umwelt-online: Verordnung (EG) Nr. 45/2001 (2)

zurück

Abschnitt 6
Ausnahmen und Einschränkungen

Artikel 20 Ausnahmen und Einschränkungen

(1) Die Organe und Einrichtungen der Gemeinschaft können die Anwendung von Artikel 4 Absatz 1, Artikel 11, Artikel 12 Absatz 1, Artikel 13 bis 17 und Artikel 37 Absatz 1 insoweit einschränken, als eine solche Einschränkung notwendig ist für

1. die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten;
2. ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Gemeinschaften, einschließlich Währungs-, Haushalts- oder Steuerangelegenheiten;
3. den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
4. die nationale und die öffentliche Sicherheit sowie die Verteidigung der Mitgliedstaaten;
5. Kontroll-, Überwachungs- und Ordnungsaufgaben, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a) und b) genannten Fällen verbunden sind.

(2) Die Artikel 13 bis 16 finden keine Anwendung, wenn Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet oder personenbezogen nicht länger als lediglich zur Erstellung von Statistiken erforderlich aufbewahrt werden, sofern offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht und der für die Verarbeitung Verantwortliche angemessene rechtliche Garantien vorsieht, insbesondere dass die Daten nicht für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden.

(3) Findet eine Einschränkung nach Absatz 1 Anwendung, ist die betroffene Person gemäß dem Gemeinschaftsrecht über die wesentlichen Gründe für diese Einschränkung und darüber zu unterrichten, dass sie das Recht hat, sich an den Europäischen Datenschutzbeauftragten zu wenden.

(4) Wird eine Einschränkung nach Absatz 1 angewandt, um der betroffenen Person den Zugang zu verweigern, unterrichtet der Europäische Datenschutzbeauftragte bei Prüfung der Beschwerde die betroffene Person nur darüber, ob die Daten richtig verarbeitet wurden und, falls dies nicht der Fall ist, ob alle erforderlichen Berichtigungen vorgenommen wurden.

(5) Die Unterrichtung nach den Absätzen 3 und 4 kann so lange aufgeschoben werden, wie sie die Einschränkung gemäß Absatz 1 ihrer Wirkung beraubt.

Abschnitt 7
Vertraulichkeit und Sicherheit der Verarbeitung

Artikel 21 Vertraulichkeit der Verarbeitung

Die bei einem Organ oder einer Einrichtung der Gemeinschaft beschäftigten Personen sowie selbst als Auftragsverarbeiter handelnde Organe oder Einrichtungen der Gemeinschaft, die Zugang zu personenbezogenen Daten haben, dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen Verpflichtungen aufgrund einzelstaatlicher oder gemeinschaftlicher Rechtsvorschriften.

Artikel 22 Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten hat der für die Verarbeitung Verantwortliche technische und organisatorische Maßnahmen zu treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Solche Maßnahmen sind insbesondere zu treffen, um einer unbefugten Weitergabe, einem unbefugten Zugriff sowie einer zufälligen oder unrechtmäßigen Vernichtung, einem zufälligen Verlust oder einer Veränderung sowie jeder anderen Form der unrechtmäßigen Verarbeitung personenbezogener Daten vorzubeugen.

(2) Werden personenbezogene Daten mit automatischen Mitteln verarbeitet, so sind, falls dies im Hinblick auf die Risiken erforderlich ist, Maßnahmen zu treffen, insbesondere mit dem Ziel,

1. zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet werden;
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;
3. jede unbefugte Eingabe in den Speicher sowie die unbefugte Weitergabe, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;
4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können;
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können;
6. zu erfassen, welche personenbezogenen Daten zu welcher Zeit an wen übermittelt worden sind;
7. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem verarbeitet worden sind;
8. zu gewährleisten, dass personenbezogene Daten, die im Auftrag Dritter verarbeitet werden, nur entsprechend den Weisungen des auftraggebenden Organs oder der auftraggebenden Einrichtung verarbeitet werden können;
9. sicherzustellen, dass während der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert oder gelöscht werden können;
10. die organisatorische Struktur innerhalb eines Organs oder einer Einrichtung derart zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Artikel 23 Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

(1) Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen vorgenommen, so hat dieser einen Auftragsverarbeiter auszuwählen, der hinsichtlich der für die Verarbeitung nach Artikel 22 zu treffenden technischen und organisatorischen Sicherheitsvorkehrungen ausreichende Gewähr bietet, und er hat für die Einhaltung dieser Maßnahmen zu sorgen.

(2) Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere Folgendes vorgesehen ist:

1. Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;
2. die in den Artikeln 21 und 22 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter unterliegt aufgrund von Artikel 16 oder Artikel 17 Absatz 3 zweiter Gedankenstrich der Richtlinie 95/46/EG bereits Verpflichtungen in Bezug auf Vertraulichkeit und Sicherheit, die in den nationalen Rechtsvorschriften von einem der Mitgliedstaaten festgelegt sind.

(3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in Bezug auf Maßnahmen nach Artikel 22 schriftlich oder in einer anderen gleichwertigen Form zu dokumentieren.

Abschnitt 8
Behördlicher Datenschutzbeauftragter

Artikel 24 Bestellung und Aufgaben des behördlichen Datenschutzbeauftragten

(1) Jedes Organ und jede Einrichtung der Gemeinschaft bestellt zumindest eine Person als behördlichen Datenschutzbeauftragten für personenbezogene Daten. Die Aufgaben dieses Datenschutzbeauftragten sind die folgenden:

1. er gewährleistet, dass die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre sich aus dieser Verordnung ergebenden Rechte und Pflichten unterrichtet sind,
2. er kommt Anfragen des Europäischen Datenschutzbeauftragten nach und arbeitet im Rahmen seiner Zuständigkeiten mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder aus eigener Initiative zusammen,
3. er gewährleistet in unabhängiger Art und Weise die innerbehördliche Anwendung der Bestimmungen dieser Verordnung,
4. er führt das Register der von dem für die Verarbeitung Verantwortlichen vorgenommenen Verarbeitungen mit den einzelnen Informationen gemäß Artikel 25 Absatz 2,
5. er meldet dem Europäischen Datenschutzbeauftragten Verarbeitungen, die spezifische Risiken im Sinne von Artikel 27 beinhalten können.

Der Datenschutzbeauftragte trägt auf diese Weise dafür Sorge, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen aller Wahrscheinlichkeit nach nicht beeinträchtigt werden.

(2) Der behördliche Datenschutzbeauftragte wird aufgrund seiner persönlichen und beruflichen Qualitäten und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes ausgewählt.

(3) Die Wahl des behördlichen Datenschutzbeauftragten darf nicht zu einem Interessenkonflikt zwischen seinem Amt als Datenschutzbeauftragtem und seinen sonstigen dienstlichen Aufgaben, insbesondere in Verbindung mit der Anwendung der Bestimmungen dieser Verordnung, führen.

(4) Der behördliche Datenschutzbeauftragte wird für eine Amtszeit von zwei bis fünf Jahren bestellt. Eine Wiederbestellung für eine Amtszeit von insgesamt höchstens zehn Jahren ist möglich. Die Bestellung zum behördlichen Datenschutzbeauftragten durch das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, kann nur mit Zustimmung des Europäischen Datenschutzbeauftragten widerrufen werden, wenn der behördliche Datenschutzbeauftragte die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.

(5) Nach seiner Bestellung ist der behördliche Datenschutzbeauftragte durch das Organ oder die Einrichtung, das bzw. die ihn bestellt hat, beim Europäischen Datenschutzbeauftragten einzutragen.

(6) Der behördliche Datenschutzbeauftragte ist von dem Organ oder der Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und den erforderlichen Mitteln auszustatten.

(7) Bei der Wahrnehmung seiner Aufgaben darf der behördliche Datenschutzbeauftragte keinen Weisungen unterworfen sein.

(8) Jedes Organ und jede Einrichtung der Gemeinschaft erlässt weitere Durchführungsbestimmungen gemäß den Bestimmungen des Anhangs. Diese Durchführungsbestimmungen betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des behördlichen Datenschutzbeauftragten.

Artikel 25 Meldung beim behördlichen Datenschutzbeauftragten

(1) Der für die Verarbeitung Verantwortliche hat dem behördlichen Datenschutzbeauftragten jede Verarbeitung oder jede Reihe von Verarbeitungen, die für einen einzigen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind, vorab zu melden.

(2) Zu den Angaben gehören

1. Name und Anschrift des für die Verarbeitung Verantwortlichen und Angabe der organisatorischen Einheiten eines Organs oder einer Einrichtung, die mit der Verarbeitung personenbezogener Daten für einen bestimmten Zweck beauftragt sind;
2. Zweckbestimmung(en) der Verarbeitung;
3. eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;
4. Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind;
5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;
6. eine allgemeine Angabe der Fristen für die Sperrung und Löschung der verschiedenen Datenkategorien;
7. geplante Datenübermittlungen in Drittländer oder internationale Organisationen;
8. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 22 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

(3) Alle Änderungen hinsichtlich der in Absatz 2 genannten Angaben sind dem behördlichen Datenschutzbeauftragten unverzüglich mitzuteilen.

Artikel 26 Register

Jeder behördliche Datenschutzbeauftragte führt ein Register der gemäß Artikel 25 gemeldeten Verarbeitungen.

Das Register enthält mindestens die Angaben nach Artikel 25 Absatz 2 Buchstaben a) bis g). Das Register kann von jedermann direkt oder indirekt über den Europäischen Datenschutzbeauftragten eingesehen werden.

Abschnitt 9
Vorabkontrolle des europäischen Datenschutzbeauftragten und Verpflichtung zur Zusammenarbeit

Artikel 27 Vorabkontrolle

(1) Verarbeitungen, die aufgrund ihres Charakters, ihrer Tragweite oder ihrer Zweckbestimmungen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, werden vom Europäischen Datenschutzbeauftragten vorab kontrolliert.

(2) Folgende Verarbeitungen können solche Risiken beinhalten:

1. Verarbeitungen von Daten über Gesundheit und Verarbeitungen von Daten, die Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen;
2. Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten, einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens;
3. Verarbeitungen, die eine in den nationalen oder gemeinschaftlichen Rechtsvorschriften nicht vorgesehene Verknüpfung von Daten ermöglichen, die zu unterschiedlichen Zwecken verarbeitet werden;
4. Verarbeitungen, die darauf abzielen, Personen von einem Recht, einer Leistung oder einem Vertrag auszuschließen.

(3) Die Vorabprüfungen nimmt der Europäische Datenschutzbeauftragte nach Erhalt der Meldung des behördlichen Datenschutzbeauftragten vor, der im Zweifelsfall den Europäischen Datenschutzbeauftragten zu der Notwendigkeit einer Vorabkontrolle konsultiert.

(4) Der Europäische Datenschutzbeauftragte gibt seine Stellungnahme innerhalb von zwei Monaten nach Empfang der Meldung ab. Diese Frist kann ausgesetzt werden, bis dem Europäischen Datenschutzbeauftragten weitere von ihm erbetene Auskünfte vorliegen. Diese Frist kann zudem durch Entscheidung des Europäischen Datenschutzbeauftragten um einen weiteren Zeitraum von zwei Monaten verlängert werden, wenn dies durch die Kompliziertheit des Falles erforderlich wird. Der für die Verarbeitung Verantwortliche ist über eine derartige Entscheidung vor Ablauf der ursprünglichen Zweimonatsfrist in Kenntnis zu setzen.

Ist nach Ablauf dieser gegebenenfalls verlängerten Zweimonatsfrist keine Stellungnahme erfolgt, so gilt sie als positiv.

Ist der Europäische Datenschutzbeauftragte der Ansicht, dass die gemeldete Verarbeitung eine Verletzung einer der Bestimmungen dieser Verordnung bedeuten könnte, unterbreitet er gegebenenfalls Vorschläge für die Vermeidung einer solchen Verletzung. Ändert der für die Verarbeitung Verantwortliche die Verarbeitung nicht entsprechend, kann der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 47 Absatz 1 ausüben.

(5) Der Europäische Datenschutzbeauftragte führt ein Register aller ihm aufgrund von Absatz 2 gemeldeten Verarbeitungen. Das Register enthält die Angaben nach Artikel 25 und kann von jedermann eingesehen werden.

Artikel 28 Konsultation

(1) Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung verwaltungsrechtlicher Maßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Gemeinschaft allein oder gemeinsam mit anderen beteiligt ist.

(2) Wenn die Kommission einen Vorschlag für Rechtsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten annimmt, konsultiert sie den Europäischen Datenschutzbeauftragten.

Artikel 29 Verpflichtung zur Unterrichtung

Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Maßnahmen, die im Anschluss an Entscheidungen oder Genehmigungen des Europäischen Datenschutzbeauftragten gemäß Artikel 46 Buchstabe h) getroffen werden.

Artikel 30 Verpflichtung zur Zusammenarbeit

Die für die Verarbeitung Verantwortlichen unterstützen auf Ersuchen den Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben, indem sie insbesondere die Auskünfte nach Artikel 47 Absatz 2 Buchstabe a) geben und den Zugang nach Artikel 47 Absatz 2 Buchstabe b) gewähren.

Artikel 31 Verpflichtung zur Stellungnahme bei behaupteten Verstößen

Wird der für die Verarbeitung Verantwortliche vom Europäischen Datenschutzbeauftragten in Ausübung der Befugnisse nach Artikel 47 Absatz 1 Buchstabe b) befasst, so teilt er ihm innerhalb einer angemessenen Frist, die der Europäische Datenschutzbeauftragte festlegt, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

Kapitel III
Rechtsbehelfe

Artikel 32 Rechtsbehelfe

(1) Der Gerichtshof der Europäischen Gemeinschaften ist für alle Streitfälle, die die Bestimmungen dieser Verordnung betreffen, einschließlich Schadenersatzklagen, zuständig.

(2) Unbeschadet der Einlegung eines Rechtsbehelfs bei Gericht kann jede betroffene Person beim Europäischen Datenschutzbeauftragten eine Beschwerde einreichen, wenn sie der Ansicht ist, dass die ihr in Artikel 286 des Vertrags eingeräumten Rechte infolge der Verarbeitung von sie betreffenden personenbezogenen Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verletzt wurden.

Ergeht innerhalb von sechs Monaten keine Antwort des Europäischen Datenschutzbeauftragten, so gilt die Beschwerde als abgelehnt.

(3) Gegen Entscheidungen des Europäischen Datenschutzbeauftragten kann Klage beim Gerichtshof der Europäischen Gemeinschaften erhoben werden.

(4) Jede Person, die wegen einer rechtswidrigen Verarbeitung von Daten oder jeder anderen mit dieser Verordnung nicht zu vereinbarenden Handlung einen Schaden erlitten hat, hat einen Anspruch auf Schadenersatz gemäß Artikel 288 des Vertrags.

Artikel 33 Beschwerden des Personals der Gemeinschaften

Alle bei einem Organ oder einer Einrichtung der Gemeinschaft beschäftigten Personen können beim Europäischen Datenschutzbeauftragten eine Beschwerde wegen Verletzung der Bestimmungen dieser Verordnung über die Verarbeitung personenbezogener Daten einreichen, ohne dass der Dienstweg beschritten werden muss. Niemand darf aufgrund einer Beschwerde beim Europäischen Datenschutzbeauftragten, mit der ein Verstoß gegen die Vorschriften für die Verarbeitung personenbezogener Daten gerügt wird, benachteiligt werden.

Kapitel IV
Schutz der personenbezogenen Daten und der Privatsphäre im Rahmen interner Telekommunikationsnetze

Artikel 34 Anwendungsbereich

Dieses Kapitel findet unbeschadet der übrigen Bestimmungen dieser Verordnung auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Telekommunikationsnetzen oder Endgeräten Anwendung, die unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden.

In diesem Kapitel bedeutet "Nutzer" jede natürliche Person, die ein unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betriebenes Telekommunikationsnetz oder Endgerät nutzt.

Artikel 35 Sicherheit

(1) Die Organe und Einrichtungen der Gemeinschaft treffen geeignete technische und organisatorische Maßnahmen, um die sichere Nutzung der Telekommunikationsnetze und Endgeräte gegebenenfalls mit den Anbietern öffentlich zugänglicher Telekommunikationsdienste oder den Anbietern öffentlicher Telekommunikationsnetze zu garantieren. Diese Maßnahmen müssen unter Berücksichtigung der neuesten technischen Möglichkeiten und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

(2) Besteht ein besonderes Risiko der Verletzung der Sicherheit der Telekommunikationsnetze und Endgeräte, unterrichtet das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft die Nutzer über dieses Risiko sowie über mögliche Abhilfen und alternative Kommunikationsmittel.

Artikel 36 Vertraulichkeit des Kommunikationsverkehrs

Die Organe und Einrichtungen der Gemeinschaft gewährleisten unter Beachtung der allgemeinen Grundsätze des Gemeinschaftsrechts die Vertraulichkeit der Kommunikation über Telekommunikationsnetze und Endgeräte.

Artikel 37 Verkehrsdaten und Daten für die Gebührenabrechnung

(1) Unbeschadet der Absätze 2, 3 und 4 sind Verkehrsdaten, die sich auf Nutzer beziehen und die für den Verbindungsaufbau von Anrufen oder anderen Verbindungen über das Telekommunikationsnetz verarbeitet und gespeichert werden, nach Beendigung des Gesprächs oder anderer Verbindungen zu löschen oder zu anonymisieren.

(2) Erforderlichenfalls können für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs einschließlich der Kontrolle der rechtmäßigen Nutzung des Telekommunikationssystems die in einer vom Europäischen Datenschutzbeauftragten genehmigten Liste genannten Verkehrsdaten verarbeitet werden. Diese Daten sind so schnell wie möglich, spätestens aber sechs Monate nach ihrer Erhebung, zu löschen oder zu anonymisieren, es sei denn, ihre weitere Aufbewahrung ist für die Feststellung, die Ausübung oder die Verteidigung eines Rechtsanspruchs im Rahmen eines anhängigen gerichtlichen Verfahrens erforderlich.

(3) Die Verarbeitung von Verkehrsdaten oder Daten für die Gebührenabrechnung darf lediglich durch Personen vorgenommen werden, die für die Gebührenabrechnung, Verkehrsabwicklung oder die Verwaltung des Haushalts zuständig sind.

(4) Die Nutzer der Telekommunikationsnetze haben das Recht, Rechnungen oder andere Aufstellungen ohne Einzelgebührennachweis der geführten Gespräche zu erhalten.

Artikel 38 Nutzerverzeichnisse

(1) Personenbezogene Daten in gedruckten oder elektronischen Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke dieses Nutzerverzeichnisses unbedingt erforderliche Maß zu beschränken.

(2) Die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um zu verhindern, dass in diesen Verzeichnissen enthaltene personenbezogene Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.

Artikel 39 Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

(1) Wird die Anzeige der Rufnummer des Anrufers angeboten, so muss der anrufende Nutzer die Möglichkeit haben, die Rufnummernanzeige auf einfache Weise und gebührenfrei zu unterdrücken.

(2) Wird die Anzeige der Rufnummer des Anrufers angeboten, so muss der angerufene Nutzer die Möglichkeit haben, die Anzeige der Rufnummer eingehender Anrufe auf einfache Weise und gebührenfrei zu unterdrücken.

(3) Wird die Anzeige der Rufnummer des Angerufenen angeboten, so muss der angerufene Nutzer die Möglichkeit haben, die Anzeige seiner Rufnummer beim anrufenden Nutzer auf einfache Weise und gebührenfrei zu unterdrücken.

(4) Wird die Anzeige der Rufnummer des Anrufers oder des Angerufenen angeboten, so unterrichten die Organe und Einrichtungen der Gemeinschaft die Nutzer hierüber und über die in den Absätzen 1, 2 und 3 beschriebenen Möglichkeiten.

Artikel 40 Ausnahmen

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, dass es transparente Verfahren gibt, nach denen sie die Unterdrückung der Anzeige der Rufnummer des Anrufers aufheben können, und zwar

1. vorübergehend, wenn ein Nutzer beantragt hat, dass böswillige oder belästigende Anrufe zurückverfolgt werden;
2. permanent für Verwaltungseinheiten, die Notrufe bearbeiten, zum Zwecke der Beantwortung dieser Anrufe.

Kapitel V
Unabhängige Datenschutzkontrolle der europäischen Datenschutzbeauftragte

Artikel 41 Der Europäische Datenschutzbeauftragte

(1) Hiermit wird eine unabhängige Kontrollbehörde, der Europäische Datenschutzbeauftragte, eingerichtet.

(2) Im Hinblick auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Privatsphäre, von den Organen und Einrichtungen der Gemeinschaft geachtet werden.

Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft sowie für die Beratung der Organe und Einrichtungen der Gemeinschaft und der betroffenen Personen in allen die Verarbeitung personenbezogener Daten betreffenden Angelegenheiten. Zu diesem Zweck erfüllt er die Aufgaben nach Artikel 46 und übt die Befugnisse nach Artikel 47 aus.

Artikel 42 Ernennung

(1) Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, wobei sie ihre Entscheidung auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Einreichung von Bewerbungen erstellten Liste treffen.

Nach demselben Verfahren wird für den gleichen Zeitraum ein stellvertretender Datenschutzbeauftragter ernannt. Er unterstützt den Datenschutzbeauftragten bei allen seinen Aufgaben und vertritt ihn im Falle seiner Abwesenheit oder Verhinderung.

(2) Der Europäische Datenschutzbeauftragte wird aus einem Kreis von Personen ausgewählt, an deren Unabhängigkeit kein Zweifel besteht und die über eine herausragende Erfahrung und Sachkunde für die Erfüllung der Aufgaben des Europäischen Datenschutzbeauftragten verfügen, wie beispielsweise die gegenwärtige oder frühere Tätigkeit in einer Kontrollstelle nach Artikel 28 der Richtlinie 95/46/EG.

(3) Eine Wiederernennung des Europäischen Datenschutzbeauftragten ist zulässig.

(4) Außer bei normaler Neubesetzung oder im Todesfall enden die Aufgaben des Europäischen Datenschutzbeauftragten, wenn er von seinem Mandat zurücktritt oder nach Absatz 5 seines Amtes enthoben wird.

(5) Der Europäische Datenschutzbeauftragte kann auf Antrag des Europäischen Parlaments, des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn er die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

(6) Im Falle einer regulären Neubestellung oder eines Rücktritts bleibt der Europäische Datenschutzbeauftragte bis zur Neubesetzung im Amt.

(7) Die Artikel 12 bis 15 sowie der Artikel 18 des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften finden auch auf den Europäischen Datenschutzbeauftragten Anwendung.

(8) Die Absätze 2 bis 7 finden auf den stellvertretenden Datenschutzbeauftragten Anwendung.

Artikel 43 Regelungen und allgemeine Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und finanzielle Mittel

(1) Das Europäische Parlament, der Rat und die Kommission legen im gegenseitigen Einvernehmen die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten fest, insbesondere sein Gehalt, seine Zulagen und alle Vergütungen, die anstelle von Dienstbezügen erfolgen.

(2) Die Haushaltsbehörde gewährleistet, dass der Europäische Datenschutzbeauftragte mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und den erforderlichen finanziellen Mitteln ausgestattet wird.

(3) Der Haushalt des Europäischen Datenschutzbeauftragten ist Gegenstand einer spezifischen Linie des Einzelplans VIII des Gesamthaushaltplans der Europäischen Union.

(4) Der Europäische Datenschutzbeauftragte wird von einer Geschäftsstelle unterstützt. Die Beamten und sonstigen Bediensteten dieser Geschäftsstelle werden vom Europäischen Datenschutzbeauftragten eingestellt; ihr Vorgesetzter ist der Europäische Datenschutzbeauftragte und sie unterstehen ausschließlich seiner Leitung. Ihre Zahl wird jährlich im Rahmen des Haushaltsverfahrens festgelegt.

(5) Die Beamten und sonstigen Bediensteten der Geschäftsstelle des Europäischen Datenschutzbeauftragten unterliegen den Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften.

(6) In Personalfragen hat der Europäische Datenschutzbeauftragte denselben Status wie die Organe im Sinne von Artikel 1 des Statuts der Beamten der Europäischen Gemeinschaften.

Artikel 44 Unabhängigkeit

(1) Der Europäische Datenschutzbeauftragte übt sein Amt in völliger Unabhängigkeit aus.

(2) Der Europäische Datenschutzbeauftragte ersucht in Ausübung seines Amtes niemanden um Weisung und nimmt keine Weisungen entgegen.

(3) Der Europäische Datenschutzbeauftragte sieht von allen mit seinem Amt nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere entgeltliche oder unentgeltliche Tätigkeit aus.

(4) Der Europäische Datenschutzbeauftragte ist verpflichtet, nach Ablauf seiner Amtszeit im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend zu handeln.

Artikel 45 Verschwiegenheitspflicht

Der Europäische Datenschutzbeauftragte und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Artikel 46 Aufgaben

Der Europäische Datenschutzbeauftragte

1. hört und prüft Beschwerden und unterrichtet die betroffene Person innerhalb einer angemessenen Frist über die Ergebnisse seiner Prüfung;
2. führt von sich aus oder aufgrund einer Beschwerde Untersuchungen durch und unterrichtet die betroffenen Personen innerhalb einer angemessenen Frist über die Ergebnisse seiner Untersuchungen;
3. kontrolliert die Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft betreffen, mit Ausnahme des Gerichtshofs der Europäischen Gemeinschaften bei Handlungen in seiner gerichtlichen Eigenschaft, und setzt die Anwendung dieser Bestimmungen durch;
4. berät alle Organe und Einrichtungen der Gemeinschaft von sich aus oder im Rahmen einer Konsultation in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen, insbesondere bevor sie interne Vorschriften für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten ausarbeiten;
5. überwacht relevante Entwicklungen, insoweit als sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;
6. i) arbeitet mit den einzelstaatlichen Kontrollstellen nach Artikel 28 der Richtlinie 95/46/EG der Länder, für die diese Richtlinie gilt, zusammen, soweit dies zur Erfüllung der jeweiligen Pflichten erforderlich ist, insbesondere durch den Austausch aller sachdienlichen Informationen, durch die Aufforderung einer solchen Kontrollstelle oder eines solches Gremiums, ihre Befugnisse auszuüben, oder durch die Beantwortung eines Ersuchens einer solchen Kontrollstelle oder eines solchen Gremiums;
   ii) arbeitet ferner mit den im Rahmen des Titels VI des Vertrags über die Europäische Union eingerichteten Datenschutzgremien zusammen, insbesondere im Hinblick auf die Verbesserung der Kohärenz bei der Anwendung der Vorschriften und Verfahren, für deren Einhaltung sie jeweils Sorge zu tragen haben;
7. nimmt an den Arbeiten der durch Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten teil;
8. legt die Ausnahmen, Garantien, Genehmigungen und Voraussetzungen nach Artikel 10 Absatz 2 Buchstabe b) sowie Absätze 4, 5 und 6, Artikel 12 Absatz 2, Artikel 19 und Artikel 37 Absatz 2 fest und begründet und veröffentlicht sie;
9. führt ein Register der ihm aufgrund von Artikel 27 Absatz 2 gemeldeten und gemäß Artikel 27 Absatz 5 registrierten Verarbeitungen und stellt die Mittel für den Zugang zu den von den behördlichen Datenschutzbeauftragten nach Artikel 26 geführten Registern zur Verfügung;
10. nimmt eine Vorabkontrolle der ihm gemeldeten Verarbeitungen vor;
11. legt seine Geschäftsordnung fest.

Artikel 47 Befugnisse

(1) Der Europäische Datenschutzbeauftragte kann

1. betroffene Personen bei der Ausübung ihrer Rechte beraten;
2. bei einem behaupteten Verstoß gegen die Bestimmungen für die Verarbeitung personenbezogener Daten den für die Verarbeitung Verantwortlichen mit der Angelegenheit befassen und gegebenenfalls Vorschläge zur Behebung dieses Verstoßes und zur Verbesserung des Schutzes der betroffenen Personen machen;
3. anordnen, dass Anträge auf Ausübung bestimmter Rechte in Bezug auf Daten bewilligt werden, wenn derartige Anträge unter Verstoß gegen die Artikel 13 bis 19 abgelehnt wurden;
4. den für die Verarbeitung Verantwortlichen ermahnen oder verwarnen;
5. die Berichtigung, Sperrung, Löschung oder Vernichtung aller Daten, die unter Verletzung der Bestimmungen für die Verarbeitung personenbezogener Daten verarbeitet wurden, und die Meldung solcher Maßnahmen an Dritte, denen die Daten mitgeteilt wurden, anordnen;
6. die Verarbeitung vorübergehend oder endgültig verbieten;
7. das betroffene Organ oder die betroffene Einrichtung der Gemeinschaft und, falls erforderlich, das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit befassen;
8. unter den im Vertrag vorgesehenen Bedingungen den Gerichtshof der Europäischen Gemeinschaften anrufen;
9. beim Gerichtshof der Europäischen Gemeinschaften anhängigen Verfahren beitreten;

(2) Der Europäische Datenschutzbeauftragte ist befugt,

1. von einem für die Verarbeitung Verantwortlichen oder von einem Organ oder einer Einrichtung der Gemeinschaft Zugang zu allen personenbezogenen Daten und allen für seine Untersuchungen erforderlichen Informationen zu erhalten;
2. Zugang zu allen Räumlichkeiten zu erhalten, in denen ein für die Verarbeitung Verantwortlicher oder ein Organ oder eine Einrichtung der Gemeinschaft ihre Tätigkeiten ausüben, sofern die begründete Annahme besteht, dass dort eine Tätigkeit gemäß dieser Verordnung ausgeübt wird.

Artikel 48 Tätigkeitsbericht

(1) Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament, dem Rat und der Kommission jährlich einen Bericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.

(2) Der Europäische Datenschutzbeauftragte übermittelt den Tätigkeitsbericht den übrigen Organen und Einrichtungen der Gemeinschaft, die insbesondere im Zusammenhang mit der Beschreibung der Maßnahmen, die aufgrund der Bemerkungen des Europäischen Datenschutzbeauftragten nach Artikel 31 getroffen werden, Bemerkungen im Hinblick auf eine etwaige Prüfung des Berichts durch das Europäische Parlament vorbringen können.

Kapitel VI
Schlussbestimmungen

Artikel 49 Sanktionen

Jede vorsätzliche oder fahrlässige Nichteinhaltung der Verpflichtungen aus dieser Verordnung zieht für Beamte oder sonstige Bedienstete der Europäischen Gemeinschaften disziplinarische Maßnahmen gemäß den Bestimmungen und Verfahren nach sich, die im Statut der Beamten der Europäischen Gemeinschaften oder in den für die sonstigen Bediensteten geltenden Beschäftigungsbedingungen niedergelegt sind.

Artikel 50 Übergangszeitraum

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, dass die zum Zeitpunkt des Inkrafttretens dieser Verordnung begonnene Datenverarbeitung innerhalb eines Jahres mit dieser Verordnung in Einklang gebracht wird.

Artikel 51 Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

.

1. Der behördliche Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes an das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, richten und diese sowie den für die Verarbeitung Verantwortlichen in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus kann er in eigener Initiative oder auf Ersuchen des Organs oder der Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, des für die Verarbeitung Verantwortlichen, des zuständigen Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden, prüfen und der Person, die ihn mit der Prüfung beauftragte, oder dem für die Verarbeitung Verantwortlichen Bericht erstatten.
2. Das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, der betreffende für die Verarbeitung Verantwortliche, der betreffende Personalausschuss sowie jede natürliche Person können den behördlichen Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung zu Rate ziehen, ohne den Dienstweg einhalten zu müssen.
3. Niemand darf deshalb benachteiligt werden, weil er dem zuständigen behördlichen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht hat, die nach seinem Vorbringen eine Verletzung der Bestimmungen dieser Verordnung darstellt.
4. Jeder für die Verarbeitung Verantwortliche hat den behördlichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und ihm auf Anfrage Auskunft zu erteilen. Bei der Erfüllung seiner Aufgaben hat der behördliche Datenschutzbeauftragte jederzeit Zugang zu den Daten, die Gegenstand der Verarbeitung sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern.
5. Der behördliche Datenschutzbeauftragte ist, soweit erforderlich, von anderen Tätigkeiten freizustellen. Der behördliche Datenschutzbeauftragte und sein Personal, auf die Artikel 287 des Vertrags Anwendung findet, unterliegen im Hinblick auf Informationen oder Dokumente, die sie bei der Erfüllung ihrer Aufgaben erhalten, der Verschwiegenheitspflicht.

______________ 

1) ABl. C 376E vom 28.12.1999 S. 24.

2) ABl. C 51 vom 23.02.2000 S. 48.

3) Stellungnahme des Europäischen Parlaments vom 14. November 2000 und Beschluss des Rates vom 30. November 2000.

4) ABl. L 281 vom 23.11.1995 S. 31.

5) ABl. L 24 vom 30.01.1998 S. 1.Daten auf dem Gebiet der justitiellen Zusammenarbeit in Strafsachen sowie der polizeilichen Zusammenarbeit und der Zusammenarbeit im Zollwesen und die Einrichtung einer Geschäftsstelle für die gemeinsamen Kontrollinstanzen, die durch das Europol-Übereinkommen, das Übereinkommen über den Einsatz der Informationstechnologie im Zollbereich und das Schengener Übereinkommen geschaffen wurden, stellen in dieser Hinsicht einen ersten Schritt dar.

6) ABl. L 52 vom 22.02.1997 S. 1.

7) ABl. L 318 vom 27.11.1998 S. 8.

8) ABl. L 151 vom 15.06.1990 S. 1. Verordnung geändert durch die Verordnung (EG) Nr. 322/97 (ABl. L 52 von 22.2.1997, S. 1).

ENDE