zu widersprechen, sowie das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen.
1.6. Sofern die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über deren Herkunft.
1.7. Das Vorhandensein einer automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4, zusammen mit umfassenden Informationen über die Logik, Bedeutung und mögliche Auswirkungen des Entscheidungsprozesses für die betroffene Person.
2. In den Fällen, in denen personenbezogene Daten an ein Drittland oder eine internationale Organisation übermittelt werden, hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 für die Übermittlung unterrichtet zu werden.
3. Der Verantwortliche ist verpflichtet, eine Kopie der verarbeiteten personenbezogenen Daten bereitzustellen. Für von der betroffenen Person angeforderte zusätzliche Kopien kann der Verantwortliche eine angemessene Gebühr auf der Grundlage des Verwaltungsaufwands erheben. Wenn die betroffene Person die Anfrage auf elektronischem Weg stellt, werden die Informationen in der Regel in einem gängigen elektronischen Format bereitgestellt, sofern die betroffene Person nichts anderes angibt.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 beeinträchtigt nicht die Rechte und Freiheiten anderer.
Passende Vorträge
Die betroffene Person hat das Recht auf unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten durch den Verantwortlichen. Unter Berücksichtigung der Verarbeitungsziele hat die betroffene Person außerdem das Recht auf Berichtigung unvollständiger personenbezogener Daten, einschließlich der Bereitstellung zusätzlicher Informationen zur Ergänzung der vorhandenen Daten.
Passende Vorträge
1. Die betroffene Person hat das Recht, vom Verantwortlichen die Löschung der sie betreffenden personenbezogenen Daten ohne unnötige Verzögerung zu verlangen. Der Verantwortliche ist zur unverzüglichen Löschung dieser Daten verpflichtet, sofern eine der folgenden Voraussetzungen gegeben ist:
1.1 Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
1.2 Die betroffene Person widerruft ihre Einwilligung, die Grundlage für die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a war, und es gibt keine alternativen Rechtsgrundlagen für die Verarbeitung.
1.3 Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch ein.
1.4 Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
1.5 Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
1.6 Die personenbezogenen Daten wurden im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
2. Wenn der Verantwortliche die personenbezogenen Daten öffentlich offengelegt hat und gemäß Absatz 1 zur Löschung der Daten verpflichtet ist, muss der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Schritte, einschließlich technischer Maßnahmen, unternehmen, um andere Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren Die betroffene Person hat die Löschung aller Links zu diesen personenbezogenen Daten sowie von Kopien oder Replikationen dieser personenbezogenen Daten beantragt.
3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:
3.1 Zur Ausübung des Rechts auf freie Meinungsäußerung und Information.
3.2 Zur Erfüllung einer rechtlichen Verpflichtung, die sich aus dem Recht der Union oder eines Mitgliedstaats ergibt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
3.3 Aus Gründen des öffentlichen Interesses an der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3.
3.4 Für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Artikel 89 Absatz 1, sofern das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele unmöglich macht oder ernsthaft beeinträchtigt dieser Verarbeitung.
3.5 Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Passende Vorträge
( 65 ) Recht auf Berichtigung und Löschung
( 66 ) Recht auf Vergessenwerden
1. Die betroffene Person hat das Recht, vom Verantwortlichen eine Einschränkung der Verarbeitung ihrer personenbezogenen Daten unter folgenden Umständen zu verlangen:
1.1 Wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bezweifelt wird, wird dem Verantwortlichen eine Frist zur Überprüfung der Richtigkeit eingeräumt.
1.2 Wenn die Verarbeitung als rechtswidrig gilt und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen eine Einschränkung ihrer Nutzung verlangt.
1.3 Wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
1.4 Wenn die betroffene Person Einwände gegen die Verarbeitung gemäß Artikel 21 Absatz 1 erhoben hat, bis zur Überprüfung, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
2. Bei einer Einschränkung der Verarbeitung gemäß Absatz 1 dürfen diese personenbezogenen Daten, abgesehen von Zwecken der Speicherung, nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Wahrung ihrer Rechte verarbeitet werden einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats.
3. Der Verantwortliche muss eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erhalten hat, informieren, bevor er die Einschränkung der Verarbeitung aufhebt.
Passende Vorträge
Der Verantwortliche muss jeden Empfänger, dem die personenbezogenen Daten offengelegt wurden, über jede gemäß Artikel 16, Artikel 17 Absatz 1 und Artikel 18 durchgeführte Berichtigung, Löschung oder Einschränkung der Verarbeitung informieren, es sei denn, eine solche Maßnahme ist undurchführbar oder erfordert einen übermäßigen Aufwand . Auf Wunsch der betroffenen Person muss der Verantwortliche der betroffenen Person auch Auskunft über diese Empfänger erteilen.
Passende Vorträge
1. Die betroffene Person hat das Recht, ihre personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den ursprünglichen Verantwortlichen unter folgenden Voraussetzungen zu übermitteln:
1.1. Die Verarbeitung beruht auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b.
1.2. Die Verarbeitung erfolgt automatisiert.
2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, dass ihre personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden, sofern dies technisch machbar ist.
3. Die Ausübung dieses in Absatz 1 genannten Rechts berührt nicht Artikel 17 und gilt nicht für die Verarbeitung, die für Aufgaben erforderlich ist, die im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen, die dem Verantwortlichen übertragen wurde.
4. Das in Absatz 1 genannte Recht beeinträchtigt nicht die Rechte und Freiheiten anderer.
Passende Vorträge
1. Die betroffene Person behält sich das Recht vor, der Verarbeitung ihrer personenbezogenen Daten gemäß Artikel 6 Absatz 1 Buchstabe e oder f, einschließlich eines auf diesen Bestimmungen basierenden Profilings, aufgrund besonderer Umstände zu widersprechen. Der Verantwortliche muss die Verarbeitung der personenbezogenen Daten einstellen, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
2. In Fällen, in denen personenbezogene Daten für Direktmarketingzwecke verwendet werden, hat die betroffene Person jederzeit das Recht, der Verarbeitung ihrer personenbezogenen Daten für solche Marketingzwecke zu widersprechen, einschließlich der Profilerstellung im Zusammenhang mit dieser Direktwerbung.
3. Wenn die betroffene Person der Verarbeitung für Direktmarketing widerspricht, müssen die personenbezogenen Daten für diese Zwecke nicht mehr verarbeitet werden.
4. Das in den Absätzen 1 und 2 genannte Recht muss der betroffenen Person spätestens bei der ersten Kommunikation mit der betroffenen Person ausdrücklich zur Kenntnis gebracht, klar und getrennt von anderen Informationen dargelegt werden.
5. Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft besteht für die betroffene Person die Möglichkeit, ihr Widerspruchsrecht ungeachtet der Richtlinie 2002/58/EG mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
6. Wenn personenbezogene Daten gemäß Artikel 89 Absatz 1 zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken verarbeitet werden, behält sich die betroffene Person das Recht vor, unter Berücksichtigung besonderer Umstände, die sich aus ihrer Situation ergeben, gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. es sei denn, die Verarbeitung ist aus Gründen des öffentlichen Interesses für die Erfüllung einer Aufgabe unerlässlich.
Passende Vorträge
( 69 ) Widerspruchsrecht
( 70 ) Widerspruchsrecht gegen Direktmarketing
1. Die betroffene Person hat das Recht, nicht Entscheidungen unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und rechtliche Konsequenzen oder ähnlich erhebliche Auswirkungen auf sie haben.
2. Absatz 1 ist ausgenommen, wenn die Entscheidung:
2.1 Ist für die Anbahnung oder Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen unerlässlich;
2.2 Wird durch das für den Verantwortlichen geltende Recht der Union oder der Mitgliedstaaten sanktioniert, begleitet von geeigneten Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person; oder
2.3 Basiert auf der ausdrücklichen Einwilligung der betroffenen Person.
3. In den in Absatz 2 Buchstaben a und c genannten Fällen muss der für die Verarbeitung Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person durchsetzen. Zu diesen Maßnahmen sollte zumindest das Recht der betroffenen Person gehören, vom Verantwortlichen menschliches Eingreifen zu verlangen, ihren Standpunkt darzulegen und die Entscheidung anzufechten.
4. Die in Absatz 2 genannten Entscheidungen können nicht auf den in Artikel 9 Absatz 1 beschriebenen besonderen Kategorien personenbezogener Daten beruhen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g ist anwendbar und es werden angemessene Maßnahmen zum Schutz dieser Daten getroffen Rechte, Freiheiten und berechtigte Interessen der betroffenen Person.
Passende Vorträge
( 71 ) Profiling
( 72 ) Leitlinien des Europäischen Datenschutzausschusses zum Profiling
( 91 ) Notwendigkeit einer Datenschutz-Folgenabschätzung
1. Die für den Verantwortlichen oder den Auftragsverarbeiter geltenden Gesetze der Union oder der Mitgliedstaaten können den Umfang der in den Artikeln 12 bis 22 und Artikel 34 sowie in Artikel 5 dargelegten Pflichten und Rechte einschränken, soweit sie die Rechte und Pflichten widerspiegeln Artikel 12 bis 22. Solche Beschränkungen müssen den Wesensgehalt der Grundrechte und Grundfreiheiten wahren und eine notwendige und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft darstellen, um Folgendes zu schützen:
1.1 Nationale Sicherheit;
1.2 Verteidigung;
1.3 Öffentliche Sicherheit;
1.4 Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten, einschließlich Maßnahmen zur Abwehr von Gefahren für die öffentliche Sicherheit;
1.5 Sonstige wichtige Ziele des öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere wirtschaftliche oder finanzielle Interessen, öffentliche Gesundheit, soziale Sicherheit und Schutz der Unabhängigkeit der Justiz und der Verfahren;
1.6 Prävention, Untersuchung, Aufdeckung und Verfolgung von ethischen Verstößen in reglementierten Berufen;
1.7 Aufgaben im Zusammenhang mit Überwachung, Inspektion oder Regulierung, die gelegentlich mit der Ausübung öffentlicher Gewalt in den in den Punkten (1.1) bis (1.5) und (1.7) genannten Fällen verbunden sind;
1.8 Schutz der betroffenen Person oder der Rechte und Freiheiten anderer;
1.9 Durchsetzung zivilrechtlicher Ansprüche.
2. Insbesondere müssen alle in Absatz 1 genannten gesetzgeberischen Maßnahmen spezifische Bestimmungen enthalten, die zumindest Folgendes betreffen:
2.1 Verarbeitungszwecke bzw. Verarbeitungskategorien;
2.2 Arten personenbezogener Daten;
2.3 Umfang der eingeführten Beschränkungen;
2.4 Schutzmaßnahmen zur Verhinderung von Missbrauch, unrechtmäßigem Zugriff oder Übertragung;
2.5 Identifizierung des Verantwortlichen bzw. der Verantwortlichenkategorien;
2.6 Dauer der Datenspeicherung und entsprechende Garantien unter Berücksichtigung der Art, des Umfangs oder der Kategorien der Verarbeitung;
2.7 Risiken für die Rechte und Freiheiten der betroffenen Personen;
2.8 Das Recht der betroffenen Personen, über die Einschränkung informiert zu werden, es sei denn, dass dadurch der Zweck der Einschränkung gefährdet wird.
Passende Vorträge
Kapitel 4 (Artikel 24-43) Verantwortlicher und Auftragsverarbeiter.
1. Unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Ziele der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um die Einhaltung dieser Verordnung sicherzustellen und nachzuweisen. Diese Maßnahmen sollten regelmäßig überprüft und bei Bedarf aktualisiert werden.
2. Sofern es angesichts der Art der Verarbeitungstätigkeiten als angemessen erachtet wird, sollten die in Absatz 1 beschriebenen Maßnahmen die Umsetzung wirksamer Datenschutzrichtlinien durch den Verantwortlichen umfassen.
3. Die Einhaltung der in Artikel 40 genannten anerkannten Verhaltenskodizes oder anerkannten Zertifizierungsmechanismen gemäß Artikel 42 kann als Nachweis dafür dienen, dass der Verantwortliche seinen Pflichten nachkommt.
Passende Vorträge
( 74 ) Verantwortung und Haftung des Verantwortlichen
( 75 ) Risiken für die Rechte und Freiheiten natürlicher Personen
( 76 ) Risikobewertung
( 77 ) Leitlinien zur Risikobewertung
1. Angesichts des aktuellen Standes der Technik, der Kosten für die Implementierung und der spezifischen Merkmale, des Umfangs, der Kontexte und der Zwecke der Verarbeitung sowie der unterschiedlichen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl bei der Festlegung der Mittel zur Verarbeitung als auch während der Verarbeitung selbst geeignete technische und organisatorische Maßnahmen. Diese Maßnahmen, wie beispielsweise Pseudonymisierung, sollen die Datenschutzgrundsätze, einschließlich Datenminimierung, effektiv umsetzen und die erforderlichen Garantien in die Verarbeitung integrieren, um den Anforderungen dieser Verordnung zu entsprechen und die Rechte der betroffenen Personen zu schützen.
2. Der Verantwortliche ergreift angemessene technische und organisatorische Maßnahmen, um sicherzustellen, dass standardmäßig nur die für den jeweiligen Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Diese Verpflichtung betrifft den Umfang der erhobenen personenbezogenen Daten, die Art ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit. Durch diese Maßnahmen soll insbesondere gewährleistet werden, dass personenbezogene Daten nicht ohne Zutun des Einzelnen einer unbestimmten Anzahl natürlicher Personen zugänglich gemacht werden.
3. Ein genehmigter Zertifizierungsmechanismus gemäß Artikel 42 kann als Nachweis für die Einhaltung der in den Absätzen 1 und 2 dieses Artikels festgelegten Anforderungen dienen.
Passende Vorträge
1. Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Methoden der Datenverarbeitung festlegen, fungieren sie als gemeinsame Verantwortliche. Sie legen transparent ihre jeweiligen Verantwortlichkeiten zur Einhaltung der Vorschriften dieser Verordnung fest, insbesondere hinsichtlich der Ausübung der Rechte der betroffenen Person und ihrer Pflichten zur Bereitstellung der gemäß den Artikeln 13 und 14 erforderlichen Informationen, sofern nicht durch das einschlägige Recht der Union oder der Mitgliedstaaten, dem die Verantwortlichen unterliegen, ihre Verantwortlichkeiten bereits festgelegt sind. Diese Vereinbarung kann eine Kontaktperson für betroffene Personen benennen.
2. Die genannte Vereinbarung gemäß Absatz 1 muss die jeweiligen Rollen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen angemessen darstellen. Der Inhalt dieser Vereinbarung muss für die betroffene Person einsehbar sein.
3. Unabhängig von den Bestimmungen der in Absatz 1 genannten Vereinbarung kann die betroffene Person ihre Rechte gemäß dieser Verordnung sowohl gegenüber den gemeinsamen Verantwortlichen als auch gegenüber jedem einzelnen Verantwortlichen ausüben.
Passende Vorträge
1. Falls Artikel 3 Absatz 2 zutrifft, muss der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union benennen.
2. Die Verpflichtung gemäß Absatz 1 dieses Artikels gilt nicht für:
2.1 Gelegentliche Verarbeitungen, die keine umfangreiche Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 oder personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10 umfassen und unwahrscheinlich sind, dass sie unter Berücksichtigung der Art, des Kontexts, des Umfangs und der Zwecke der Verarbeitung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellen; oder
2.2 Öffentliche Behörden oder Einrichtungen.
3. Der Vertreter muss seinen Sitz in einem Mitgliedstaat haben, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie verarbeitet werden oder deren Verhalten beobachtet wird.
4. Der Vertreter wird vom Verantwortlichen oder Auftragsverarbeiter beauftragt, neben oder anstelle des Verantwortlichen oder des Auftragsverarbeiters insbesondere auch Aufsichtsbehörden und betroffene Personen in allen mit der Verarbeitung zusammenhängenden Fragen zum Zwecke der Einhaltung dieser Verordnung zu vertreten.
5. Die Benennung eines Vertreters durch den Verantwortlichen oder Auftragsverarbeiter hat keine Auswirkungen auf rechtliche Schritte, die gegen den Verantwortlichen oder den Auftragsverarbeiter selbst eingeleitet werden könnten.
Passende Vorträge
1. Wenn die Verarbeitung im Auftrag eines Verantwortlichen durchgeführt werden soll, darf der Verantwortliche nur Auftragsverarbeiter einsetzen, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, sodass die Verarbeitung den Anforderungen dieser Verordnung entspricht und den Schutz der Rechte der betroffenen Person gewährleistet.
2. Der Auftragsverarbeiter darf ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen anderen Auftragsverarbeiter beauftragen. Im Falle einer allgemeinen schriftlichen Ermächtigung hat der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzunahme oder Ersetzung anderer Auftragsverarbeiter zu informieren und ihm dabei die Möglichkeit zu geben, diesen Änderungen zu widersprechen.
3. Die Verarbeitung durch einen Auftragsverarbeiter wird durch einen Vertrag oder einen anderen Rechtsakt nach dem Recht der Union oder der Mitgliedstaaten geregelt, der für den Auftragsverarbeiter gegenüber dem Verantwortlichen bindend ist und den Gegenstand und die Dauer der Verarbeitung sowie die Art und den Zweck festlegt. Der Vertrag legt auch die Pflichten und Rechte des Verantwortlichen fest. Insbesondere muss der Auftragsverarbeiter:
– die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten;
– sicherstellen, dass befugte Personen zur Vertraulichkeit verpflichtet sind;
– alle erforderlichen Sicherheitsmaßnahmen gemäß Artikel 32 ergreifen;
– den Verantwortlichen bei der Beantwortung von Anfragen zur Ausübung der in Kapitel III festgelegten Rechte der betroffenen Person unterstützen;
– sicherstellen, dass der Verantwortliche die Pflichten gemäß den Artikeln 32 bis 36 einhält;
– die personenbezogenen Daten nach Wahl des Verantwortlichen löschen oder nach Beendigung der Dienstleistungen an den Verantwortlichen zurückgeben und vorhandene Kopien löschen;
– dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, um die Einhaltung der Pflichten gemäß diesem Artikel nachzuweisen und Audits durchzuführen.
4. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich informieren, wenn er der Ansicht ist, dass eine Weisung gegen diese Verordnung oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
5. Wenn ein Auftragsverarbeiter einen anderen Auftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt, gelten für diesen die gleichen Datenschutzverpflichtungen, die im Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind. Dabei kann der Vertrag oder Rechtsakt auf Standardvertragsklauseln basieren, auch wenn sie Teil einer Zertifizierung sind.
6. Die Einhaltung eines genehmigten Verhaltenskodex oder Zertifizierungsmechanismus durch einen Auftragsverarbeiter kann als Nachweis ausreichender Garantien herangezogen werden.
7. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder der andere in den Absätzen 3 und 4 dieses Artikels genannte Rechtsakt ganz oder teilweise auf den Standardvertragsklauseln basieren, auch wenn sie Teil einer Zertifizierung sind.
8. Die Kommission kann Standardvertragsklauseln festlegen, und eine Aufsichtsbehörde kann solche Klauseln erlassen.
9. Der Vertrag oder andere Rechtsakte müssen schriftlich erfolgen.
10. Verstößt ein Auftragsverarbeiter gegen diese Verordnung, indem er die Zwecke und Mittel der Verarbeitung festlegt, gilt er als Verantwortlicher, ohne dass Artikel 82, 83 und 84 davon betroffen sind.
Passende Vorträge
Der Auftragsverarbeiter sowie alle von ihm oder vom Verantwortlichen beaufsichtigten Personen, die Zugriff auf personenbezogene Daten haben, dürfen diese Daten nur gemäß den Anweisungen des Verantwortlichen verarbeiten, es sei denn, dies ist gemäß Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.
1. Jeder Verantwortliche sowie gegebenenfalls sein Vertreter sind verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten unter ihrer Verantwortung zu führen. Diese Aufzeichnung muss sämtliche folgende Informationen enthalten:
1.1 Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsamen Verantwortlichen, des Vertreters des Verantwortlichen sowie des Datenschutzbeauftragten;
1.2 Zwecke der Verarbeitung;
1.3 Beschreibung der Kategorien betroffener Personen und personenbezogener Daten;
1.4 Kategorien von Empfängern, denen personenbezogene Daten offengelegt wurden oder noch offengelegt werden sollen, einschließlich Empfängern in Drittländern oder internationalen Organisationen;
1.5 Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen, einschließlich der Identifizierung des Drittlands oder der internationalen Organisation sowie, falls zutreffend, der dokumentierten angemessenen Datenschutzmaßnahmen gemäß Artikel 49 Absatz 1 Unterabsatz 2;
1.6 Angabe der vorgesehenen Löschfristen für verschiedene Datenkategorien, soweit möglich;
1.7 Allgemeine Beschreibung der gemäß Artikel 32 Absatz 1 getroffenen technischen und organisatorischen Sicherheitsmaßnahmen, soweit möglich.
2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter sind verpflichtet, ein Verzeichnis sämtlicher Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag eines Verantwortlichen durchgeführt werden und die folgende Informationen enthalten:
2.1 Namen und Kontaktdaten des Auftragsverarbeiters sowie jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter handelt, sowie gegebenenfalls des Vertreters des Auftragsverarbeiters und des Datenschutzbeauftragten;
2.2 Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungstätigkeiten;
2.3 Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen, einschließlich der Identifizierung des Drittlands oder der internationalen Organisation sowie, falls zutreffend, der dokumentierten angemessenen Datenschutzmaßnahmen gemäß Artikel 49 Absatz 1 Unterabsatz 2;
2.4 Allgemeine Beschreibung der gemäß Artikel 32 Absatz 1 getroffenen technischen und organisatorischen Sicherheitsmaßnahmen, soweit möglich.
3. Die in den Absätzen 1 und 2 genannten Aufzeichnungen sind schriftlich zu führen, auch elektronisch.
4. Der Verantwortliche oder der Auftragsverarbeiter und gegebenenfalls sein Vertreter sind verpflichtet, die Aufzeichnungen der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
5. Die in den Absätzen 1 und 2 genannten Verpflichtungen gelten nicht für Unternehmen oder Organisationen mit weniger als 250 Mitarbeitern, es sei denn, ihre Verarbeitungstätigkeiten bergen voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen, erfolgen nicht gelegentlich oder umfassen besondere Kategorien von Daten gemäß Artikel 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten gemäß Artikel 10.
Passende Vorträge
( 13 ) Berücksichtigung von Kleinst-, Klein- und Mittelbetrieben
( 82 ) Verzeichnis der Verarbeitungstätigkeiten
Auf Anfrage der Aufsichtsbehörde kooperieren der Verantwortliche und der Auftragsverarbeiter sowie gegebenenfalls deren Vertreter bei der Erfüllung ihrer Aufgaben.
Passende Vorträge
1. Angesichts des aktuellen technologischen Standes, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Ziele der Verarbeitung, und unter Berücksichtigung der unterschiedlichen Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen, werden der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen, um ein angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören gegebenenfalls:
1.1. Pseudonymisierung und Verschlüsselung personenbezogener Daten.
1.2. Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten.
1.3. Bereitstellung eines Verfahrens zur rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls.
1.4. Durchführung regelmäßiger Prüfungen, Bewertungen und Bewertungen der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherstellung der Verarbeitungssicherheit.
2. Bei der Bewertung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung einhergehen, wie z.B. versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
3. Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 kann als Nachweis für die Erfüllung der in Absatz 1 dieses Artikels genannten Anforderungen dienen.
4. Der Verantwortliche und der Auftragsverarbeiter treffen Maßnahmen, um sicherzustellen, dass Personen, die unter ihrer Aufsicht handeln und Zugriff auf personenbezogene Daten haben, diese nur gemäß den Weisungen des Verantwortlichen verarbeiten, es sei denn, sie sind gemäß Unionsrecht oder dem Recht der Mitgliedstaaten dazu verpflichtet.
Passende Vorträge
( 75 ) Risiken für die Rechte und Freiheiten natürlicher Personen
( 76 ) Risikobewertung
( 77 ) Richtlinien zur Risikobewertung
( 78 ) Geeignete technische und organisatorische Maßnahmen
( 79 ) Zuordnung der Verantwortlichkeiten
( 83 ) Sicherheit der Verarbeitung
1. Bei einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche die Pflicht, die betreffende Aufsichtsbehörde unverzüglich zu benachrichtigen, und zwar idealerweise innerhalb von 72 Stunden nach Kenntniserlangung, es sei denn, die Verletzung birgt kein Risiko für die Rechte und Freiheiten natürlicher Personen. Falls die Meldung nicht innerhalb dieses Zeitrahmens erfolgt, müssen die Gründe für die Verzögerung angegeben werden.
2. Sobald der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten erfährt, muss er den Verantwortlichen umgehend informieren.
3. Die Meldung gemäß Absatz 1 muss mindestens die folgenden Informationen enthalten:
3.1. Eine Beschreibung der Art der Verletzung, einschließlich der betroffenen Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der betroffenen Datensätze personenbezogener Daten, sofern möglich.
3.2. Die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Stelle, bei der weitere Informationen erhältlich sind.
3.3. Eine Beschreibung der möglichen Auswirkungen der Verletzung des Schutzes personenbezogener Daten.
3.4. Die ergriffenen oder vorgeschlagenen Maßnahmen des Verantwortlichen zur Behebung der Verletzung, einschließlich etwaiger Maßnahmen zur Milderung potenzieller Schäden.
4. Falls eine sofortige Bereitstellung aller Informationen nicht möglich ist, können diese stufenweise und ohne unnötige Verzögerung bereitgestellt werden.
5. Der Verantwortliche ist verpflichtet, sämtliche Verstöße gegen den Schutz personenbezogener Daten zu dokumentieren, einschließlich der Umstände des Vorfalls, seiner Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation soll es der Aufsichtsbehörde ermöglichen, die Einhaltung der Vorschriften zu überprüfen.
Passende Vorträge
( 85 ) Meldepflicht von Verstößen an die Aufsichtsbehörde
( 87 ) Pünktlichkeit der Meldung/Meldung
( 88 ) Format und Verfahren der Meldung
1. Sollte die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein erhebliches Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist der Verantwortliche verpflichtet, die betroffene Person unverzüglich über die Datenschutzverletzung zu informieren.
2. Die Mitteilung an die betroffene Person gemäß Absatz 1 dieses Artikels muss in klarer und verständlicher Sprache erfolgen und mindestens die in den Absätzen b, c und d von Artikel 33 Absatz 3 genannten Informationen und Maßnahmen enthalten.
3. Eine Mitteilung an die betroffene Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
3.1 Der Verantwortliche hat angemessene technische und organisatorische Schutzmaßnahmen ergriffen, die auf die betroffenen personenbezogenen Daten angewendet wurden, insbesondere solche, die die personenbezogenen Daten für nicht autorisierte Personen unkenntlich machen, wie beispielsweise Verschlüsselung.
3.2 Der Verantwortliche hat Folgemaßnahmen ergriffen, um sicherzustellen, dass das erwartete hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nicht mehr besteht.
3.3 Die Benachrichtigung würde einen unverhältnismäßigen Aufwand bedeuten. In einem solchen Fall muss stattdessen eine öffentliche Kommunikation oder eine ähnliche Maßnahme erfolgen, um die betroffenen Personen gleichermaßen effektiv zu informieren.
4. Falls der Verantwortliche die betroffene Person noch nicht über die Datenschutzverletzung informiert hat, kann die Aufsichtsbehörde nach Prüfung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu einem erheblichen Risiko führt, eine solche Benachrichtigung anfordern oder feststellen, dass eine der genannten Bedingungen gemäß Absatz 3 erfüllt ist.
Passende Vorträge
( 86 ) Benachrichtigung betroffener Personen im Falle von Datenschutzverstößen
( 87 ) Pünktlichkeit der Meldung/Benachrichtigung
( 88 ) Format und Verfahren der Benachrichtigung
1. Vor der Durchführung einer bestimmten Art von Datenverarbeitung, insbesondere unter Verwendung neuer Technologien, die voraussichtlich ein erhebliches Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss der Verantwortliche eine Bewertung der Auswirkungen der geplanten Verarbeitung auf den Datenschutz vornehmen. Diese Bewertung kann sich auf eine Reihe ähnlicher Verarbeitungsvorgänge beziehen, die vergleichbare Risiken bergen.
2. Der Verantwortliche ist verpflichtet, den Rat des Datenschutzbeauftragten (falls vorhanden) einzuholen, wenn er eine Datenschutz-Folgenabschätzung durchführt.
3. Eine Datenschutz-Folgenabschätzung ist insbesondere erforderlich bei:
3.1 Systematischen und umfassenden Bewertungen persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung basieren und rechtliche Auswirkungen auf die betroffene Person haben oder sie erheblich beeinträchtigen können.
3.2 Umfangreichen Verarbeitungen spezieller Kategorien von Daten gemäß Artikel 9 Absatz 1 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.
3.3 Systematischer großflächiger Überwachung eines öffentlich zugänglichen Bereichs.
4. Die Aufsichtsbehörde erstellt und veröffentlicht eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, und übermittelt diese dem in Artikel 68 genannten Gremium.
5. Die Aufsichtsbehörde kann auch eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist, und diese dem Vorstand übermitteln.
6. Bevor die Aufsichtsbehörde die Listen gemäß den Absätzen 4 und 5 annimmt, wendet sie den Kohärenzmechanismus gemäß Artikel 63 an, wenn diese Listen Verarbeitungstätigkeiten umfassen, die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen oder mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen oder der Überwachung ihres Verhaltens in mehreren Mitgliedstaaten zusammenhängen.
7. Die Bewertung muss mindestens Folgendes enthalten:
7.1 Systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, einschließlich des vom Verantwortlichen verfolgten berechtigten Interesses, falls vorhanden.
7.2 Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zu den Zwecken.
7.3 Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
7.4 Geplante Maßnahmen zur Bewältigung der Risiken, einschließlich Schutz- und Sicherheitsmaßnahmen sowie Nachweismechanismen zur Einhaltung der Verordnung unter Berücksichtigung der Rechte und Interessen der betroffenen Personen.
8. Die Einhaltung von genehmigten Verhaltenskodizes gemäß Artikel 40 durch die Verantwortlichen oder Auftragsverarbeiter wird angemessen bei der Bewertung der Auswirkungen ihrer Verarbeitungsvorgänge berücksichtigt, insbesondere im Rahmen einer Datenschutz-Folgenabschätzung.
9. Der Verantwortliche kann gegebenenfalls die Ansichten der betroffenen Personen oder ihrer Vertreter zur geplanten Verarbeitung einholen, unter Berücksichtigung des Schutzes kommerzieller oder öffentlicher Interessen sowie der Sicherheit der Verarbeitungsvorgänge.
10. Wenn die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstaben c oder e eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats hat, regelt dieses Recht den spezifischen Verarbeitungsvorgang. In diesem Fall finden die Absätze 1 bis 7 keine Anwendung, es sei denn, die Mitgliedstaaten sehen die Durchführung einer Datenschutz-Folgenabschätzung vor.
11. Der Verantwortliche führt bei Bedarf eine Überprüfung durch, um sicherzustellen, dass die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung erfolgt, insbesondere wenn sich das Risiko durch die Verarbeitungsvorgänge ändert.
Passende Vorträge
( 75 ) Risiken für die Rechte und Freiheiten natürlicher Personen
( 84 ) Risikobewertung und Folgenabschätzung
( 89 ) Wegfall der allgemeinen Meldepflicht
( 90 ) Datenschutz-Folgenabschätzung
( 91 ) Notwendigkeit einer Datenschutz-Folgenabschätzung
( 92 ) Umfassender Datenschutz-Folgenabschätzung
( 93 ) Datenschutz-Folgenabschätzung bei Behörden
1. Bevor der Verantwortliche mit einer Verarbeitung beginnt, die nach einer Datenschutz-Folgenabschätzung gemäß Artikel 35 ein hohes Risiko birgt, wenn keine Risikominderungsmaßnahmen ergriffen werden, konsultiert er die Aufsichtsbehörde.
2. Sollte die Aufsichtsbehörde feststellen, dass die geplante Verarbeitung gemäß Absatz 1 gegen diese Verordnung verstößt, insbesondere wenn der Verantwortliche das Risiko nicht angemessen erkannt oder reduziert hat, muss sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb von bis zu acht Wochen nach Erhalt der Benachrichtigung eine schriftliche Stellungnahme zukommen lassen und kann dabei alle Befugnisse gemäß Artikel 58 ausüben. Die Frist kann um sechs Wochen verlängert werden, wenn die geplante Verarbeitung besonders komplex ist. Die Aufsichtsbehörde teilt dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter die Verlängerung innerhalb eines Monats nach Erhalt des Konsultationsantrags mit, wobei die Gründe für die Verzögerung angegeben werden. Diese Fristen können bis zur Bereitstellung der angeforderten Informationen ausgesetzt werden.
3. Bei der Konsultation der Aufsichtsbehörde gemäß Absatz 1 übermittelt der Verantwortliche folgende Informationen:
3.1 Die jeweiligen Verantwortlichkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der beteiligten Auftragsverarbeiter, insbesondere bei der Verarbeitung innerhalb einer Unternehmensgruppe.
3.2 Die Zwecke und Methoden der geplanten Verarbeitung.
3.3 Die Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung.
3.4 Die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden.
3.5 Die Datenschutz-Folgenabschätzung gemäß Artikel 35.
3.6 Alle anderen von der Aufsichtsbehörde angeforderten Informationen.
4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung von Vorschlägen für Gesetzgebungsmaßnahmen oder regulatorischen Maßnahmen, die die Verarbeitung betreffen und von einem nationalen Parlament verabschiedet werden müssen oder auf solchen Maßnahmen beruhen.
5. Unabhängig von Absatz 1 können die nationalen Rechtsvorschriften von den Verantwortlichen verlangen, dass sie die Aufsichtsbehörde konsultieren und ihre vorherige Genehmigung einholen, wenn sie personenbezogene Daten im öffentlichen Interesse verarbeiten, insbesondere im Bereich des Sozialschutzes und der öffentlichen Gesundheit.
Passende Vorträge
( 94 ) Anhörung der Aufsichtsbehörde
( 95 ) Unterstützung durch den Auftragsverarbeiter
( 96 ) Anhörung der Aufsichtsbehörde im Rahmen eines Gesetzgebungsverfahrens
1. In jeder Situation müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen:
1.1 Wenn die Verarbeitung von einer öffentlichen Behörde oder Einrichtung durchgeführt wird, ausgenommen Gerichte, die in ihrer gerichtlichen Funktion handeln.
1.2 Wenn die Haupttätigkeit des Verantwortlichen oder des Auftragsverarbeiters darin besteht, Verarbeitungsvorgänge durchzuführen, die aufgrund ihrer Natur, ihres Umfangs und/oder ihrer Ziele eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern.
1.3 Wenn die Haupttätigkeit des Verantwortlichen oder des Auftragsverarbeiters darin besteht, umfangreiche Verarbeitungen spezieller Kategorien von Daten gemäß Artikel 9 oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 durchzuführen.
2. Eine Unternehmensgruppe kann einen einzigen Datenschutzbeauftragten benennen, solange dieser von jedem Standort aus leicht erreichbar ist.
3. Wenn der Verantwortliche oder der Auftragsverarbeiter eine Behörde oder Stelle ist, kann unter Berücksichtigung ihrer Organisationsstruktur und Größe ein einziger Datenschutzbeauftragter für mehrere solcher Behörden oder Stellen benannt werden.
4. In Fällen, die nicht unter Absatz 1 fallen, können der Verantwortliche, der Auftragsverarbeiter oder Verbände und andere Organisationen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen oder müssen dies gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats tun. Der Datenschutzbeauftragte kann für solche Verbände und andere Vertretungsorgane von Verantwortlichen oder Auftragsverarbeitern tätig werden.
5. Die Ernennung des Datenschutzbeauftragten basiert auf seinen beruflichen Qualifikationen, insbesondere seinem Fachwissen über Datenschutzgesetze und -praktiken sowie seiner Fähigkeit, die Aufgaben gemäß Artikel 39 zu erfüllen.
6. Der Datenschutzbeauftragte kann ein Mitarbeiter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags wahrnehmen.
7. Die Kontaktdaten des Datenschutzbeauftragten werden vom Verantwortlichen oder Auftragsverarbeiter veröffentlicht und der Aufsichtsbehörde mitgeteilt.
Passende Vorträge
1. Der Verantwortliche und der Auftragsverarbeiter gewährleisten, dass der Datenschutzbeauftragte ordnungsgemäß und rechtzeitig in alle Angelegenheiten einbezogen wird, die den Schutz personenbezogener Daten betreffen.
2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung der in Artikel 39 genannten Aufgaben, indem sie die erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitstellen und sein Fachwissen aufrechterhalten.
3. Der Verantwortliche und der Auftragsverarbeiter gewährleisten, dass der Datenschutzbeauftragte in Bezug auf die Erfüllung dieser Aufgaben keine Weisungen erhält. Er oder sie darf weder entlassen noch bestraft werden, um seine Aufgaben zu erfüllen. Der Datenschutzbeauftragte berichtet direkt an die oberste Führungsebene des Verantwortlichen oder Auftragsverarbeiters.
4. Betroffene Personen können sich bei allen Fragen zur Verarbeitung ihrer personenbezogenen Daten und zur Ausübung ihrer Rechte gemäß dieser Verordnung an den Datenschutzbeauftragten wenden.
5. Der Datenschutzbeauftragte ist verpflichtet, bei der Erfüllung seiner Aufgaben gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten Verschwiegenheit oder Vertraulichkeit zu wahren.
6. Der Datenschutzbeauftragte kann zusätzliche Aufgaben und Pflichten übernehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass solche Aufgaben und Pflichten keinen Interessenkonflikt verursachen.
Passende Vorträge
1. Der Datenschutzbeauftragte hat folgende Mindestaufgaben:
1.1 Informierung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Mitarbeiter, die an der Verarbeitung beteiligt sind, über deren Pflichten gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.
1.2 Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten sowie der Richtlinien des Verantwortlichen oder Auftragsverarbeiters zum Schutz personenbezogener Daten, einschließlich der Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des an der Verarbeitung beteiligten Personals und Durchführung damit verbundener Audits.
1.3 Bereitstellung von Beratungsdiensten in Bezug auf die Datenschutz-Folgenabschätzung auf Anfrage und Überwachung ihrer Durchführung gemäß Artikel 35.
1.4 Zusammenarbeit mit der Aufsichtsbehörde.
1.5 Als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung fungieren, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls in Bezug auf alle anderen Angelegenheiten konsultiert werden.
2. Bei der Erfüllung seiner Aufgaben muss der Datenschutzbeauftragte das mit den Verarbeitungsvorgängen verbundene Risiko angemessen berücksichtigen und dabei die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung berücksichtigen.
Passende Vorträge
1. Die Mitgliedstaaten, Aufsichtsbehörden, der Ausschuss und die Kommission unterstützen die Entwicklung von Verhaltenskodizes, die zur ordnungsgemäßen Umsetzung dieser Verordnung beitragen sollen. Dabei werden die Besonderheiten verschiedener Verarbeitungssektoren und die speziellen Anforderungen von Kleinstunternehmen, kleinen und mittleren Unternehmen berücksichtigt.
- Verbände und andere Gremien, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltenskodizes erstellen oder solche Kodizes ändern oder erweitern, um die Anwendung dieser Verordnung zu präzisieren. Diese Kodizes können sich insbesondere mit folgenden Aspekten befassen:
2.1 faire und transparente Abwicklung;
2.2 die berechtigten Interessen, die die Verantwortlichen in bestimmten Kontexten verfolgen;
2.3 die Erhebung personenbezogener Daten;
2.4 die Pseudonymisierung personenbezogener Daten;
2.5 die Informationen, die der Öffentlichkeit und den betroffenen Personen zur Verfügung gestellt werden;
2.6 die Ausübung der Rechte der betroffenen Personen;
2.7 die Informationen und der Schutz von Kindern sowie die Art und Weise, wie die Zustimmung der Träger der elterlichen Verantwortung für Kinder eingeholt werden soll;
2.8 die in den Artikeln 24 und 25 genannten Maßnahmen und Verfahren sowie die in Artikel 32 genannten Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung;
2.9 die Meldung von Verstößen gegen den Schutz personenbezogener Daten an Aufsichtsbehörden und die Mitteilung solcher Verstöße gegen den Schutz personenbezogener Daten an betroffene Personen;
2.10 die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen; oder
2.11 Außergerichtliche Verfahren und andere Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte der betroffenen Personen gemäß den Artikeln 77 und 79.
3. Genehmigte Verhaltenskodizes gemäß Absatz 5 können von Verantwortlichen oder Auftragsverarbeitern eingehalten werden, auch wenn sie nicht direkt unter diese Verordnung fallen. Dies kann dazu beitragen, angemessene Garantien für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen gemäß Artikel 46 Absatz 2 Buchstabe e zu gewährleisten.
4. Ein Verhaltenskodex gemäß Absatz 2 muss Mechanismen enthalten, die die Überwachung seiner Einhaltung durch die Verantwortlichen oder Auftragsverarbeiter ermöglichen, ohne die Aufgaben und Befugnisse der zuständigen Aufsichtsbehörden gemäß Artikel 55 oder 56 zu beeinträchtigen.
5. Verbände und andere Organisationen, die beabsichtigen, Verhaltenskodizes zu erstellen, zu ändern oder zu erweitern, müssen den Entwurf der zuständigen Aufsichtsbehörde gemäß Artikel 55 vorlegen. Diese Aufsichtsbehörde gibt eine Stellungnahme zur Vereinbarkeit mit der Verordnung ab und genehmigt den Entwurf, wenn er ausreichende Garantien bietet.
6. Wird der Entwurf gemäß Absatz 5 genehmigt und bezieht sich der Kodex nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so wird er von der Aufsichtsbehörde registriert und veröffentlicht.
7. Falls der Kodex Verarbeitungstätigkeiten in mehreren Mitgliedstaaten betrifft, wird er dem Ausschuss zur Stellungnahme vorgelegt. Dieser bewertet, ob der Kodex im Einklang mit der Verordnung steht oder angemessene Garantien bietet, falls erforderlich.
8. Bestätigt der Ausschuss die Vereinbarkeit des Kodex mit der Verordnung, legt er seine Stellungnahme der Kommission vor.
9. Die Kommission kann per Durchführungsrechtsakt beschließen, dass genehmigte Verhaltenskodizes in der gesamten Union gelten. Diese Rechtsakte werden gemäß Artikel 93 Absatz 2 erlassen.
10. Die Kommission stellt sicher, dass genehmigte Kodizes angemessen bekannt gemacht werden, wenn beschlossen wird, dass sie allgemeine Gültigkeit haben.
11. Der Vorstand führt alle genehmigten Kodizes, Änderungen und Erweiterungen in einem Register zusammen und macht sie öffentlich zugänglich.
Passende Vorträge
( 98 ) Erstellung von Verhaltenskodizes durch Organisationen und Verbände
( 99 ) Konsultation von Interessengruppen und betroffenen Personen bei der Entwicklung von Verhaltenskodizes
1. Ungeachtet der Zuständigkeit und Befugnisse der einschlägigen Aufsichtsbehörde gemäß Artikel 57 und 58 kann die Überwachung der Einhaltung eines Verhaltenskodex gemäß Artikel 40 von einer akkreditierten Stelle durchgeführt werden, die über angemessene Fachkenntnisse in Bezug auf den Gegenstand des Kodex verfügt und von der zuständigen Aufsichtsbehörde hierzu autorisiert wurde.
2. Eine solche Stelle gemäß Absatz 1 kann akkreditiert werden, wenn sie die folgenden Kriterien erfüllt:
2.1 Nachweis ihrer Unabhängigkeit und fachlichen Kompetenz in Bezug auf den Kodexgegenstand, der die Zufriedenheit der einschlägigen Aufsichtsbehörde erlangt hat;
2.2 Etablierung von Verfahren, um die Eignung der betroffenen Verantwortlichen und Auftragsverarbeiter zur Einhaltung des Kodex zu bewerten, ihre Compliance zu überwachen und regelmäßige Überprüfungen seiner Funktionsweise durchzuführen;
2.3 Einrichtung von Verfahren und Strukturen zur Behandlung von Beschwerden über Kodexverstöße oder die Umsetzung des Kodex durch Verantwortliche oder Auftragsverarbeiter, die transparent für betroffene Personen und die Öffentlichkeit sind;
2.4 Nachweis gegenüber der zuständigen Aufsichtsbehörde, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
3. Die zuständige Aufsichtsbehörde legt dem Ausschuss gemäß dem Kohärenzmechanismus gemäß Artikel 63 den Entwurf der Anforderungen für die Akkreditierung einer Stelle gemäß Absatz 1 dieses Artikels vor.
4. Ungeachtet der Zuständigkeit und Befugnisse der einschlägigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine im Absatz 1 genannte Stelle unter Berücksichtigung angemessener Garantien geeignete Maßnahmen im Falle eines Verstoßes gegen den Kodex durch einen Verantwortlichen oder Auftragsverarbeiter, einschließlich der Aussetzung oder des Ausschlusses des betreffenden Verantwortlichen oder Auftragsverarbeiters aus dem Kodex. Die Aufsichtsbehörde wird über solche Maßnahmen und die Gründe informiert.
5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht erfüllt sind oder wenn die Handlungen der Stelle gegen diese Verordnung verstoßen.
6. Dieser Artikel findet keine Anwendung auf die Verarbeitung durch Behörden und Stellen.
1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission befürworten insbesondere auf Unionsebene die Einführung von Datenschutzzertifizierungsmechanismen sowie von Datenschutzsiegeln und -marken, um die Einhaltung dieser Verordnung durch Verantwortliche und Auftragsverarbeiter bei Verarbeitungsvorgängen nachzuweisen. Dabei sollen die spezifischen Anforderungen von Kleinst-, Klein- und Mittelunternehmen berücksichtigt werden.
2. Neben der Einhaltung durch Verantwortliche oder Auftragsverarbeiter, die dieser Verordnung unterliegen, können gemäß Absatz 5 dieses Artikels genehmigte Datenschutzzertifizierungsmechanismen, -siegel oder -zeichen eingerichtet werden, um das Vorhandensein angemessener Garantien nachzuweisen, die von Verantwortlichen oder Auftragsverarbeitern bereitgestellt werden, die dieser Verordnung nicht unterliegen. Diese Verantwortlichen oder Auftragsverarbeiter verpflichten sich durch vertragliche oder andere rechtsverbindliche Instrumente, die entsprechenden Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
3. Die Zertifizierung muss auf freiwilliger Basis erfolgen und durch ein transparentes Verfahren gewährleistet sein.
4. Eine Zertifizierung gemäß diesem Artikel entbindet den Verantwortlichen oder den Auftragsverarbeiter nicht von der Verantwortung für die Einhaltung dieser Verordnung und beeinträchtigt nicht die Zuständigkeiten und Befugnisse der Aufsichtsbehörden gemäß Artikel 55 oder 56.
5. Eine Zertifizierung gemäß diesem Artikel wird von den in Artikel 43 genannten Zertifizierungsstellen oder von der zuständigen Aufsichtsbehörde auf der Grundlage von Kriterien ausgestellt, die von der zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder vom Vorstand gemäß Artikel 63 genehmigt wurden. Die Genehmigung der Kriterien durch das Gremium kann zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
6. Der Verantwortliche oder Auftragsverarbeiter, der sich dem Zertifizierungsverfahren unterzieht, stellt der in Artikel 43 genannten Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle erforderlichen Informationen und Zugang zu seinen Verarbeitungstätigkeiten zur Verfügung, die für die Durchführung des Zertifizierungsverfahrens benötigt werden.
7. Die Zertifizierung wird einem Verantwortlichen oder Auftragsverarbeiter für maximal drei Jahre erteilt und kann unter denselben Bedingungen erneuert werden, sofern die entsprechenden Kriterien weiterhin erfüllt sind. Die Zertifizierung kann von den in Artikel 43 genannten Zertifizierungsstellen oder von der zuständigen Aufsichtsbehörde entzogen werden, wenn die Kriterien nicht mehr erfüllt sind.
8. Der Vorstand führt alle Zertifizierungsmechanismen sowie Datenschutzsiegel und -marken in einem Register zusammen und macht sie auf geeignete Weise öffentlich zugänglich.
Passende Vorträge
Ohne Beeinträchtigung der Zuständigkeiten und Befugnisse der entsprechenden Aufsichtsbehörde gemäß den Artikeln 57 und 58 müssen Zertifizierungsstellen, die über angemessenes Fachwissen im Bereich Datenschutz verfügen, die Aufsichtsbehörde nach Unterrichtung informieren. Dies ermöglicht es der Aufsichtsbehörde, ihre Befugnisse gemäß Artikel 57 und 58 auszuüben, insbesondere Artikel 58 Absatz 2 Buchstabe h, und bei Bedarf die Zertifizierung auszustellen oder zu erneuern. Die Mitgliedstaaten gewährleisten, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert sind:
1.1 die zuständige Aufsichtsbehörde gemäß Artikel 55 oder 56;
1.2 die nationale Akkreditierungsstelle, wie in der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates beschrieben, gemäß EN-ISO/IEC 17065:2012 sowie mit den zusätzlichen Anforderungen, die von der zuständigen Aufsichtsbehörde gemäß Artikel 55 oder 56 festgelegt wurden.Die Zertifizierungsstellen, wie in Absatz 1 genannt, werden gemäß diesem Absatz nur akkreditiert, wenn sie die folgenden Kriterien erfüllen:
2.1 Nachweis ihrer Unabhängigkeit und Fachkompetenz im Hinblick auf den Gegenstand der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde;
2.2 Verpflichtung zur Einhaltung der in Artikel 42 Absatz 5 genannten Kriterien, die von der zuständigen Aufsichtsbehörde oder vom Vorstand gemäß Artikel 63 genehmigt wurden;
2.3 etablierte Verfahren zur Ausstellung, regelmäßigen Überprüfung und zum Entzug von Datenschutzzertifizierungen, -siegeln und -prädikaten;
2.4 etablierte Verfahren und Strukturen zur Bearbeitung von Beschwerden über Verstöße gegen die Zertifizierung oder die Umsetzung der Zertifizierung durch den Verantwortlichen oder Auftragsverarbeiter sowie zur Transparenz dieser Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit; und
2.5 Nachweis gegenüber der zuständigen Aufsichtsbehörde, dass ihre Aufgaben und Pflichten keinen Interessenkonflikt darstellen.Die Akkreditierung von Zertifizierungsstellen gemäß den Absätzen 1 und 2 dieses Artikels erfolgt auf der Grundlage von Anforderungen, die von der zuständigen Aufsichtsbehörde oder vom Vorstand gemäß Artikel 63 genehmigt wurden. Bei einer Akkreditierung gemäß Absatz 1 Buchstabe b ergänzen diese Anforderungen die in der Verordnung (EG) Nr. 765/2008 festgelegten Anforderungen und die technischen Vorschriften, die die Methoden und Verfahren der Zertifizierungsstellen beschreiben.
Die in Absatz 1 genannten Zertifizierungsstellen sind für die ordnungsgemäße Bewertung verantwortlich, die zur Zertifizierung oder zum Entzug einer solchen Zertifizierung führt, unbeschadet der Verantwortung des Verantwortlichen oder Auftragsverarbeiters für die Einhaltung dieser Verordnung. Die Akkreditierung wird für einen Zeitraum von höchstens fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die in diesem Artikel festgelegten Anforderungen erfüllt.
Die in Absatz 1 genannten Zertifizierungsstellen teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Entzug der beantragten Zertifizierung mit.
Die in Absatz 3 dieses Artikels genannten Anforderungen und die in Artikel 42 Absatz 5 genannten Kriterien werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch an den Vorstand.
Die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle kann unbeschadet von Kapitel VIII die Akkreditierung einer Zertifizierungsstelle gemäß Absatz 1 dieses Artikels widerrufen, wenn die Akkreditierungsbedingungen nicht mehr erfüllt sind oder wenn die Zertifizierungsstelle Maßnahmen ergreift, die gegen diese Verordnung verstoßen.
Die Kommission erhält die Befugnis, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen für Datenschutzzertifizierungsmechanismen gemäß Artikel 42 Absatz 1 festzulegen.
Die Kommission kann Durchführungsrechtsakte erlassen, um technische Standards für Zertifizierungsmechanismen und Datenschutzsiegel und -zeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsmechanismen, Siegel und Zeichen festzulegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren gemäß Artikel 93 Absatz 2 erlassen.
- _ Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung der Anforderungen an die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 ( ABl. L 218). , 13.8.2008, S. 30 ).
Kapitel 5 – 11 (Artikel 44 – 99) kann unter diesem Link eingesehen werden: Klicken Sie hier!
(Sie werden von unserer Website auf eine andere Website weitergeleitet, auf der deren Datenschutzrichtlinien gelten.)
Globeriadatenschutz.de ist eine Website der Globeria Consulting GmbH, einem privaten Unternehmen, das Datenschutzdienstleistungen durch einen Datenschutzbeauftragten anbietet. Dies ist keine offizielle Ressource der EU-Kommission oder Regierung. Die europa.eu-Webseite zur DSGVO finden Sie hier. Nichts auf unserer Website stellt eine Rechtsberatung dar.
Offizielle Website : https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations_de
