Unterrichtung durch die Europäische Kommission
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG - COM (2017) 8 final

Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.

Der Europäische Wirtschafts- und Sozialausschuss wird an den Beratungen beteiligt.

Hinweis: vgl.
Drucksache 546/99 = AE-Nr. 992680,
Drucksache 052/12 PDF = AE-Nr. 120056,
Drucksache 145/17 PDF = AE-Nr. 170165 und AE-Nr. . 070949, 012509

Europäische Kommission
Brüssel, den 10.1.2017
COM (2017) 8 final 2017/0002 (COD)

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG

Begründung

1. Kontext des Vorschlags

- Gründe und Ziele des Vorschlags

In Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der mit dem Vertrag von Lissabon eingeführt wurde, ist der Grundsatz verankert, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Mit Artikel 16 Absatz 2 AEUV verfügt die Union zudem seit dem Vertrag von Lissabon über eine besondere Rechtsgrundlage für den Erlass von Datenschutzvorschriften. In Artikel 8 der Charta der Grundrechte der Europäischen Union ist der Schutz personenbezogener Daten als Grundrecht ausgestaltet.

Das Recht auf den Schutz personenbezogener Daten gilt auch für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU. Die Verordnung (EG) Nr. 045/20011, das Kernstück der EU-Vorschriften zum Schutz personenbezogener Daten in den Organen und Einrichtungen der Union, wurde im Jahr 2001 mit zwei Zielen verabschiedet: Schutz des Grundrechts auf Datenschutz und Gewährleistung des freien Verkehrs personenbezogener Daten in der gesamten Union. Die Verordnung wurde durch den Beschluss Nr. 1247/2002/EG2 ergänzt.

Am 27. April 2016 nahmen das Europäische Parlament und der Rat die Datenschutz-Grundverordnung (Verordnung (EU) Nr. 2016/679 ) an, die ab dem 25. Mai 2018 gelten wird. Darin wird die Anpassung der Verordnung (EG) Nr. 45/2001 an die Grundsätze und Vorschriften der Verordnung (EU) Nr. 2016/679 gefordert, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass beide Verordnungen gleichzeitig angewandt werden können.3

Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union sind die Datenschutzvorschriften für die Organe, Einrichtungen und sonstigen Stellen der Union so weit als möglich den für die Mitgliedstaaten erlassenen Datenschutzvorschriften anzugleichen. Wann immer einer Bestimmung des Vorschlags dasselbe Konzept zugrunde liegt wie einer Bestimmung der Verordnung (EU) Nr. 2016/679 , sind beide Bestimmungen homogen auszulegen, insbesondere da die Systematik des Vorschlags als Gegenstück zu der Systematik der Verordnung (EU) Nr. 2016/679 zu sehen ist.4

Bei der Überprüfung der Verordnung (EG) Nr. 45/2001 wurden auch die Ergebnisse von Erhebungen, der Konsultation der Interessenträger und der Studie zur Bewertung der Anwendung der Verordnung in den letzten 15 Jahren berücksichtigt.

Es handelt sich nicht um eine Initiative im Rahmen des Programms zur Gewährleistung der Effizienz und Leistungsfähigkeit der Rechtsetzung (REFIT).

- Kohärenz mit den bestehenden Vorschriften in diesem Bereich

Ziel des Vorschlags ist die Angleichung der Bestimmungen der Verordnung (EG) Nr. 45/2001 an die Grundsätze und Vorschriften der Verordnung (EU) Nr. 2016/679 , um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten. Der Vorschlag umfasst auch die einschlägigen Vorschriften der Verordnung (EG) XXXX/XX [Verordnung über Privatsphäre und elektronische Kommunikation] über den Schutz der Endeinrichtungen von Endnutzern.

- Kohärenz mit der Politik der Union in anderen Bereichen

Entfällt

2. Rechtsgrundlage, Subsidiarität und Verhältnismässigkeit

- Rechtsgrundlage

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das in Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union verankert ist.

Der vorliegende Vorschlag stützt sich auf Artikel 16 AEUV, der die Rechtsgrundlage für den Erlass von Datenschutzvorschriften bildet. Dieser Artikel sieht den Erlass von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union im Rahmen der Ausübung von Tätigkeiten vor, die in den Anwendungsbereich des Unionsrechts fallen. Vorschriften über den freien Verkehr personenbezogener Daten - auch solcher Daten, die von diesen Organen, Einrichtungen und sonstigen Stellen verarbeitet werden - können ebenfalls auf dieser Grundlage erlassen werden.

- Subsidiarität (bei nicht ausschließlicher Zuständigkeit)

Der Gegenstand dieser Verordnung fällt in die ausschließliche Zuständigkeit der Union, da nur die Europäische Union Vorschriften über die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union erlassen kann.

- Verhältnismäßigkeit

Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 des Vertrags über die Europäische Union nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

- Wahl des Instruments

Eine Verordnung wird als das geeignete Rechtsinstrument angesehen, um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und den freien Datenverkehr zu regeln. Sie sieht rechtlich durchsetzbare Rechte für natürliche Personen sowie Pflichten der für die Datenverarbeitung Verantwortlichen in den Organen, Einrichtungen und anderen Stellen der Union vor. Außerdem sieht sie eine unabhängige Aufsichtsbehörde vor, den Europäischen Datenschutzbeauftragten, der für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union zuständig ist.

3. Ergebnisse der EX-POST-BEWERTUNG, der Konsultation der Interessenträger und der Folgenabschätzung

Die Kommission hat in den Jahren 2010 und 2011 die Interessenträger konsultiert und im Zuge der Vorbereitung des Datenschutz-Reformpakets eine Folgenabschätzung durchgeführt, deren Ergebnisse in die Vorschläge zur Änderung der Verordnung (EG) Nr. 45/2001 eingeflossen sind. In diesem Zusammenhang hat die Kommission auch ihre Datenschutzkoordinatoren befragt5.

Informationen über die praktische Anwendung der Verordnung (EG) Nr. 45/2001 durch die Organe, Einrichtungen und sonstigen Stellen der Union wurden von dem Europäischen Datenschutzbeauftragten, anderen Organen, Einrichtungen und Stellen der Union, anderen Generaldirektionen der Kommission und einem externen Auftragnehmer beigesteuert. Dem Netz der behördlichen Datenschutzbeauftragten wurde ein Fragebogen übermittelt.6

Die Datenschutzbeauftragten einer Reihe von Organen, Einrichtungen und sonstigen Stellen der Union hielten am 9. Juli 2015, am 22. Oktober 2015, am 19. Januar 2016 und am 15. März 2016 Workshops ab, die die Reform der Verordnung (EG) Nr. 45/2001 zum Gegenstand hatten.

Im Jahr 2013 beschloss die Kommission die Durchführung einer Studie zur Bewertung der Anwendung der Verordnung (EG) Nr. 45/2001 und beauftragte einen externen Auftragnehmer damit. Die Ergebnisse der Studie (Abschlussbericht, fünf Fallstudien und Analyse der einzelnen Artikel) wurden der Kommission am 8. Juni 2015 vorgelegt7.

Die Bewertung ergab, dass das System und die Tätigkeit der behördlichen Datenschutzbeauftragten und des Europäischen Datenschutzbeauftragten wirksam geregelt sind. Es wurde festgestellt, dass die Aufteilung der Zuständigkeiten zwischen den Datenschutzbeauftragten und dem Europäischen Datenschutzbeauftragten klar und ausgewogen ist und diese jeweils über angemessene Befugnisse verfügen. Problematisch sei mitunter allerdings ein Mangel an Autorität aufgrund unzureichender Unterstützung der Datenschutzbeauftragten durch ihre Vorgesetzten.

Die Studie gelangte zu dem Schluss, dass die Verordnung (EG) Nr. 45/2001 durch die Verhängung von Sanktionen durch den Europäischen Datenschutzbeauftragten besser durchgesetzt werden könnte. Eine verstärkte Nutzung seiner Aufsichtsbefugnisse könne die Umsetzung der Datenschutzvorschriften verbessern. Eine weitere Schlussfolgerung bestand darin, dass die für die Datenverarbeitung Verantwortlichen vor Verarbeitungsvorgängen zunächst ein Konzept für das Risikomanagement festlegen und Risikobewertungen vornehmen sollten, um die Anforderungen in Bezug auf Vorratsdatenspeicherung und Sicherheit besser erfüllen zu können.

Ferner ergab die Studie, dass die Bestimmungen in Kapitel IV der Verordnung (EG) Nr. 45/2001 über die Telekommunikation überholt sind und dass dieses Kapitel an die eDatenschutz-Richtlinie angepasst werden muss. Der Studie zufolge müssen auch einige zentrale Begriffsbestimmungen der Verordnung (EG) Nr. 45/2001 klarer gefasst werden. Dazu gehören die Definition der in den Organen, Einrichtungen und sonstigen Stellen der Union für die Datenverarbeitung Verantwortlichen und der Empfänger sowie die Ausweitung der Verpflichtung zur Vertraulichkeit auf externe Auftragsverarbeiter.

Des Weiteren wurde in der Studie auf die Notwendigkeit einer Vereinfachung des Systems der Meldung und Vorabkontrolle hingewiesen, um die Effizienz zu erhöhen und den Verwaltungsaufwand zu verringern.

Das mit der Bewertungsstudie beauftragte Unternehmen führte eine Online-Umfrage bei 64 Organen, Einrichtungen und sonstigen Stellen der Union durch. 422 für die Datenverarbeitung verantwortliche Bedienstete, 73 Datenschutzbeauftragte, 118 Datenschutzkoordinatoren und 109 IT-Beauftragte beantworteten die Fragen. Darüber hinaus wurden eine Reihe direkter Befragungen von Interessenträgern durchgeführt. Am 26. März 2015 veranstalteten das Bewertungsunternehmen und die Kommission einen abschließenden Workshop, an dem für die Datenverarbeitung Verantwortliche, Datenschutzbeauftragte, Datenschutzkoordinatoren, IT-Beauftragte und Vertreter des Europäischen Datenschutzbeauftragten teilnahmen.

- Einholung und Nutzung von Expertenwissen

Siehe Erläuterungen zur Bewertungsstudie unter dem vorherigen Punkt.

- Folgenabschätzung

Die Auswirkungen dieses Vorschlags betreffen hauptsächlich die Organe, Einrichtungen und sonstigen Stellen der Union. Dies bestätigen die Informationen, die bei dem Europäischen Datenschutzbeauftragten, den anderen Organen, Einrichtungen und Stellen der Union, den Generaldirektionen der Kommission und dem externen Auftragnehmer eingeholt wurden. Darüber hinaus wurden die Auswirkungen der neuen Verpflichtungen, die sich aus der Verordnung (EU) Nr. 2016/679 ergeben, an welche die vorliegende Verordnung angeglichen werden muss, im Rahmen der Vorbereitungsarbeiten für diese Verordnung bewertet. Daher ist eine spezifische Folgenabschätzung für die vorliegende Verordnung nicht erforderlich.

- Effizienz der Rechtsetzung und Vereinfachung

Entfällt

- Grundrechte

Das Recht auf Schutz personenbezogener Daten ist in Artikel 8 der Charta der Grundrechte der Europäischen Union, Artikel 16 AEUV und Artikel 8 der Europäischen Menschenrechtskonvention verankert. Wie der Gerichtshof der Europäischen Union betont hat8, kann das Recht auf Schutz der personenbezogenen Daten jedoch keine uneingeschränkte Geltung beanspruchen, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen werden9. Der Datenschutz hängt zudem eng mit der Achtung des Privat- und Familienlebens zusammen, das durch Artikel 7 der Charta geschützt ist.

Der vorliegende Vorschlag enthält Vorschriften für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und für den freien Datenverkehr.

Die folgenden in der Charta verankerten Grundrechte könnten ebenfalls betroffen sein: die Freiheit der Meinungsäußerung (Artikel 11), das Eigentumsrecht und insbesondere der Schutz des geistigen Eigentums (Artikel 17 Absatz 2), das Verbot einer Diskriminierung unter anderem wegen der Rasse, der ethnischen Herkunft, der genetischen Merkmale, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, einer Behinderung oder der sexuellen Ausrichtung (Artikel 21), die Rechte des Kindes (Artikel 24), das Recht auf ein hohes Gesundheitsschutzniveau (Artikel 35), das Recht auf Zugang zu Dokumenten (Artikel 42) und das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren (Artikel 47).

4. Auswirkungen auf den Haushalt

Siehe beigefügten Finanzbogen.

5. Weitere Angaben

- Durchführungspläne sowie Monitoring-, Bewertungs- und Berichterstattungsmodalitäten

Entfällt

- Erläuternde Dokumente (bei Richtlinien)

Entfällt

Kapitel I - Allgemeine Bestimmungen

Artikel 1 nennt den Gegenstand der Verordnung und - wie Artikel 1 der Verordnung (EG) Nr. 45/2001 - ihre beiden Zielsetzungen: Schutz des Grundrechts auf Datenschutz und Gewährleistung des freien Verkehrs personenbezogener Daten in der gesamten Union. Außerdem wird die Hauptaufgabe des Europäischen Datenschutzbeauftragten genannt.

Artikel 2 bestimmt den Anwendungsbereich der Verordnung: Sie soll für die automatisierte und nichtautomatisierte Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union gelten, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Unionsrechts fallen. Der sachliche Anwendungsbereich dieser Verordnung ist technologieneutral. Der Schutz personenbezogener Daten gilt für die automatisierte Verarbeitung personenbezogener Daten ebenso wie für die manuelle Verarbeitung personenbezogener Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Artikel 3 enthält die Begriffsbestimmungen. Abgesehen von den Ausdrücken "Organe und Einrichtungen der Union", "Verantwortlicher", "Nutzer" und "Verzeichnis", für die diese Verordnung eigene Definitionen enthält, sind die verwendeten Ausdrücke in der Verordnung (EU) Nr. 2016/679 , der Verordnung (EU) Nr. 0000/00 [neue Verordnung über Privatsphäre und elektronische Kommunikation], der Richtlinie 000/0000/EU [Richtlinie über den europäischen dieser Rechte und Freiheiten achten, unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

Kodex für die elektronische Kommunikation] und der Richtlinie 2008/63 /EG der Kommission definiert.

Kapitel II - Grundsätze

In Artikel 4 sind die Grundsätze für die Verarbeitung personenbezogener Daten niedergelegt, die denen in Artikel 5 der Verordnung (EU) Nr. 2016/679 entsprechen. Gegenüber der Verordnung (EG) Nr. 45/2001 kommen die neuen Grundsätze der Transparenz und der Integrität und Vertraulichkeit hinzu.

Artikel 5 basiert auf Artikel 6 der Verordnung (EU) Nr. 2016/679 und enthält die Kriterien für eine rechtmäßige Verarbeitung, allerdings mit Ausnahme des Kriteriums des berechtigten Interesses des Verantwortlichen, das nicht für den öffentlichen Sektor gilt und somit für die Organe und Einrichtungen der Union nicht anwendbar ist. Die bereits in Artikel 5 der Verordnung (EG) Nr. 45/2001 enthaltenen Kriterien werden beibehalten.

In Artikel 6 werden die Bedingungen für die "Verarbeitung für einen anderen konformen Zweck" im Einklang mit Artikel 6 Absatz 4 der Verordnung (EU) Nr. 2016/679 aufgeführt. Im Vergleich zu Artikel 6 der Verordnung (EG) Nr. 45/2001 bietet diese neue Bestimmung mehr Flexibilität und Rechtssicherheit in Bezug auf eine Weiterverarbeitung für kompatible Zwecke.

In Artikel 7 werden im Einklang mit Artikel 7 der Verordnung (EU) Nr. 2016/679 die Bedingungen für die Einwilligung festgelegt, die eine rechtswirksame Grundlage für eine rechtmäßige Verarbeitung darstellt.

Artikel 8 enthält analog zu Artikel 8 der Verordnung (EU) Nr. 2016/679 weitere Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Kindern im Zusammenhang mit Diensten der Informationsgesellschaft, die Kindern direkt angeboten werden. Das Mindestalter, das ein Kind haben muss, damit es eine gültige Einwilligung erteilen kann, wird auf 13 Jahre festgelegt.

Artikel 9 enthält wie Artikel 8 der Verordnung (EG) Nr. 45/2001 Vorgaben zur Gewährleistung eines bestimmten Schutzniveaus bei der Übermittlung personenbezogener Daten an in der Union niedergelassene und der Verordnung (EU) Nr. 2016/679 oder der Richtlinie (EU) Nr. 2016/680 unterliegende Empfänger, die nicht Organe oder Einrichtungen der Union sind. So wird klargestellt, dass in Fällen, in denen die Übermittlung auf Veranlassung des Verantwortlichen erfolgt, die Erforderlichkeit und Angemessenheit der Übermittlung nachzuweisen ist.

Artikel 10 enthält in Anlehnung an Artikel 9 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 10 der Verordnung (EG) Nr. 45/2001 das grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Ausnahmen von diesem Verbot.

Artikel 11 enthält im Einklang mit Artikel 10 der Verordnung (EU) Nr. 2016/679 und mit Artikel 10 Absatz 5 der Verordnung (EG) Nr. 45/2001 die Bedingungen für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.

Artikel 12 regelt die Informationspflichten des Verantwortlichen gegenüber der betroffenen Person im Einklang mit Artikel 11 der Verordnung (EU) Nr. 2016/679 , wonach der Verantwortliche, sofern er anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren kann, nicht verpflichtet sein sollte, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen.

Artikel 13, der sich auf Artikel 89 Absatz 1 der Verordnung (EU) Nr. 2016/679 stützt, enthält Bestimmungen über Garantien in Bezug auf die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Kapitel III - Rechte der Betroffenen Person

Abschnitt 1 - Transparenz und Modalitäten

Artikel 14 verpflichtet in Anlehnung an Artikel 12 der Verordnung (EU) Nr. 2016/679 die Verantwortlichen, transparente, leicht zugängliche und verständliche Informationen bereitzustellen und Verfahren und Vorkehrungen für die Ausübung der Rechte der betroffenen Person - gegebenenfalls einschließlich Möglichkeiten für die Antragstellung auf elektronischem Weg - vorzusehen, innerhalb einer bestimmten Frist auf den Antrag der betroffenen Person zu reagieren und eine Ablehnung des Antrags zu begründen. Da die Organe und Einrichtungen der Union für Verwaltungskosten, die im Zusammenhang mit der Bereitstellung der Informationen entstehen, keinesfalls Gebühren erheben sollten, wurde diese Möglichkeit aus der Verordnung (EU) Nr. 2016/679 nicht übernommen.

Abschnitt 2 - Informationspflicht und Auskunftsrecht

In Artikel 15 wird in Anlehnung an Artikel 13 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 11 der Verordnung (EG) Nr. 45/2001 die Informationspflicht des Verantwortlichen gegenüber der betroffenen Person festgelegt, wenn personenbezogene Daten bei der betroffenen Person erhoben werden. Demnach sind der betroffenen Person Informationen zur Verfügung zu stellen, unter anderem über die Dauer der Speicherung und das Beschwerderecht oder im Zusammenhang mit internationalen Datenübermittlungen.

In Artikel 16 wird in Anlehnung an Artikel 14 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 12 der Verordnung (EG) Nr. 45/2001 die Informationspflicht des Verantwortlichen gegenüber der betroffenen Person zusätzlich präzisiert: Wenn personenbezogene Daten nicht von der betroffenen Person selbst erlangt wurden, so ist ihr die Quelle mitzuteilen, aus der die Daten stammen. Es werden auch die in der Verordnung (EU) Nr. 2016/679 vorgesehenen Ausnahmeregelungen übernommen. So entfällt beispielsweise die Informationspflicht, wenn die betroffene Person bereits über die Informationen verfügt, wenn sich die Bereitstellung dieser Informationen als unmöglich erweist oder für den Verantwortlichen mit einem unverhältnismäßigen Aufwand verbunden wäre, wenn die personenbezogenen Daten nach Unionsrecht dem Berufsgeheimnis unterliegen und daher vertraulich behandelt werden müssen oder wenn die Erfassung oder Offenlegung ausdrücklich gesetzlich vorgesehen ist. Dies könnte zum Beispiel für Verfahren gelten, an denen für soziale Sicherheit oder Gesundheit zuständige Stellen beteiligt sind.

Artikel 17 regelt im Einklang mit Artikel 15 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 13 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Zugang zu ihren personenbezogenen Daten und fügt neue Elemente hinzu wie die Pflicht, die betroffene Person über die Dauer der Speicherung sowie über das Recht auf Berichtigung und Löschung sowie das Beschwerderecht zu informieren.

Abschnitt 3 - Berichtigung und Löschung

Artikel 18 regelt in Anlehnung an Artikel 16 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 14 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Berichtigung ihrer Daten.

Artikel 19 regelt im Einklang mit Artikel 17 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 16 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person auf Löschung ihrer Daten ("Recht auf Vergessenwerden"). Es werden die Bedingungen für das Recht auf Vergessenwerden aufgeführt. Hierzu zählt auch die Pflicht des Verantwortlichen, der die personenbezogenen Daten veröffentlicht hat, Dritte über den Antrag der betroffenen Person auf Löschung aller Verbindungen zu diesen personenbezogenen Daten oder auf Löschung von Kopien oder Replikationen dieser Daten zu informieren.

Artikel 20 führt das Recht auf Einschränkung der Verarbeitung in bestimmten Fällen ein, wobei der mehrdeutige Ausdruck "Sperrung", der in der Verordnung (EG) Nr. 45/2001 verwendet wird, vermieden wird und für Kohärenz mit der neuen Terminologie in Artikel 18 der Verordnung (EU) Nr. 2016/679 gesorgt wird.

Artikel 21 sieht im Einklang mit Artikel 19 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 17 der Verordnung (EG) Nr. 45/2001 die Pflicht des Verantwortlichen vor, den Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogene Daten oder eine Einschränkung ihrer Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet auch die betroffene Person über diese Empfänger, wenn sie dies verlangt.

Artikel 22 führt im Einklang mit Artikel 20 der Verordnung (EU) Nr. 2016/679 das Recht der betroffenen Person auf Datenübertragbarkeit ein, d.h. das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, zu erhalten, und das Recht, diese Daten direkt einem anderen Verantwortlichen übermitteln zu lassen, wenn dies technisch machbar ist. Als Voraussetzung für die Ausübung dieses Rechts und zur weiteren Verbesserung des Zugangs natürlicher Personen zu ihren Daten ist vorgesehen, dass der Verantwortliche diese Daten in einem strukturierten, gängigen maschinenlesbaren Format zur Verfügung stellen muss. Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung der betroffenen Person oder einem von ihr geschlossenen Vertrag beruht.

Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 23 regelt in Anlehnung an Artikel 21 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 18 der Verordnung (EG) Nr. 45/2001 das Widerspruchsrecht der betroffenen Person.

Artikel 24 betrifft analog zu Artikel 22 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 19 der Verordnung (EG) Nr. 45/2001 das Recht der betroffenen Person, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Maßnahme unterworfen zu werden.

Abschnitt 5 - Beschränkungen

Artikel 25 erlaubt Beschränkungen der Rechte der betroffenen Person, die in den Artikeln 14 bis 22, 34 und 38 festgelegt sind, sowie der Grundsätze des Artikels 4 (soweit dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen). Diese Beschränkungen sollten in Rechtsakten, die auf der Grundlage der Verträge erlassen wurden, oder in internen Vorschriften der Organe und Einrichtungen der Union vorgesehen sein. Ist die Möglichkeit einer solchen Beschränkung nicht in einem auf der Grundlage der Verträge erlassenen Rechtsakt oder in einer internen Vorschrift der Organe und Einrichtungen der Union vorgesehen, so können diese eine Adhoc-Beschränkung verhängen, sofern diese in Bezug auf einen bestimmten Verarbeitungsvorgang den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme darstellt, mit der eines oder mehrere der Ziele gewahrt werden, die die Beschränkung der Rechte betroffener Personen erlauben. Dieser Ansatz steht im Einklang mit Artikel 23 der Verordnung (EU) Nr. 2016/679 . Im Gegensatz zu Artikel 23 der Verordnung (EU) Nr. 2016/679 und im Einklang mit Artikel 20 der Verordnung (EG) Nr. 45/2001 ist die Möglichkeit einer Beschränkung des Widerspruchsrechts und des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, nicht vorgesehen. Die Voraussetzungen für Beschränkungen stehen im Einklang mit der Grundrechtecharta und der Europäischen Menschenrechtskonvention in ihrer Auslegung durch den Gerichtshof der Europäischen Union und den Europäischen Gerichtshof für Menschenrechte.

Kapitel IV - VERANTWORTLICHER und AUFTRAGSVERARBEITER

Abschnitt 1 - Allgemeine Pflichten

Artikel 26 lehnt sich an Artikel 24 der Verordnung (EU) Nr. 2016/679 an und führt den Grundsatz der Rechenschaftspflicht ein: So ist der Verantwortliche verpflichtet, diese Verordnung einzuhalten und dies nachzuweisen, unter anderem durch Einführung geeigneter technischer und organisatorischer Maßnahmen und gegebenenfalls interner Maßnahmen und Verfahren, die die Einhaltung der Verordnung gewährleisten.

Artikel 24 Absatz 3 der Verordnung (EU) Nr. 2016/679 wurde nicht übernommen, da die Organe und Einrichtungen der Union keinen Verhaltensregeln oder Zertifizierungsverfahren unterliegen sollten.

Artikel 27 regelt im Einklang mit Artikel 25 der Verordnung (EU) Nr. 2016/679 die Pflichten, die dem Verantwortlichen aus den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen erwachsen.

Artikel 28 über die gemeinsam Verantwortlichen, der sich an Artikel 26 der Verordnung (EU) Nr. 2016/679 anlehnt, präzisiert die Zuständigkeiten der gemeinsam Verantwortlichen - ob in Organen oder Einrichtungen der Union oder nicht - in Bezug auf ihr Verhältnis untereinander sowie gegenüber der betroffenen Person. Diese Bestimmung betrifft den Fall, dass alle gemeinsam Verantwortlichen derselben rechtlichen Regelung (der vorliegenden Verordnung) unterliegen, und den Fall, dass die einen dieser Verordnung und die anderen einem anderen Rechtsinstrument (der Verordnung (EU) Nr. 2016/679 , der Richtlinie (EU) Nr. 2016/680 , der Richtlinie (EU) Nr. 2016/681 oder anderen spezifischen Datenschutzregelungen für Organe und Einrichtungen der Union) unterliegen.

In Artikel 29 werden in Anlehnung an Artikel 28 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 23 der Verordnung (EG) Nr. 45/2001 die Stellung und die Pflichten der Auftragsverarbeiter beschrieben, einschließlich der Festlegung, dass ein Auftragsverarbeiter, der unter Verstoß gegen die Verordnung die Zwecke und die Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.

Artikel 30 über die Verarbeitung unter der Aufsicht des Verantwortlichen und des Auftragsverarbeiters, der sich auf Artikel 29 der Verordnung (EU) Nr. 2016/679 stützt, sieht vor, dass der Auftragsverarbeiter und dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet.

Artikel 31, der sich an Artikel 30 der Verordnung (EU) Nr. 2016/679 anlehnt, führt - anstelle der nach Artikel 25 der Verordnung (EG) Nr. 45/2001 erforderlichen Vorabmeldung beim Datenschutzbeauftragten und des Registers der behördlichen Datenschutzbeauftragten - die Pflicht des Verantwortlichen und des Auftragsverarbeiters ein, eine Liste der Verarbeitungen zu führen, für die sie die Verantwortung tragen. Im Gegensatz zur Verordnung (EU) Nr. 2016/679 werden "Vertreter" nicht genannt, da Organe und Einrichtungen der Union keine Vertreter, sondern stets eigene Datenschutzbeauftragte haben. Bezugnahmen auf Datenübermittlungen im Rahmen von Ausnahmeregelungen für bestimmte Fälle, wie sie in der Verordnung (EU) Nr. 2016/679 vorgesehen sind, wurden nicht übernommen, da derartige Übermittlungen nicht Gegenstand der vorliegenden Verordnung sind. Die obligatorische Liste der Verarbeitungen kann auf der Ebene eines Organs oder einer Einrichtung der Union zentral geführt werden. In einem solchen Fall dürfen die Organe und Einrichtungen der Union ihre Listen der Verarbeitungen in einem öffentlich zugänglichen Register führen.

Artikel 32, der sich auf Artikel 31 der Verordnung (EU) Nr. 2016/679 stützt, betrifft die Pflichten der Organe und Einrichtungen der Union im Hinblick auf die Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten.

Abschnitt 2 - Sicherheit personenbezogener Daten und Vertraulichkeit der elektronischen Kommunikation

Artikel 33 verpflichtet im Einklang mit Artikel 32 der Verordnung (EU) Nr. 2016/679 und ausgehend von Artikel 22 der Verordnung (EG) Nr. 45/2001 den Verantwortlichen, geeignete Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu treffen, und dehnt diese Pflicht auf die Auftragsverarbeiter aus, ungeachtet ihres Vertragsverhältnisses mit dem Verantwortlichen.

Artikel 34 stützt sich auf Artikel 36 der Verordnung (EG) Nr. 45/2001 und gewährleistet die Vertraulichkeit der elektronischen Kommunikation innerhalb der Organe und Einrichtungen der Union.

Artikel 35 beruht auf der bestehenden Praxis in den Organen und Einrichtungen der Union und schützt die sich auf Endeinrichtungen der Endnutzer beziehenden Informationen beim Zugriff auf die öffentlich zugänglichen Websites und mobilen Anwendungen der Organe und Einrichtungen der Union im Einklang mit der Verordnung (EU) XXXX/XX [neue Verordnung über Privatsphäre und elektronische Kommunikation], insbesondere Artikel 8.

Artikel 36, der sich auf Artikel 38 der Verordnung (EG) Nr. 45/2001 stützt, dient dem Schutz personenbezogener Daten in öffentlichen und privaten Verzeichnissen von Organen und Einrichtungen der Union.

Die Artikel 37 und 38 führen im Einklang mit den Artikeln 33 und 34 der Verordnung (EU) Nr. 2016/679 eine Meldepflicht für Verletzungen des Schutzes personenbezogener Daten ein.

Abschnitt 3 - Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 39, der auf Artikel 35 der Verordnung (EU) Nr. 2016/679 basiert, verpflichtet die Verantwortlichen und Auftragsverarbeiter, vor der Verarbeitung eine DatenschutzFolgenabschätzung durchzuführen, wenn die Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Diese Verpflichtung gilt insbesondere in den folgenden Fällen: systematische und umfassende Bewertung persönlicher Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruht, umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten und systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Artikel 40 basiert auf Artikel 36 der Verordnung (EU) Nr. 2016/679 und betrifft die Fälle, in denen die Konsultation des Europäischen Datenschutzbeauftragten und dessen Genehmigung vor der Verarbeitung obligatorisch sind. Absatz 1 entspricht jedoch dem Erwägungsgrund 94 der Verordnung (EU) Nr. 2016/679 und stellt klar, wann eine Konsultationspflicht besteht.

Abschnitt 4 - Unterrichtung und legislative Konsultation

Artikel 41 verpflichtet die Organe und Einrichtungen der Union, den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten zu unterrichten.

Artikel 42 verpflichtet die Kommission zur Konsultation des Europäischen Datenschutzbeauftragten nach der Annahme von Vorschlägen für einen Gesetzgebungsakt und von an den Rat gerichteten Empfehlungen oder Vorschlägen nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben. Ist ein solcher Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen sollten beide Stellen ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Für die Erteilung des Rats in den genannten Fällen wird eine Frist von acht Wochen festgesetzt, wobei in dringenden Fälle und in sonstigen Fällen, in denen dies angezeigt ist (zum Beispiel wenn die Kommission delegierte Rechtsakte oder Durchführungsrechtsakte ausarbeitet), Ausnahmen möglich sind.

Abschnitt 5 - Pflicht zur Stellungnahme zu mutmaßlichen Verstößen

Artikel 43 verpflichtet Verantwortliche und Auftragsverarbeiter zur Stellungnahme zu mutmaßlichen Verstößen, wenn der Europäische Datenschutzbeauftragte beschlossen hat, sie mit einer Angelegenheit zu befassen.

Abschnitt 6 - Datenschutzbeauftragter

Artikel 44, der sich an Artikel 37 Absatz 1 Buchstabe a der Verordnung (EU) Nr. 2016/679 und Artikel 24 der Verordnung (EG) Nr. 45/2001 anlehnt, sieht vor, dass die Organe und Einrichtungen der Union einen Datenschutzbeauftragten haben müssen.

Artikel 45 regelt in Anlehnung an Artikel 38 der Verordnung (EU) Nr. 2016/679 und Artikel 24 der Verordnung (EG) Nr. 45/2001 die Stellung des Datenschutzbeauftragten.

Artikel 46 nennt in Anlehnung an Artikel 39 der Verordnung (EU) Nr. 2016/679 und Artikel 24 sowie Absätze 2 und 3 des Anhangs der Verordnung (EG) Nr. 45/2001 die wesentlichen Aufgaben des Datenschutzbeauftragten.

Kapitel V - ÜBERMITTLUNGEN PERSONENBEZOGENER Daten an DRITTLÄNDER ODER internationale Organisationen

Artikel 47 knüpft an Artikel 9 der Verordnung (EG) Nr. 45/2001 an und sieht im Einklang mit Artikel 44 der Verordnung (EU) Nr. 2016/679 den allgemeinen Grundsatz vor, dass Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen nur zulässig sind, wenn die sonstigen Bestimmungen dieser Verordnung und die in Kapitel V niedergelegten Bedingungen eingehalten werden; dies gilt auch für Weiterübermittlungen personenbezogener Daten durch das Drittland oder die internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation.

Gemäß Artikel 48 darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission nach Artikel 45 Absatz 3 der Verordnung (EU) Nr. 2016/679 durch Beschluss festgestellt hat, dass in dem Drittland, einem Gebiet oder einem oder mehreren spezifischen Sektoren in diesem Drittland oder in einer internationalen Organisation ein angemessenes Schutzniveau gewährleistet ist, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Kompetenz des Verantwortlichen fallen. Die Absätze 2 und 3 dieses Artikels wurden aus Artikel 9 der Verordnung (EG) Nr. 45/2001 übernommen. Sie dienen der Überwachung des Schutzniveaus in Drittländern und internationalen Organisationen.

Nach Artikel 49, der sich an Artikel 46 der Verordnung (EU) Nr. 2016/679 anlehnt, sind für Datenübermittlungen an Drittländer in Fällen, in denen die Kommission keinen Angemessenheitsbeschluss erlassen hat, geeignete Garantien erforderlich, insbesondere in Form von Standarddatenschutzklauseln und Standardvertragsklauseln. Auftragsverarbeiter, die kein Organ und keine Einrichtung der Union sind, können gemäß der Verordnung (EU) Nr. 2016/679 auf verbindliche interne Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsmechanismen zurückgreifen. Absatz 4, der die Organe und Einrichtungen der Union verpflichtet, den Europäischen Datenschutzbeauftragten über Kategorien von Fällen zu unterrichten, in denen sie diesen Artikel angewandt haben, entspricht Artikel 9 Absatz 8 der Verordnung (EG) Nr. 45/2001 , der wegen seiner Besonderheit übernommen wurde. Absatz 5 dient analog zu Artikel 46 Absatz 5 der Verordnung (EU) Nr. 2016/679 der Fortschreibung der Gültigkeit der bisherigen Genehmigungen.

Artikel 50 sieht im Einklang mit Artikel 48 der Verordnung (EU) Nr. 2016/679 vor, dass Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlands, mit denen die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, unbeschadet anderer Gründe für die Übermittlung nach diesem Kapitel nur anerkannt oder vollstreckbar werden dürfen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.

Artikel 51 enthält ebenso wie Artikel 49 der Verordnung (EU) Nr. 2016/679 Ausnahmeregelungen für bestimmte Datenübermittlungen. Dies betrifft insbesondere Datenübermittlungen, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, wie zum Beispiel für den internationalen Datenaustausch zwischen Wettbewerbsbehörden, Steuer- oder Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die Fischerei zuständig sind. Absatz 5 über die Pflicht zur Unterrichtung des Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen für eine Übermittlung eine Ausnahmeregelung angewandt wurde, entspricht dem bisherigen Artikel 9 Absatz 8 der Verordnung (EG) Nr. 45/2001 .

Artikel 52 basiert auf Artikel 50 der Verordnung (EU) Nr. 2016/679 und sieht ausdrücklich Mechanismen der internationalen Zusammenarbeit zum Schutz personenbezogener Daten zwischen dem Europäischen Datenschutzbeauftragten - in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss - und den Aufsichtsbehörden von Drittländern vor.

Kapitel VI - der Europäische DATENSCHUTZBEAUFTRAGTE

Artikel 53, der auf Artikel 41 der Verordnung (EG) Nr. 45/2001 aufbaut, betrifft die Schaffung des Amts des Europäischen Datenschutzbeauftragten.

Artikel 54 greift Artikel 42 der Verordnung (EG) Nr. 45/2001 und Artikel 3 des Beschlusses Nr. 1247/2002/EG auf und regelt die Ernennung des Europäischen Datenschutzbeauftragten durch das Europäische Parlament und den Rat. Des Weiteren wird die Dauer seiner Amtszeit auf fünf Jahre festgelegt.

Artikel 55 greift Artikel 43 der Verordnung (EG) Nr. 45/2001 und Artikel 1 des Beschlusses Nr. 1247/2002/EG auf. Er enthält Regelungen und allgemeine Bedingungen, die die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten, sein Personal und die Finanzmittel betreffen.

Artikel 56 baut auf Artikel 52 der Verordnung (EU) Nr. 2016/679 und Artikel 44 der Verordnung (EG) Nr. 45/2001 auf und präzisiert die Bedingungen für die Unabhängigkeit des Europäischen Datenschutzbeauftragten unter Berücksichtigung der Rechtsprechung des Gerichtshofs der Europäischen Union.

Artikel 57, dem Artikel 45 der Verordnung (EG) Nr. 45/2001 zugrunde liegt, verpflichtet den Europäischen Datenschutzbeauftragten, während und nach Ablauf seiner Amtszeit über vertrauliche Informationen, die ihm bei der Wahrnehmung seiner dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Artikel 58, der sich an Artikel 57 der Verordnung (EU) Nr. 2016/679 und Artikel 46 der Verordnung (EG) Nr. 45/2001 anlehnt, nennt die Aufgaben des Europäischen Datenschutzbeauftragten, zu denen die Entgegennahme und Prüfung von Beschwerden sowie die Sensibilisierung der Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Datenverarbeitung gehört.

Artikel 59 legt in Anlehnung an Artikel 58 der Verordnung (EU) Nr. 2016/679 und Artikel 47 der Verordnung (EG) Nr. 45/2001 die Befugnisse des Europäischen Datenschutzbeauftragten fest.

Artikel 60 sieht analog zu Artikel 59 der Verordnung (EU) Nr. 2016/679 und Artikel 48 der Verordnung (EG) Nr. 45/2001 die Pflicht des Europäischen Datenschutzbeauftragten vor, jedes Jahr einen Tätigkeitsbericht vorzulegen.

Kapitel VII - Zusammenarbeit und KOHÄRENZ

Artikel 61 führt in Anlehnung an Artikel 61 der Verordnung (EU) Nr. 2016/679 und Artikel 46 Buchstabe f der Verordnung (EG) Nr. 45/2001 ausdrückliche Vorschriften für die Zusammenarbeit des Europäischen Datenschutzbeauftragten mit nationalen Aufsichtsbehörden ein.

Artikel 62 regelt die Pflichten des Europäischen Datenschutzbeauftragten im Rahmen der mit den nationalen Aufsichtsbehörden koordinierten Aufsicht in Fällen, in denen in anderen Rechtsakten der Union auf diesen Artikel verwiesen wird. Ziel ist eine koordinierte Aufsicht nach einem einheitlichen Modell. Dieses Modell könnte für die koordinierte Aufsicht über IT-Großsysteme wie Eurodac, das Schengener Informationssystem der zweiten Generation, das Visa-Informationssystem, das Zollinformationssystem oder das Binnenmarktinformationssystem genutzt werden, aber auch für die Aufsicht über einige Agenturen der Union wie beispielsweise Europol, für die ein spezielles Modell der Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Behörden geschaffen wird. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht umfassend zu gewährleisten.

Kapitel VIII - Rechtsbehelfe, Haftung und Sanktionen

Artikel 63 sieht in Anlehnung an Artikel 77 der Verordnung (EU) Nr. 2016/679 und Artikel 32 der Verordnung (EG) Nr. 45/2001 das Recht einer jeden betroffenen Person vor, Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Er enthält auch die Verpflichtung des Europäischen Datenschutzbeauftragten, sich mit der Beschwerde zu befassen und die betroffene Person über den Fortgang und das Ergebnis der Prüfung der Beschwerde innerhalb von drei Monaten zu unterrichten. Nach Ablauf dieser Frist gilt die Beschwerde als zurückgewiesen.

Artikel 64 entspricht Artikel 32 Absatz 1 der Verordnung (EG) Nr. 45/2001 . Demnach ist der Gerichtshof der Europäischen Union für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.

Artikel 65 gewährleistet den Anspruch auf Schadenersatz sowohl für materielle als auch für immaterielle Schäden unter den in den Verträgen vorgesehenen Voraussetzungen, auch in Bezug auf die Haftung.

Artikel 66 basiert auf Artikel 83 der Verordnung (EU) Nr. 2016/679 und verleiht dem Europäischen Datenschutzbeauftragten die Befugnis, als letztes Mittel Geldbußen gegen Organe und Einrichtungen der Union zu verhängen, wenn das Organ oder die Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 59 Absatz 2 Buchstaben a bis h und j nicht nachkommt. In dem Artikel werden auch die Kriterien für die Festsetzung der Höhe der Geldbuße in jedem Einzelfall genannt, wohingegen sich die jährlichen Höchstbeträge an den in einigen Mitgliedstaaten geltenden Geldbußen orientieren.

Artikel 67 ermöglicht im Einklang mit Artikel 80 Absatz 1 der Verordnung (EU) Nr. 2016/679 bestimmten Einrichtungen, Organisationen und Vereinigungen, im Namen einer betroffenen Person Beschwerde einzulegen.

Artikel 68 sieht im Einklang mit Artikel 33 der Verordnung (EG) Nr. 45/2001 spezifische Bestimmungen zum Schutz von Unionsbeschäftigten vor, die beim Europäischen Datenschutzbeauftragten eine Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, ohne den Dienstweg zu beschreiten.

Artikel 69 basiert auf Artikel 49 der Verordnung (EG) Nr. 45/2001 und sieht Sanktionen gegen Beamte oder sonstige Bedienstete der Europäischen Union vor, die die in dieser Verordnung festgelegten Pflichten verletzen.

Kapitel IX - Durchführungsrechtsakte

Artikel 70 regelt das Ausschussverfahren für die Übertragung von Durchführungsbefugnissen auf die Kommission in Fällen, in denen es nach Artikel 291 AEUV einheitlicher Bedingungen für die Durchführung der verbindlichen Rechtsakte der Union bedarf. Es gilt das Prüfverfahren.

Kapitel X - Schlussbestimmungen

Artikel 71 hebt die Verordnung (EG) Nr. 45/2001 und den Beschluss Nr. 1247/2002/EG auf und legt fest, dass Bezugnahmen auf die beiden aufgehobenen Rechtsakte als Bezugnahmen auf die vorliegende Verordnung gelten.

In Artikel 72 wird klargestellt, dass die laufende Amtszeit des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten von dieser Verordnung unberührt bleiben und dass Artikel 54 Absätze 4, 5 und 7 sowie die Artikel 56 und 57 der Verordnung für den derzeitigen stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit am 5. Dezember 2019 gelten.

Gemäß Artikel 73 soll diese Verordnung ab dem 25. Mai 2018 gelten, sodass ihre Anwendung zum gleichen Zeitpunkt beginnt wie die der Verordnung (EU) Nr. 2016/679 . 2017/0002 (COD) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG

Das Europäische Parlament und der Rat der Europäischen Union - gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2, auf Vorschlag der Europäischen Kommission, nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses10, gemäß dem ordentlichen Gesetzgebungsverfahren, in Erwägung nachstehender Gründe:

Kapitel I
Allgemeine Bestimmungen

Artikel 1
Gegenstand und Ziele

Artikel 2
Anwendungsbereich

Artikel 3
Begriffsbestimmungen

Kapitel II
Grundsätze

Artikel 4
Grundsätze für die Verarbeitung personenbezogener Daten

Artikel 5
Rechtmäßigkeit der Verarbeitung

Artikel 6
Verarbeitung für einen anderen konformen Zweck

Beruht die Verarbeitung für einen anderen Zweck als denjenigen, für den die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Vorschrift des Unionsrechts, die in einer demokratischen Gesellschaft eine erforderliche und angemessene Maßnahme zur Wahrung der in Artikel 25 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche bei der Prüfung, ob die Verarbeitung für einen anderen Zweck mit demjenigen, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, unter anderem

Artikel 7
Voraussetzungen für die Einwilligung

Artikel 8
Voraussetzungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Artikel 9
Übermittlung personenbezogener Daten an in der Union niedergelassene und der Verordnung (EU) Nr. 2016/679 oder der Richtlinie (EU) Nr. 2016/680 unterliegende Empfänger, die nicht Organe oder Einrichtungen der Union sind

Artikel 10
Verarbeitung besonderer Kategorien personenbezogener Daten

Artikel 11
Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln nach Artikel 5 Absatz 1 darf nur vorgenommen werden, wenn dies nach Vorschriften des Unionsrechts, zu denen auch interne Vorschriften gehören können und die geeignete besondere Garantien für die Rechte und Freiheiten der betroffenen Personen vorsehen, zulässig ist.

Artikel 12
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Artikel 13
Garantien in Bezug auf die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke

Die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke unterliegt im Einklang mit dieser Verordnung geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird.

Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, die betreffenden Zwecke auf diese Weise zu erfüllen. Können diese Zwecke durch eine Weiterverarbeitung, bei der die Identifizierung der betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden, so werden die Zwecke auf diese Weise erfüllt.

Kapitel III
Rechte der Betroffenen Person Abschnitt 1 Transparenz und MODALITÄTEN

Artikel 14
Transparente Informationen, Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2
INFORMATIONSPFLICHT und Recht auf Auskunft über PERSONENBEZOGENE Daten

Artikel 15
Informationspflicht, wenn personenbezogene Daten bei der betroffenen Person erhoben werden

Artikel 16
Informationspflicht, wenn personenbezogene Daten nicht von der betroffenen Person erlangt wurden

Artikel 17
Auskunftsrecht der betroffenen Person

Abschnitt 3
BERICHTIGUNG und LÖSCHUNG

Artikel 18
Recht auf Berichtigung

Die betroffene Person hat das Recht, bei dem Verantwortlichen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu erwirken. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten - auch mittels einer ergänzenden Erklärung - zu erwirken.

Artikel 19
Recht auf Löschung ("Recht auf Vergessenwerden")

Artikel 20
Recht auf Einschränkung der Verarbeitung

Artikel 21
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung

Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung ihrer Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Artikel 22
Recht auf Datenübertragbarkeit

Abschnitt 4
WIDERSPRUCHSRECHT und AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG IM EINZELFALL

Artikel 23
Widerspruchsrecht

Artikel 24
Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling

Abschnitt 5
BESCHRÄNKUNGEN

Artikel 25
Beschränkungen

Kapitel IV
VERANTWORTLICHER und AUFTRAGSVERARBEITER Abschnitt 1 Allgemeine Pflichten

Artikel 26
Verantwortung des Verantwortlichen

Artikel 27
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Artikel 28
Gemeinsam Verantwortliche

Artikel 29
Auftragsverarbeiter

Artikel 30
Verarbeitung unter der Aufsicht des Verantwortlichen und des Auftragsverarbeiters

Der Auftragsverarbeiter und dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten dazu verpflichtet.

Artikel 31
Liste der Verarbeitungen

Artikel 32
Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten

Die Organe und Einrichtungen der Union arbeiten auf Ersuchen mit dem Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben zusammen.

Abschnitt 2
Sicherheit PERSONENBEZOGENER Daten und Vertraulichkeit der elektronischen Kommunikation

Artikel 33
Sicherheit der Verarbeitung

Artikel 34
Vertraulichkeit der elektronischen Kommunikation

Die Organe und Einrichtungen der Union gewährleisten die Vertraulichkeit der elektronischen Kommunikation, insbesondere durch Sicherung ihrer elektronischen Kommunikationsnetze.

Artikel 35
Schutz der sich auf Endeinrichtungen der Endnutzer beziehenden Informationen

Die Organe und Einrichtungen der Union schützen die sich auf Endeinrichtungen der Endnutzer beziehenden Informationen beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit der Verordnung (EU) XX/XXXX [neue Verordnung über Privatsphäre und elektronische Kommunikation], insbesondere Artikel 8.

Artikel 36
Nutzerverzeichnisse

Artikel 37
Meldung einer Verletzung des Schutzes personenbezogener Daten beim Europäischen Datenschutzbeauftragten

Artikel 38
Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3
DATENSCHUTZ-FOLGENABSCHÄTZUNG und VORHERIGE Konsultation

Artikel 39
Datenschutz-Folgenabschätzung

Artikel 40
Vorherige Konsultation

Abschnitt 4
Unterrichtung und LEGISLATIVE Konsultation

Artikel 41
Unterrichtung

Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Union allein oder gemeinsam mit anderen beteiligt ist.

Artikel 42
Legislative Konsultation

Abschnitt 5
PFLICHT zur Stellungnahme zu MUTMASSLICHEN VERSTÖSSEN

Artikel 43
Pflicht zur Stellungnahme zu mutmaßlichen Verstößen

Wenn der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 59 Absatz 2 Buchstaben a, b und c ausübt, teilt der betroffene Verantwortliche oder Auftragsverarbeiter dem Europäischen Datenschutzbeauftragten innerhalb einer angemessenen Frist, die vom Europäischen Datenschutzbeauftragten unter Berücksichtigung der Umstände des Einzelfalls festzulegen ist, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

Abschnitt 6
DATENSCHUTZBEAUFTRAGTER

Artikel 44
Benennung des Datenschutzbeauftragten

Artikel 45
Stellung des Datenschutzbeauftragten

Artikel 46
Aufgaben des Datenschutzbeauftragten

Kapitel V
Übermittlungen personenbezogener Daten an Drittländer oder internationale Organisationen

Artikel 47
Allgemeine Grundsätze für Übermittlungen

Übermittlungen personenbezogener Daten, die verarbeitet werden oder nach der Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, sind nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für Weiterübermittlungen personenbezogener Daten durch das Drittland oder die internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

Artikel 48
Übermittlungen auf der Grundlage eines Angemessenheitsbeschlusses

Artikel 49
Übermittlungen vorbehaltlich geeigneter Garantien

Artikel 50
Nach Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung nach diesem Kapitel nur anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.

Artikel 51
Ausnahmeregelungen für bestimmte Fälle

Artikel 52
Internationale Zusammenarbeit zum Schutz personenbezogener Daten

In Bezug auf Drittländer und internationale Organisationen trifft der Europäische Datenschutzbeauftragte in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss geeignete Maßnahmen zur

Kapitel VI
der Europäische DATENSCHUTZBEAUFTRAGTE

Artikel 53

Der Europäische Datenschutzbeauftragte

Zu diesem Zweck erfüllt der Europäische Datenschutzbeauftragte die Aufgaben nach Artikel 58 und übt die Befugnisse nach Artikel 59 aus.

Artikel 54
Ernennung des Europäischen Datenschutzbeauftragten

Artikel 55
Regelungen und allgemeine Bedingungen für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und Finanzmittel

Artikel 56
Unabhängigkeit

Artikel 57
Berufsgeheimnis

Der Europäische Datenschutzbeauftragte und sein Personal sind während und nach Ablauf ihrer Amtszeit verpflichtet, über vertrauliche Informationen, die ihnen bei der Wahrnehmung ihrer dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Artikel 58
Aufgaben

Artikel 59
Befugnisse

Artikel 60
Tätigkeitsbericht

Kapitel VII
Zusammenarbeit und KOHÄRENZ

Artikel 61
Zusammenarbeit mit nationalen Aufsichtsbehörden

Der Europäische Datenschutzbeauftragte, die nach Artikel 41 der Verordnung (EU) Nr. 2016/679 und Artikel 51 der Richtlinie (EU) Nr. 2016/680 eingerichteten Aufsichtsbehörden (im Folgenden "nationale Aufsichtsbehörden") und die mit Artikel 25 des Beschlusses 2009/917/JI des Rates21 eingesetzte gemeinsame Aufsichtsbehörde arbeiten zusammen, soweit dies für die Wahrnehmung ihrer jeweiligen Aufgaben erforderlich ist, insbesondere, indem sie einander sachdienliche Informationen bereitstellen, nationale Aufsichtsbehörden um Ausübung ihrer Befugnisse ersuchen oder Ersuchen solcher Behörden beantworten.

Artikel 62
Koordinierte Aufsicht durch den Europäischen Datenschutzbeauftragten und die nationalen

Aufsichtsbehörden

Kapitel VIII
Rechtsbehelfe, Haftung und Sanktionen

Artikel 63
Recht auf Einlegung einer Beschwerde beim Europäischen Datenschutzbeauftragten

Artikel 64
Recht auf einen wirksamen gerichtlichen Rechtsbehelf

Der Gerichtshof der Europäischen Union ist für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.

Artikel 65
Anspruch auf Schadenersatz

Jede Person, der durch einen Verstoß gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat unter den in den Verträgen vorgesehenen Voraussetzungen einen Anspruch gegen den Verantwortlichen oder den Auftragsverarbeiter auf Ersatz des erlittenen Schadens.

Artikel 66
Geldbußen

Artikel 67
Vertretung betroffener Personen

Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die nach Unionsrecht oder dem Recht eines Mitgliedstaats ordnungsgemäß gegründet wurde, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten betroffener Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen, in ihrem Namen die in Artikel 63 genannten Rechte auszuüben und in ihrem Namen den in Artikel 65 genannten Anspruch auf Schadenersatz geltend zu machen.

Artikel 68
Beschwerden des Personals der Union

Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er Beschwerde beim Europäischen Datenschutzbeauftragten eingereicht und einen solchen mutmaßlichen Verstoß dargelegt hat.

Artikel 69
Sanktionen

Über Beamte und sonstige Bedienstete der Europäischen Union, die vorsätzlich oder fahrlässig die in dieser Verordnung festgelegten Pflichten verletzen, können nach den Vorschriften und Verfahren des Statuts der Beamten der Europäischen Union bzw. der Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union Disziplinarstrafen und andere Maßnahmen verhängt werden.

Kapitel IX
Durchführungsrechtsakte

Artikel 70
Ausschussverfahren

Kapitel X
Schlussbestimmungen

Artikel 71
Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG

Die Verordnung (EG) Nr. 045/200122 und der Beschluss Nr. 1247/2002/EG23 werden mit Wirkung vom 25. Mai 2018 aufgehoben. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss gelten als Bezugnahmen auf die vorliegende Verordnung.

Artikel 72
Übergangsmaßnahmen

Artikel 73
Inkrafttreten und Anwendung

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am
Im Namen des Europäischen Parlaments
Der Präsident
Im Namen des Rates
Der Präsident

Finanzbogen zu Rechtsakten