Druck- und LokalversionFür einen individuellen Ausdruck passen Sie bitte die
Einstellungen in der Druckvorschau Ihres Browsers an.
Regelwerk, EU 2001, Verwaltung/Datenschutz - EU Bund
Frame öffnen

Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr
- Datenschutzverordnung -

(ABl. Nr. L 8 vom 12.01.2001 S. 1;
VO (EU) 2018/1725 - ABl. Nr. L 295 vom 21.11.2018 S. 39 aufgehoben)




aufgehoben/ersetzt gem. Art. 99 der VO (EU) 2018/1725

Das Europäische Parlament und der Rat der Europäischen Union -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 286,

auf Vorschlag der Kommission 1,

nach Stellungnahme des Wirtschafts- und Sozialausschusses 2, gemäß dem Verfahren des Artikels 251 des Vertrags 3, in Erwägung nachstehender Gründe:

(1) Nach Artikel 286 des Vertrags finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten auf die Organe und Einrichtungen der Gemeinschaft Anwendung.

(2) Ein umfassendes Datenschutzsystem erfordert nicht nur eine Bestimmung der Rechte der betroffenen Personen und der Pflichten der Personen, die personenbezogene Daten verarbeiten, sondern auch geeignete Sanktionen für Rechtsverletzer und eine Überwachung durch eine unabhängige Kontrollbehörde.

(3) Artikel 286 Absatz 2 des Vertrag schreibt die Errichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung solcher Gemeinschaftsrechtsakte auf die Organe und Einrichtungen der Gemeinschaft überwacht.

(4) Artikel 286 Absatz 2 des Vertrags bestimmt ferner, dass erforderlichenfalls weitere einschlägige Bestimmungen erlassen werden.

(5) Eine Verordnung ist erforderlich, um den natürlichen Personen auf dem Rechtsweg durchsetzbare Rechte zu geben, die Verpflichtungen der in den Organen und

Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festzulegen und eine unabhängige Kontrollbehörde für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zu schaffen.

(6) Die gemäß Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr 4 eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten wurde konsultiert.

(7) Unter den Schutz fallen können Personen, deren personenbezogene Daten von den Organen oder Einrichtungen der Gemeinschaft in irgendeinem Kontext verarbeitet werden, z.B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind.

(8) Die Grundsätze des Datenschutzes sollten für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder von jeder anderen Person nach vernünftiger Einschätzung zur Identifizierung der betreffenden Person genutzt werden können. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(9) Nach der Richtlinie 95/46/EG haben die Mitgliedstaaten den Schutz der Grundrechte und Grundfreiheiten der natürlichen Personen und insbesondere deren Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten sicherzustellen, um den freien Verkehr personenbezogener Daten in der Gemeinschaft zu gewährleisten.

(10) Die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation 5 präzisiert und ergänzt die Richtlinie 95/46/EG im Hinblick auf die Verarbeitung personenbezogener Daten im Bereich Telekommunikation.

(11) Verschiedene andere Gemeinschaftsmaßnahmen, insbesondere im Bereich der Amtshilfe zwischen den einzelstaatlichen Verwaltungen und der Kommission, zielen ebenfalls darauf ab, die Richtlinie 95/46/EG in dem jeweils maßgeblichen Bereich zu präzisieren und zu ergänzen.

(12) Die kohärente, homogene Anwendung der Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten sollte in der gesamten Gemeinschaft gewährleistet sein.

(13) Damit soll sowohl die tatsächliche Einhaltung der Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten der Personen als auch der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft bzw. zwischen den Organen und Einrichtungen der Gemeinschaft zum Zwecke der Ausübung ihrer jeweiligen Befugnisse garantiert werden.

(14) Zu diesem Zweck sollten zwingende Vorschriften für die Organe und Einrichtungen der Gemeinschaft erlassen werden. Diese Vorschriften sollten auf alle Verarbeitungen personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung finden, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise den Anwendungsbereich des Gemeinschaftsrechts betreffen.

(15) Wird diese Verarbeitung von den Organen und Einrichtungen der Gemeinschaft in Ausübung von Tätigkeiten außerhalb des Anwendungsbereichs der vorliegenden Verordnung, insbesondere für die Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, durchgeführt, so wird der Schutz der Grundrechte und Grundfreiheiten der Personen unter Beachtung des Artikels 6 des Vertrags über die Europäische Union gewährleistet. Der Zugang zu den Dokumenten, einschließlich der Bedingungen für den Zugang zu Dokumenten, die personenbezogene Daten enthalten, unterliegt den Bestimmungen, die auf der Grundlage von Artikel 255 des Vertrags erlassen wurden, dessen Anwendungsbereich sich auf die Titel V und VI des Vertrags über die Europäische Union erstreckt.

(16) Diese Vorschriften gelten nicht für Einrichtungen außerhalb des Gemeinschaftsrahmens, und der Europäische Datenschutzbeauftragte ist nicht befugt, die Verarbeitung personenbezogener Daten durch solche Einrichtungen zu überwachen.

(17) Voraussetzung für die Wirksamkeit des Schutzes von Personen bei der Verarbeitung personenbezogener Daten in der Union ist die Kohärenz der Regeln und Verfahren, die diesbezüglich für die Tätigkeiten innerhalb der unterschiedlichen Rechtsrahmen gelten. Die Ausarbeitung von Grundprinzipien für den Schutz personenbezogener

(18) Die für die Mitgliedstaaten gemäß den Richtlinien 95/ 46/EG und 97/66/EG bestehenden Rechte und Pflichten sollten von dieser Verordnung unberührt bleiben. Sie hat nicht zum Ziel, die Verfahren und Praktiken zu ändern, die von den Mitgliedstaaten im Bereich der nationalen Sicherheit, der Verteidigung der Ordnung sowie der Verhütung, der Aufdeckung, der Ermittlung und der Verfolgung von Straftaten unter Beachtung des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften sowie des Völkerrechts rechtmäßig angewandt werden.

(19) Die Organe und Einrichtungen der Gemeinschaft wenden sich an die zuständigen Behörden in den Mitgliedstaaten, wenn sie der Auffassung sind, dass Fernmeldeverbindungen in ihren Telekommunikationsnetzen gemäß den geltenden einzelstaatlichen Rechtsvorschriften überwacht werden sollen.

(20) Die für die Organe und Einrichtungen der Gemeinschaft geltenden Bestimmungen sollten den Vorschriften entsprechen, die für die Harmonisierung der einzelstaatlichen Rechtsvorschriften oder die Umsetzung anderer Gemeinschaftspolitiken, insbesondere im Bereich der Amtshilfe, vorgesehen sind. Präzisierungen und Ergänzungen können allerdings für die Umsetzung des Schutzes bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft erforderlich sein.

(21) Dies gilt sowohl für die Rechte der Personen, deren Daten verarbeitet werden, und die Verpflichtungen der Organe und Einrichtungen der Gemeinschaft, die für die Verarbeitungen verantwortlich sind, als auch für die Befugnisse, über die die unabhängige Kontrollbehörde verfügen muss, die für die einwandfreie Anwendung dieser Verordnung Sorge zu tragen hat.

(22) Durch die der betreffenden Person gewährten Rechte und die Ausübung dieser Rechte sollten die Verpflichtungen des für die Verarbeitung Verantwortlichen nicht berührt werden.

(23) Die unabhängige Kontrollbehörde führt ihre Kontrollaufgaben gemäß dem Vertrag und unter Wahrung der Menschenrechte und der Grundfreiheiten durch. Sie führt ihre Untersuchungen unter Beachtung des Protokolls über die Vorrechte und Befreiungen und des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften durch.

(24) Es sollten die notwendigen technischen Maßnahmen ergriffen werden, um über die unabhängige Kontrollbehörde Zugang zu den von den behördlichen Datenschutzbeauftragten geführten Registern der Verarbeitungen zu bieten.

(25) Die Entscheidungen der unabhängigen Kontrollbehörde über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann die unabhängige Kontrollbehörde Berichte über besondere Themen veröffentlichen.

(26) Bestimmte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, werden von der unabhängigen Kontrollbehörde vorab kontrolliert. Durch die im Rahmen dieser Vorabkontrolle abgegebene Stellungnahme, einschließlich der Stellungnahme, die aus dem Ausbleiben einer Antwort innerhalb der festgelegten Frist resultiert, sollte die spätere Wahrnehmung der Befugnisse, welche die unabhängige Kontrollbehörde in Bezug auf die betreffende Verarbeitung ausübt, nicht berührt werden.

(27) Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und das Funktionieren dieser Organe und Einrichtungen erforderlich ist.

(28) In einigen Fällen sollte vorgesehen werden, dass die Datenverarbeitung durch Rechtsvorschriften der Gemeinschaft oder deren Durchführungsvorschriften erlaubt werden muss. In Ermangelung solcher Vorschriften kann der Europäische Datenschutzbeauftragte jedoch bis zu ihrer Verabschiedung die Verarbeitung dieser Daten durch die Einführung angemessener Garantien vorübergehend genehmigen. Dabei berücksichtigt er unter anderem Bestimmungen der Mitgliedstaaten zur Regelung vergleichbarer Fälle.

(29) Bei den genannten Fällen handelt es sich um die Verarbeitung von Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit und Sexualleben, die erforderlich sind, um den spezifischen Pflichten und Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, oder die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind. Es handelt sich ferner um die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsregeln betreffen, oder auch die Erlaubnis, die betreffende Person einer Entscheidung zu unterwerfen, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte ihrer Person ergeht.

(30) Die Überwachung von Computernetzen, die unter Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden, kann zur Verhinderung unbefugter Benutzung erforderlich sein. Der Europäische Datenschutzbeauftragte legt fest, ob und unter welchen Voraussetzungen dies möglich ist.

(31) Für die Haftung bei Zuwiderhandlung gegen diese Verordnung gilt Artikel 288 Absatz 2 des Vertrags.

(32) In jedem Organ bzw. jeder Einrichtung der Gemeinschaft tragen ein oder mehrere behördliche Datenschutzbeauftragte für die Anwendung der Bestimmungen dieser Verordnung Sorge und beraten die für die Verarbeitung Verantwortlichen bei der Erfüllung ihrer Verpflichtungen.

(33) Die Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftsstatistiken 6 gilt nach ihrem Artikel 21 unbeschadet der Richtlinie 95/ 46/EG.

(34) Die Verordnung (EG) Nr. 2533/98 des Rates vom 23. November 1998 über die Erfassung statistischer Daten durch die Europäische Zentralbank 7 gilt nach ihrem Artikel 8 Absatz 8 unbeschadet der Richtlinie 95/46/EG.

(35) Die Verordnung (Euratom, EWG) Nr. 1588/90 des Rates vom 11. Juni 1990 über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften 8 lässt nach ihrem Artikel 1 Absatz 2 die besonderen Vorschriften des Gemeinschaftsrechts oder des nationalen Rechts, die den Schutz anderer Geheimnisse als des Statistikgeheimnisses betreffen, unberührt.

(36) Diese Verordnung hat nicht zum Ziel, den gemäß Artikel 249 des Vertrags bestehenden Spielraum der Mitgliedstaaten bei der Ausarbeitung ihrer nationalen Rechtsvorschriften im Bereich des Datenschutzes gemäß Artikel 32 der Richtlinie 95/46/EG zu beschränken

- haben folgende Verordnung erlassen:

Kapitel I
Allgemeine Bestimmungen

Artikel 1 Gegenstand der Verordnung

(1) Die durch die Verträge zur Gründung der Europäischen Gemeinschaften oder aufgrund dieser
Verträge geschaffenen Organe und Einrichtungen, nachstehend "Organe und Einrichtungen der Gemeinschaft" genannt, gewährleisten nach den Bestimmungen dieser Verordnung den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten; sie dürfen den freien Verkehr personenbezogener Daten untereinander oder mit Empfängern, die dem in Anwendung der Richtlinie 95/46/EG erlassenen einzelstaatlichen Recht der Mitgliedstaaten unterliegen, weder beschränken noch untersagen.

(2) Die durch diese Verordnung eingerichtete unabhängige Kontrollbehörde, nachstehend "Europäischer Datenschutzbeauftragter" genannt, überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Gemeinschaft.

Artikel 2 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck

  1. "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person (nachstehend "betroffene Person" genannt); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
  2. "Verarbeitung personenbezogener Daten" (nachstehend "Verarbeitung" genannt) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
  3. "Datei mit personenbezogenen Daten" (nachstehend "Datei" genannt) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird;
  4. "für die Verarbeitung Verantwortlicher" das Organ oder die Einrichtung der Gemeinschaft, die Generaldirektion, das Referat oder jede andere Verwaltungseinheit, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch einen spezifischen Rechtsakt der Gemeinschaft festgelegt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch diesen Rechtsakt der Gemeinschaft bestimmt werden;
  5. "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
  6. "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
  7. "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;
  8. "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden.

Artikel 3 Anwendungsbereich

(1) Diese Verordnung findet auf die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Gemeinschaftsrechts fallen.

(2) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Kapitel II
Allgemeine Bestimmungen über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Abschnitt 1
Grundsätze im Bezug auf die Qualität der Daten

Artikel 4 Qualität der Daten

(1) Personenbezogene Daten dürfen nur

  1. nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;
  2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten für historische, statistische oder wissenschaftliche Zwecke ist nicht als unvereinbar anzusehen, sofern der für die Verarbeitung Verantwortliche geeignete Garantien vorsieht, um insbesondere sicherzustellen, dass die Daten nicht für andere Zwecke verarbeitet werden und nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden;
  3. den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sein und nicht darüber hinausgehen;
  4. verwendet werden, wenn sie sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, unrichtige oder unvollständige Daten gelöscht oder berichtigt werden;
  5. so lange, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht. Die Organe oder Einrichtungen der Gemeinschaft sehen für personenbezogene Daten, die für historische, statistische oder wissenschaftliche Zwecke über den vorstehend genannten Zeitraum hinaus aufbewahrt werden sollen, vor, dass diese Daten entweder überhaupt nur in anonymisierter Form oder, wenn dies nicht möglich ist, nur mit verschlüsselter Identität der Betroffenen gespeichert werden. Die Daten dürfen jedenfalls nicht für andere als historische, statistische oder wissenschaftliche Verwendungszwecke verwendet werden.

(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung der Bestimmungen des Absatzes 1 zu sorgen.

Abschnitt 2
Kriterien für die Zulässigkeit der Verarbeitung personenbezogener Daten

Artikel 5 Rechtmäßigkeit der Verarbeitung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der folgenden Voraussetzungen erfüllt ist:

  1. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die aufgrund der Verträge zur Gründung der Europäischen Gemeinschaften oder anderer aufgrund dieser Verträge erlassener Rechtsakte im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die dem Organ oder der Einrichtung der Gemeinschaft oder einem Dritten, dem die Daten übermittelt werden, übertragen wurde; oder
  2. die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt; oder
  3. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen; oder
  4. die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben; oder
  5. die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich.

Artikel 6 Änderung der Zweckbestimmung

Unbeschadet der Artikel 4, 5 und 10 gilt Folgendes:

  1. Personenbezogene Daten dürfen nur dann für andere Zwecke als die, für die sie erhoben wurden, verarbeitet werden, wenn die Änderung der Zwecke durch die internen Vorschriften des Organs oder der Einrichtung der Gemeinschaft ausdrücklich erlaubt ist.
  2. Mit Ausnahme zum Zwecke der Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten dürfen personenbezogene Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -vorgänge erfasst werden, für keinen anderen Zweck verwendet werden.

Artikel 7 Übermittlung personenbezogener Daten innerhalb von oder zwischen Organen oder Einrichtungen
der Gemeinschaft

Unbeschadet der Artikel 4, 5, 6 und 10 gilt Folgendes:

  1. Personenbezogene Daten werden innerhalb der Organe oder Einrichtungen der Gemeinschaft oder an andere Organe oder Einrichtungen der Gemeinschaft nur übermittelt, wenn die Daten für die rechtmäßige Erfüllung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers fallen.
  2. Erfolgt die Übermittlung der Daten auf Ersuchen des Empfängers, tragen sowohl der für die Verarbeitung Verantwortliche als auch der Empfänger die Verantwortung für die Zulässigkeit dieser Übermittlung.
    Der für die Verarbeitung Verantwortliche ist verpflichtet, die Zuständigkeit des Empfängers zu prüfen und die Notwendigkeit der Übermittlung dieser Daten vorläufig zu bewerten. Bestehen Zweifel an der Notwendigkeit, holt der für die Verarbeitung Verantwortliche weitere Auskünfte vom Empfänger ein.
    Der Empfänger stellt sicher, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.
  3. Der Empfänger verarbeitet die personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.

Artikel 8 Übermittlung personenbezogener Daten an Empfänger, die nicht Organe oder Einrichtungen der
Gemeinschaft sind und die der Richtlinie 95/46/EG unterworfen sind

Unbeschadet der Artikel 4, 5, 6 und 10 werden personenbezogene Daten an Empfänger, die den aufgrund der Richtlinie 95/46/EG erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt,

  1. wenn der Empfänger nachweist, dass die Daten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder zur Ausübung der öffentlichen Gewalt gehört, erforderlich sind oder
  2. wenn der Empfänger die Notwendigkeit der Datenübermittlung nachweist und kein Grund zu der Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten.

Artikel 9 Übermittlung personenbezogener Daten an Empfänger, die nicht Organe oder Einrichtungen der
Gemeinschaft sind und die nicht der Richtlinie 95/46/EG unterworfen sind

(1) Personenbezogene Daten werden an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht den aufgrund der Richtlinie 95/46/EG erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt, wenn ein angemessenes Schutzniveau in dem Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist und diese Übermittlung ausschließlich die Wahrnehmung von Aufgaben ermöglichen soll, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen.

(2) Die Angemessenheit des von dem betreffenden Drittland oder der betreffenden internationalen Organisation gebotenen Schutzniveaus ist anhand aller Umstände einer Datenübermittlung oder einer Reihe von Datenübermittlungen zu beurteilen. Besonders zu berücksichtigen sind dabei die Art der Daten, der Zweck und die Dauer des geplanten Verarbeitungsvorgangs oder der geplanten Verarbeitungsvorgänge, das Drittland oder die internationale Organisation der Endbestimmung, die in dem betreffenden Drittland oder der betreffenden internationalen Organisation geltenden allgemeinen und sektoriellen Rechtsvorschriften sowie die in diesem Land oder in dieser internationalen Organisation geltenden Standesregeln und Sicherheitsmaßnahmen.

(3) Die Organe und Einrichtungen der Gemeinschaft unterrichten die Kommission und den Europäischen Datenschutzbeauftragten über die Fälle, in denen das betreffende Drittland oder die betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4) Die Kommission unterrichtet die Mitgliedstaaten über die in Absatz 3 genannten Fälle.

(5) Die Kommission stellt gemäß Artikel 25 Absätze 4 und 6 der Richtlinie 95/46/EG fest, ob ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet oder nicht, und die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um den Entscheidungen der Kommission nachzukommen.

(6) Abweichend von den Absätzen 1 und 2 kann das Organ oder die Einrichtung der Gemeinschaft personenbezogene Daten übermitteln, sofern

  1. die betroffene Person ohne jeden Zweifel ihre Einwilligung zu der geplanten Übermittlung gegeben hat, oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist, oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einem Dritten geschlossen wird, oder
  4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist, oder
  5. die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist, oder
  6. die Übermittlung aus einem Register erfolgt, das gemäß dem Gemeinschaftsrecht zur Unterrichtung der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die im Gemeinschaftsrecht für die Einsichtnahme festgelegten Voraussetzungen im Einzelfall gegeben sind.

(7) Unbeschadet des Absatzes 6 kann der Europäische Datenschutzbeauftragte eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten nach einem Drittland oder an eine internationale Organisation genehmigen, die kein angemessenes Schutzniveau im Sinne der Absätze 1 und 2 gewährleisten, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.

(8) Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über alle Kategorien von Fällen, in denen sie die Absätze 6 und 7 angewendet haben.

Abschnitt 3
Besondere Kategorien der Verarbeitung

Artikel 10 Verarbeitung besonderer Datenkategorien

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit oder Sexualleben sind untersagt.

(2) Absatz 1 findet nicht Anwendung, wenn

  1. die betroffene Person ausdrücklich in die Verarbeitung der genannten Daten eingewilligt hat, es sei denn, die internen Vorschriften des Organs oder der Einrichtung der Gemeinschaft sehen vor, dass das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden kann; oder
  2. die Verarbeitung erforderlich ist, um den Pflichten und spezifischen Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern sie aufgrund der Verträge zur Gründung der Europäischen Gemeinschaften oder anderer auf der Grundlage dieser Verträge erlassener Rechtsakte zulässig ist oder sie, falls notwendig, vom Europäischen Datenschutzbeauftragten vorbehaltlich angemessener Garantien genehmigt wird; oder
  3. die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder
  4. die Verarbeitung sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat, oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist; oder
  5. die Verarbeitung auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Erwerbszweck, die Teil eines Organs oder einer Einrichtung der Gemeinschaft ist und die gemäß Artikel 4 der Richtlinie 95/46/EG nicht dem einzelstaatlichen Datenschutzrecht unterliegt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung erfolgt, dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

(4) Vorbehaltlich angemessener Garantien können aus Gründen eines wichtigen öffentlichen Interesses andere als die in Absatz 2 genannten Ausnahmen durch die Verträge zur Gründung der Europäischen Gemeinschaften oder andere auf der Grundlage dieser Verträge erlassene Rechtsakte oder, falls notwendig, im Wege einer Entscheidung des Europäischen Datenschutzbeauftragten vorgesehen werden.

(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur erfolgen, wenn sie durch die Verträge zur Gründung der Europäischen Gemeinschaften oder andere auf der Grundlage dieser Verträge erlassene Rechtsakte oder, falls notwendig, vom Europäischen Datenschutzbeauftragten vorbehaltlich geeigneter besonderer Garantien genehmigt wurde.

(6) Der Europäische Datenschutzbeauftragte bestimmt, unter welchen Voraussetzungen eine Personalnummer oder ein anderes Kennzeichen allgemeiner Bedeutung von einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden darf.

Abschnitt 4
Informationspflicht gegenüber der betroffenen Person

Artikel 11 Informationspflicht bei Erhebung von Daten bei der betroffenen Person

(1) Der für die Verarbeitung Verantwortliche muss dafür sorgen, dass eine Person, bei der sie betreffende Daten erhoben werden, zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

  1. Identität des für die Verarbeitung Verantwortlichen,
  2. Zwecke der Verarbeitung, für die die Daten bestimmt sind,
  3. die Empfänger oder Kategorien von Empfängern der Daten,
  4. Hinweis darauf, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
  5. das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
  6. weitere Informationen wie
  1. die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,
  2. die zeitliche Begrenzung der Speicherung der Daten,
  3. das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Abweichend von Absatz 1 kann die Erteilung der Informationen, mit Ausnahme der Informationen nach Absatz 1 Buchstaben a), b) und d), vollständig oder teilweise zurückgestellt werden, solange dies für statistische Zwecke erforderlich ist. Die Informationen müssen erteilt werden, sobald der Grund, aus dem sie zurückgehalten wurden, nicht mehr besteht.

Artikel 12 Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden

(1) Wurden die Daten nicht bei der betroffenen Person erhoben, so hat der für die Verarbeitung Verantwortliche der betroffenen Person bei Beginn der Speicherung personenbezogener Daten oder im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten zumindest die nachstehenden Informationen zu erteilen, sofern diese ihr noch nicht vorliegen:

  1. Identität des für die Verarbeitung Verantwortlichen,
  2. Zwecke der Verarbeitung,
  3. die Datenkategorien, die verarbeitet werden,
  4. die Empfänger oder Kategorien von Empfängern,
  5. das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,
  6. weitere Informationen wie
    1. die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,
    2. die zeitliche Begrenzung der Speicherung der Daten,
    3. das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,
    4. die Herkunft der Daten, außer wenn der für die Verarbeitung Verantwortliche diese aufgrund der beruflichen Geheimhaltungspflicht nicht offen legen kann,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Rechtsvorschriften der Gemeinschaft ausdrücklich vorgesehen ist. In diesen Fällen sieht das Organ oder die Einrichtung der Gemeinschaft nach Konsultierung des Europäischen Datenschutzbeauftragten geeignete Garantien vor.

Abschnitt 5
Rechte der betroffenen Person

Artikel 13 Auskunftsrecht

Die betroffene Person hat das Recht, jederzeit frei und ungehindert innerhalb von drei Monaten nach Eingang eines entsprechenden Antrags unentgeltlich von dem für die Verarbeitung Verantwortlichen folgende Auskünfte zu erhalten:

  1. die Bestätigung, ob sie betreffende Daten verarbeitet werden oder nicht,
  2. zumindest Angaben zu den Zwecken der Verarbeitung, den Datenkategorien, die verarbeitet werden, den Empfängern oder Kategorien von Empfängern, an die die Daten übermittelt werden,
  3. eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,
  4. Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

Artikel 14 Berichtigung

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigt werden.

Artikel 15 Sperrung

(1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Sperrung von Daten zu verlangen, wenn

  1. ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der Daten zu überprüfen, oder
  2. der für die Verarbeitung Verantwortliche sie für die Erfüllung seiner Aufgaben nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen, oder
  3. die Verarbeitung unrechtmäßig ist, die betroffene Person Einspruch gegen ihre Löschung erhebt und statt dessen ihre Sperrung fordert.

(2) In automatisierten Dateien wird die Sperrung grundsätzlich durch technische Mittel gewährleistet. Die Tatsache, dass die personenbezogenen Daten gesperrt sind, ist in dem System in einer Weise anzugeben, aus der klar wird, dass die personenbezogenen Daten nicht verwendet werden dürfen.

(3) Gemäß diesem Artikel gesperrte personenbezogene Daten werden mit Ausnahme ihrer Speicherung nur verarbeitet, wenn sie für Beweiszwecke erforderlich sind, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte eines Dritten geschützt werden müssen.

(4) Die betroffene Person, die die Sperrung ihrer Daten beantragt und erreicht hat, ist von dem für die Verarbeitung Verantwortlichen zu unterrichten, bevor die Sperrung aufgehoben wird.

Artikel 16 Löschung

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung der Daten zu verlangen, wenn ihre Verarbeitung rechtswidrig ist, insbesondere im Falle eines Verstoßes gegen die Bestimmungen der Abschnitte 1, 2 und 3 des Kapitels II.

Artikel 17 Mitteilung an Dritte

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass Dritten, denen die Daten übermittelt wurden, jede Berichtigung, Löschung oder Sperrung, die aufgrund der Artikel 13 bis 16 vorgenommen wird, mitgeteilt wird, es sei denn, dass sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeutet.

Artikel 18 Widerspruchsrecht der betroffenen Person

Die betroffene Person hat das Recht,

  1. jederzeit aus zwingenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Verarbeitung von sie betreffenden Daten Widerspruch einzulegen, außer in den unter Artikel 5 Buchstaben b), c) und d) fallenden Fällen. Bei berechtigtem Widerspruch darf sich die betreffende Verarbeitung nicht mehr auf diese Daten beziehen;
  2. vor der ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu können.

Artikel 19 Automatisierte Einzelentscheidungen

Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, es sei denn, die Entscheidung ist ausdrücklich aufgrund einzelstaatlicher oder gemeinschaftlicher Rechtsvorschriften zulässig oder wird, falls notwendig, vom Europäischen Datenschutzbeauftragten ausdrücklich genehmigt. In beiden Fällen müssen Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person getroffen werden wie etwa Gewährleistung der Möglichkeit, ihren Standpunkt geltend zu machen.

UWS Umweltmanagement GmbHweiter.Frame öffnen