Help Print this page 
Title and reference
Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

OJ L 8, 12.1.2001, p. 1–22 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 026 P. 102 - 124
Special edition in Estonian: Chapter 13 Volume 026 P. 102 - 124
Special edition in Latvian: Chapter 13 Volume 026 P. 102 - 124
Special edition in Lithuanian: Chapter 13 Volume 026 P. 102 - 124
Special edition in Hungarian Chapter 13 Volume 026 P. 102 - 124
Special edition in Maltese: Chapter 13 Volume 026 P. 102 - 124
Special edition in Polish: Chapter 13 Volume 026 P. 102 - 124
Special edition in Slovak: Chapter 13 Volume 026 P. 102 - 124
Special edition in Slovene: Chapter 13 Volume 026 P. 102 - 124
Special edition in Bulgarian: Chapter 13 Volume 030 P. 142 - 164
Special edition in Romanian: Chapter 13 Volume 030 P. 142 - 164
Special edition in Croatian: Chapter 13 Volume 034 P. 6 - 27
Languages, formats and link to OJ
Multilingual display
Text

32001R0045

Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

Amtsblatt Nr. L 008 vom 12/01/2001 S. 0001 - 0022


Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates

vom 18. Dezember 2000

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 286,

auf Vorschlag der Kommission(1),

nach Stellungnahme des Wirtschafts- und Sozialausschusses(2),

gemäß dem Verfahren des Artikels 251 des Vertrags(3),

in Erwägung nachstehender Gründe:

(1) Nach Artikel 286 des Vertrags finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten auf die Organe und Einrichtungen der Gemeinschaft Anwendung.

(2) Ein umfassendes Datenschutzsystem erfordert nicht nur eine Bestimmung der Rechte der betroffenen Personen und der Pflichten der Personen, die personenbezogene Daten verarbeiten, sondern auch geeignete Sanktionen für Rechtsverletzer und eine Überwachung durch eine unabhängige Kontrollbehörde.

(3) Artikel 286 Absatz 2 des Vertrag schreibt die Errichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung solcher Gemeinschaftsrechtsakte auf die Organe und Einrichtungen der Gemeinschaft überwacht.

(4) Artikel 286 Absatz 2 des Vertrags bestimmt ferner, dass erforderlichenfalls weitere einschlägige Bestimmungen erlassen werden.

(5) Eine Verordnung ist erforderlich, um den natürlichen Personen auf dem Rechtsweg durchsetzbare Rechte zu geben, die Verpflichtungen der in den Organen und Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festzulegen und eine unabhängige Kontrollbehörde für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zu schaffen.

(6) Die gemäß Artikel 29 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr(4) eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten wurde konsultiert.

(7) Unter den Schutz fallen können Personen, deren personenbezogene Daten von den Organen oder Einrichtungen der Gemeinschaft in irgendeinem Kontext verarbeitet werden, z. B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind.

(8) Die Grundsätze des Datenschutzes sollten für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder von jeder anderen Person nach vernünftiger Einschätzung zur Identifizierung der betreffenden Person genutzt werden können. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(9) Nach der Richtlinie 95/46/EG haben die Mitgliedstaaten den Schutz der Grundrechte und Grundfreiheiten der natürlichen Personen und insbesondere deren Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten sicherzustellen, um den freien Verkehr personenbezogener Daten in der Gemeinschaft zu gewährleisten.

(10) Die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation(5) präzisiert und ergänzt die Richtlinie 95/46/EG im Hinblick auf die Verarbeitung personenbezogener Daten im Bereich Telekommunikation.

(11) Verschiedene andere Gemeinschaftsmaßnahmen, insbesondere im Bereich der Amtshilfe zwischen den einzelstaatlichen Verwaltungen und der Kommission, zielen ebenfalls darauf ab, die Richtlinie 95/46/EG in dem jeweils maßgeblichen Bereich zu präzisieren und zu ergänzen.

(12) Die kohärente, homogene Anwendung der Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten sollte in der gesamten Gemeinschaft gewährleistet sein.

(13) Damit soll sowohl die tatsächliche Einhaltung der Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten der Personen als auch der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft bzw. zwischen den Organen und Einrichtungen der Gemeinschaft zum Zwecke der Ausübung ihrer jeweiligen Befugnisse garantiert werden.

(14) Zu diesem Zweck sollten zwingende Vorschriften für die Organe und Einrichtungen der Gemeinschaft erlassen werden. Diese Vorschriften sollten auf alle Verarbeitungen personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung finden, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise den Anwendungsbereich des Gemeinschaftsrechts betreffen.

(15) Wird diese Verarbeitung von den Organen und Einrichtungen der Gemeinschaft in Ausübung von Tätigkeiten außerhalb des Anwendungsbereichs der vorliegenden Verordnung, insbesondere für die Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, durchgeführt, so wird der Schutz der Grundrechte und Grundfreiheiten der Personen unter Beachtung des Artikels 6 des Vertrags über die Europäische Union gewährleistet. Der Zugang zu den Dokumenten, einschließlich der Bedingungen für den Zugang zu Dokumenten, die personenbezogene Daten enthalten, unterliegt den Bestimmungen, die auf der Grundlage von Artikel 255 des Vertrags erlassen wurden, dessen Anwendungsbereich sich auf die Titel V und VI des Vertrags über die Europäische Union erstreckt.

(16) Diese Vorschriften gelten nicht für Einrichtungen außerhalb des Gemeinschaftsrahmens, und der Europäische Datenschutzbeauftragte ist nicht befugt, die Verarbeitung personenbezogener Daten durch solche Einrichtungen zu überwachen.

(17) Voraussetzung für die Wirksamkeit des Schutzes von Personen bei der Verarbeitung personenbezogener Daten in der Union ist die Kohärenz der Regeln und Verfahren, die diesbezüglich für die Tätigkeiten innerhalb der unterschiedlichen Rechtsrahmen gelten. Die Ausarbeitung von Grundprinzipien für den Schutz personenbezogener Daten auf dem Gebiet der justitiellen Zusammenarbeit in Strafsachen sowie der polizeilichen Zusammenarbeit und der Zusammenarbeit im Zollwesen und die Einrichtung einer Geschäftsstelle für die gemeinsamen Kontrollinstanzen, die durch das Europol-Übereinkommen, das Übereinkommen über den Einsatz der Informationstechnologie im Zollbereich und das Schengener Übereinkommen geschaffen wurden, stellen in dieser Hinsicht einen ersten Schritt dar.

(18) Die für die Mitgliedstaaten gemäß den Richtlinien 95/46/EG und 97/66/EG bestehenden Rechte und Pflichten sollten von dieser Verordnung unberührt bleiben. Sie hat nicht zum Ziel, die Verfahren und Praktiken zu ändern, die von den Mitgliedstaaten im Bereich der nationalen Sicherheit, der Verteidigung der Ordnung sowie der Verhütung, der Aufdeckung, der Ermittlung und der Verfolgung von Straftaten unter Beachtung des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften sowie des Völkerrechts rechtmäßig angewandt werden.

(19) Die Organe und Einrichtungen der Gemeinschaft wenden sich an die zuständigen Behörden in den Mitgliedstaaten, wenn sie der Auffassung sind, dass Fernmeldeverbindungen in ihren Telekommunikationsnetzen gemäß den geltenden einzelstaatlichen Rechtsvorschriften überwacht werden sollen.

(20) Die für die Organe und Einrichtungen der Gemeinschaft geltenden Bestimmungen sollten den Vorschriften entsprechen, die für die Harmonisierung der einzelstaatlichen Rechtsvorschriften oder die Umsetzung anderer Gemeinschaftspolitiken, insbesondere im Bereich der Amtshilfe, vorgesehen sind. Präzisierungen und Ergänzungen können allerdings für die Umsetzung des Schutzes bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft erforderlich sein.

(21) Dies gilt sowohl für die Rechte der Personen, deren Daten verarbeitet werden, und die Verpflichtungen der Organe und Einrichtungen der Gemeinschaft, die für die Verarbeitungen verantwortlich sind, als auch für die Befugnisse, über die die unabhängige Kontrollbehörde verfügen muss, die für die einwandfreie Anwendung dieser Verordnung Sorge zu tragen hat.

(22) Durch die der betreffenden Person gewährten Rechte und die Ausübung dieser Rechte sollten die Verpflichtungen des für die Verarbeitung Verantwortlichen nicht berührt werden.

(23) Die unabhängige Kontrollbehörde führt ihre Kontrollaufgaben gemäß dem Vertrag und unter Wahrung der Menschenrechte und der Grundfreiheiten durch. Sie führt ihre Untersuchungen unter Beachtung des Protokolls über die Vorrechte und Befreiungen und des Statuts der Beamten der Europäischen Gemeinschaften und der Beschäftigungsbedingungen für die sonstigen Bediensteten dieser Gemeinschaften durch.

(24) Es sollten die notwendigen technischen Maßnahmen ergriffen werden, um über die unabhängige Kontrollbehörde Zugang zu den von den behördlichen Datenschutzbeauftragten geführten Registern der Verarbeitungen zu bieten.

(25) Die Entscheidungen der unabhängigen Kontrollbehörde über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann die unabhängige Kontrollbehörde Berichte über besondere Themen veröffentlichen.

(26) Bestimmte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, werden von der unabhängigen Kontrollbehörde vorab kontrolliert. Durch die im Rahmen dieser Vorabkontrolle abgegebene Stellungnahme, einschließlich der Stellungnahme, die aus dem Ausbleiben einer Antwort innerhalb der festgelegten Frist resultiert, sollte die spätere Wahrnehmung der Befugnisse, welche die unabhängige Kontrollbehörde in Bezug auf die betreffende Verarbeitung ausübt, nicht berührt werden.

(27) Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und das Funktionieren dieser Organe und Einrichtungen erforderlich ist.

(28) In einigen Fällen sollte vorgesehen werden, dass die Datenverarbeitung durch Rechtsvorschriften der Gemeinschaft oder deren Durchführungsvorschriften erlaubt werden muss. In Ermangelung solcher Vorschriften kann der Europäische Datenschutzbeauftragte jedoch bis zu ihrer Verabschiedung die Verarbeitung dieser Daten durch die Einführung angemessener Garantien vorübergehend genehmigen. Dabei berücksichtigt er unter anderem Bestimmungen der Mitgliedstaaten zur Regelung vergleichbarer Fälle.

(29) Bei den genannten Fällen handelt es sich um die Verarbeitung von Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit und Sexualleben, die erforderlich sind, um den spezifischen Pflichten und Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, oder die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind. Es handelt sich ferner um die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsregeln betreffen, oder auch die Erlaubnis, die betreffende Person einer Entscheidung zu unterwerfen, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte ihrer Person ergeht.

(30) Die Überwachung von Computernetzen, die unter Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden, kann zur Verhinderung unbefugter Benutzung erforderlich sein. Der Europäische Datenschutzbeauftragte legt fest, ob und unter welchen Voraussetzungen dies möglich ist.

(31) Für die Haftung bei Zuwiderhandlung gegen diese Verordnung gilt Artikel 288 Absatz 2 des Vertrags.

(32) In jedem Organ bzw. jeder Einrichtung der Gemeinschaft tragen ein oder mehrere behördliche Datenschutzbeauftragte für die Anwendung der Bestimmungen dieser Verordnung Sorge und beraten die für die Verarbeitung Verantwortlichen bei der Erfuellung ihrer Verpflichtungen.

(33) Die Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftsstatistiken(6) gilt nach ihrem Artikel 21 unbeschadet der Richtlinie 95/46/EG.

(34) Die Verordnung (EG) Nr. 2533/98 des Rates vom 23. November 1998 über die Erfassung statistischer Daten durch die Europäische Zentralbank(7) gilt nach ihrem Artikel 8 Absatz 8 unbeschadet der Richtlinie 95/46/EG.

(35) Die Verordnung (Euratom, EWG) Nr. 1588/90 des Rates vom 11. Juni 1990 über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften(8) lässt nach ihrem Artikel 1 Absatz 2 die besonderen Vorschriften des Gemeinschaftsrechts oder des nationalen Rechts, die den Schutz anderer Geheimnisse als des Statistikgeheimnisses betreffen, unberührt.

(36) Diese Verordnung hat nicht zum Ziel, den gemäß Artikel 249 des Vertrags bestehenden Spielraum der Mitgliedstaaten bei der Ausarbeitung ihrer nationalen Rechtsvorschriften im Bereich des Datenschutzes gemäß Artikel 32 der Richtlinie 95/46/EG zu beschränken -

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand der Verordnung

(1) Die durch die Verträge zur Gründung der Europäischen Gemeinschaften oder aufgrund dieser Verträge geschaffenen Organe und Einrichtungen, nachstehend "Organe und Einrichtungen der Gemeinschaft" genannt, gewährleisten nach den Bestimmungen dieser Verordnung den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten; sie dürfen den freien Verkehr personenbezogener Daten untereinander oder mit Empfängern, die dem in Anwendung der Richtlinie 95/46/EG erlassenen einzelstaatlichen Recht der Mitgliedstaaten unterliegen, weder beschränken noch untersagen.

(2) Die durch diese Verordnung eingerichtete unabhängige Kontrollbehörde, nachstehend "Europäischer Datenschutzbeauftragter" genannt, überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Gemeinschaft.

Artikel 2

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck

a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person (nachstehend "betroffene Person" genannt); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) "Verarbeitung personenbezogener Daten" (nachstehend "Verarbeitung" genannt) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

c) "Datei mit personenbezogenen Daten" (nachstehend "Datei" genannt) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird;

d) "für die Verarbeitung Verantwortlicher" das Organ oder die Einrichtung der Gemeinschaft, die Generaldirektion, das Referat oder jede andere Verwaltungseinheit, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch einen spezifischen Rechtsakt der Gemeinschaft festgelegt, so können der für die Verarbeitung Verantwortliche oder die spezifischen Kriterien für seine Benennung durch diesen Rechtsakt der Gemeinschaft bestimmt werden;

e) "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

f) "Dritter" eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;

h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass sie betreffende personenbezogene Daten verarbeitet werden.

Artikel 3

Anwendungsbereich

(1) Diese Verordnung findet auf die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung, soweit die Verarbeitung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Gemeinschaftsrechts fallen.

(2) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

KAPITEL II

ALLGEMEINE BESTIMMUNGEN ÜBER DIE RECHTMÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

ABSCHNITT 1

GRUNDSÄTZE IN BEZUG AUF DIE QUALITÄT DER DATEN

Artikel 4

Qualität der Daten

(1) Personenbezogene Daten dürfen nur

a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten für historische, statistische oder wissenschaftliche Zwecke ist nicht als unvereinbar anzusehen, sofern der für die Verarbeitung Verantwortliche geeignete Garantien vorsieht, um insbesondere sicherzustellen, dass die Daten nicht für andere Zwecke verarbeitet werden und nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden;

c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sein und nicht darüber hinausgehen;

d) verwendet werden, wenn sie sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, unrichtige oder unvollständige Daten gelöscht oder berichtigt werden;

e) so lange, wie es für die Erreichung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht. Die Organe oder Einrichtungen der Gemeinschaft sehen für personenbezogene Daten, die für historische, statistische oder wissenschaftliche Zwecke über den vorstehend genannten Zeitraum hinaus aufbewahrt werden sollen, vor, dass diese Daten entweder überhaupt nur in anonymisierter Form oder, wenn dies nicht möglich ist, nur mit verschlüsselter Identität der Betroffenen gespeichert werden. Die Daten dürfen jedenfalls nicht für andere als historische, statistische oder wissenschaftliche Verwendungszwecke verwendet werden.

(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung der Bestimmungen des Absatzes 1 zu sorgen.

ABSCHNITT 2

KRITERIEN FÜR DIE ZULÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

Artikel 5

Rechtmäßigkeit der Verarbeitung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der folgenden Voraussetzungen erfuellt ist:

a) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die aufgrund der Verträge zur Gründung der Europäischen Gemeinschaften oder anderer aufgrund dieser Verträge erlassener Rechtsakte im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die dem Organ oder der Einrichtung der Gemeinschaft oder einem Dritten, dem die Daten übermittelt werden, übertragen wurde; oder

b) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt; oder

c) die Verarbeitung ist für die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen; oder

d) die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben; oder

e) die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich.

Artikel 6

Änderung der Zweckbestimmung

Unbeschadet der Artikel 4, 5 und 10 gilt Folgendes:

1. Personenbezogene Daten dürfen nur dann für andere Zwecke als die, für die sie erhoben wurden, verarbeitet werden, wenn die Änderung der Zwecke durch die internen Vorschriften des Organs oder der Einrichtung der Gemeinschaft ausdrücklich erlaubt ist.

2. Mit Ausnahme zum Zwecke der Verhütung, Ermittlung, Feststellung und Verfolgung von schweren Straftaten dürfen personenbezogene Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -vorgänge erfasst werden, für keinen anderen Zweck verwendet werden.

Artikel 7

Übermittlung personenbezogener Daten innerhalb von oder zwischen Organen oder Einrichtungen der Gemeinschaft

Unbeschadet der Artikel 4, 5, 6 und 10 gilt Folgendes:

1. Personenbezogene Daten werden innerhalb der Organe oder Einrichtungen der Gemeinschaft oder an andere Organe oder Einrichtungen der Gemeinschaft nur übermittelt, wenn die Daten für die rechtmäßige Erfuellung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers fallen.

2. Erfolgt die Übermittlung der Daten auf Ersuchen des Empfängers, tragen sowohl der für die Verarbeitung Verantwortliche als auch der Empfänger die Verantwortung für die Zulässigkeit dieser Übermittlung.

Der für die Verarbeitung Verantwortliche ist verpflichtet, die Zuständigkeit des Empfängers zu prüfen und die Notwendigkeit der Übermittlung dieser Daten vorläufig zu bewerten. Bestehen Zweifel an der Notwendigkeit, holt der für die Verarbeitung Verantwortliche weitere Auskünfte vom Empfänger ein.

Der Empfänger stellt sicher, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.

3. Der Empfänger verarbeitet die personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.

Artikel 8

Übermittlung personenbezogener Daten an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die der Richtlinie 95/46/EG unterworfen sind

Unbeschadet der Artikel 4, 5, 6 und 10 werden personenbezogene Daten an Empfänger, die den aufgrund der Richtlinie 95/46/EG erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt,

a) wenn der Empfänger nachweist, dass die Daten für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder zur Ausübung der öffentlichen Gewalt gehört, erforderlich sind oder

b) wenn der Empfänger die Notwendigkeit der Datenübermittlung nachweist und kein Grund zu der Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten.

Artikel 9

Übermittlung personenbezogener Daten an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht der Richtlinie 95/46/EG unterworfen sind

(1) Personenbezogene Daten werden an Empfänger, die nicht Organe oder Einrichtungen der Gemeinschaft sind und die nicht den aufgrund der Richtlinie 95/46/EG erlassenen nationalen Rechtsvorschriften unterliegen, nur übermittelt, wenn ein angemessenes Schutzniveau in dem Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist und diese Übermittlung ausschließlich die Wahrnehmung von Aufgaben ermöglichen soll, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen.

(2) Die Angemessenheit des von dem betreffenden Drittland oder der betreffenden internationalen Organisation gebotenen Schutzniveaus ist anhand aller Umstände einer Datenübermittlung oder einer Reihe von Datenübermittlungen zu beurteilen. Besonders zu berücksichtigen sind dabei die Art der Daten, der Zweck und die Dauer des geplanten Verarbeitungsvorgangs oder der geplanten Verarbeitungsvorgänge, das Drittland oder die internationale Organisation der Endbestimmung, die in dem betreffenden Drittland oder der betreffenden internationalen Organisation geltenden allgemeinen und sektoriellen Rechtsvorschriften sowie die in diesem Land oder in dieser internationalen Organisation geltenden Standesregeln und Sicherheitsmaßnahmen.

(3) Die Organe und Einrichtungen der Gemeinschaft unterrichten die Kommission und den Europäischen Datenschutzbeauftragten über die Fälle, in denen das betreffende Drittland oder die betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.

(4) Die Kommission unterrichtet die Mitgliedstaaten über die in Absatz 3 genannten Fälle.

(5) Die Kommission stellt gemäß Artikel 25 Absätze 4 und 6 der Richtlinie 95/46/EG fest, ob ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet oder nicht, und die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um den Entscheidungen der Kommission nachzukommen.

(6) Abweichend von den Absätzen 1 und 2 kann das Organ oder die Einrichtung der Gemeinschaft personenbezogene Daten übermitteln, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung zu der geplanten Übermittlung gegeben hat, oder

b) die Übermittlung für die Erfuellung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist, oder

c) die Übermittlung zum Abschluss oder zur Erfuellung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einem Dritten geschlossen wird, oder

d) die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist, oder

e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist, oder

f) die Übermittlung aus einem Register erfolgt, das gemäß dem Gemeinschaftsrecht zur Unterrichtung der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die im Gemeinschaftsrecht für die Einsichtnahme festgelegten Voraussetzungen im Einzelfall gegeben sind.

(7) Unbeschadet des Absatzes 6 kann der Europäische Datenschutzbeauftragte eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten nach einem Drittland oder an eine internationale Organisation genehmigen, die kein angemessenes Schutzniveau im Sinne der Absätze 1 und 2 gewährleisten, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.

(8) Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über alle Kategorien von Fällen, in denen sie die Absätze 6 und 7 angewendet haben.

ABSCHNITT 3

BESONDERE KATEGORIEN DER VERARBEITUNG

Artikel 10

Verarbeitung besonderer Datenkategorien

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit oder Sexualleben sind untersagt.

(2) Absatz 1 findet nicht Anwendung, wenn

a) die betroffene Person ausdrücklich in die Verarbeitung der genannten Daten eingewilligt hat, es sei denn, die internen Vorschriften des Organs oder der Einrichtung der Gemeinschaft sehen vor, dass das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden kann; oder

b) die Verarbeitung erforderlich ist, um den Pflichten und spezifischen Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern sie aufgrund der Verträge zur Gründung der Europäischen Gemeinschaften oder anderer auf der Grundlage dieser Verträge erlassener Rechtsakte zulässig ist oder sie, falls notwendig, vom Europäischen Datenschutzbeauftragten vorbehaltlich angemessener Garantien genehmigt wird; oder

c) die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder

d) die Verarbeitung sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat, oder zur Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist; oder

e) die Verarbeitung auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Erwerbszweck, die Teil eines Organs oder einer Einrichtung der Gemeinschaft ist und die gemäß Artikel 4 der Richtlinie 95/46/EG nicht dem einzelstaatlichen Datenschutzrecht unterliegt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung erfolgt, dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

(4) Vorbehaltlich angemessener Garantien können aus Gründen eines wichtigen öffentlichen Interesses andere als die in Absatz 2 genannten Ausnahmen durch die Verträge zur Gründung der Europäischen Gemeinschaften oder andere auf der Grundlage dieser Verträge erlassene Rechtsakte oder, falls notwendig, im Wege einer Entscheidung des Europäischen Datenschutzbeauftragten vorgesehen werden.

(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur erfolgen, wenn sie durch die Verträge zur Gründung der Europäischen Gemeinschaften oder andere auf der Grundlage dieser Verträge erlassene Rechtsakte oder, falls notwendig, vom Europäischen Datenschutzbeauftragten vorbehaltlich geeigneter besonderer Garantien genehmigt wurde.

(6) Der Europäische Datenschutzbeauftragte bestimmt, unter welchen Voraussetzungen eine Personalnummer oder ein anderes Kennzeichen allgemeiner Bedeutung von einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden darf.

ABSCHNITT 4

INFORMATIONSPFLICHT GEGENÜBER DER BETROFFENEN PERSON

Artikel 11

Informationspflicht bei Erhebung von Daten bei der betroffenen Person

(1) Der für die Verarbeitung Verantwortliche muss dafür sorgen, dass eine Person, bei der sie betreffende Daten erhoben werden, zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen,

b) Zwecke der Verarbeitung, für die die Daten bestimmt sind,

c) die Empfänger oder Kategorien von Empfängern der Daten,

d) Hinweis darauf, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

f) weitere Informationen wie

i) die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,

ii) die zeitliche Begrenzung der Speicherung der Daten,

iii) das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Abweichend von Absatz 1 kann die Erteilung der Informationen, mit Ausnahme der Informationen nach Absatz 1 Buchstaben a), b) und d), vollständig oder teilweise zurückgestellt werden, solange dies für statistische Zwecke erforderlich ist. Die Informationen müssen erteilt werden, sobald der Grund, aus dem sie zurückgehalten wurden, nicht mehr besteht.

Artikel 12

Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden

(1) Wurden die Daten nicht bei der betroffenen Person erhoben, so hat der für die Verarbeitung Verantwortliche der betroffenen Person bei Beginn der Speicherung personenbezogener Daten oder im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten zumindest die nachstehenden Informationen zu erteilen, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen,

b) Zwecke der Verarbeitung,

c) die Datenkategorien, die verarbeitet werden,

d) die Empfänger oder Kategorien von Empfängern,

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

f) weitere Informationen wie

i) die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,

ii) die zeitliche Begrenzung der Speicherung der Daten,

iii) das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

iv) die Herkunft der Daten, außer wenn der für die Verarbeitung Verantwortliche diese aufgrund der beruflichen Geheimhaltungspflicht nicht offen legen kann,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Rechtsvorschriften der Gemeinschaft ausdrücklich vorgesehen ist. In diesen Fällen sieht das Organ oder die Einrichtung der Gemeinschaft nach Konsultierung des Europäischen Datenschutzbeauftragten geeignete Garantien vor.

ABSCHNITT 5

RECHTE DER BETROFFENEN PERSON

Artikel 13

Auskunftsrecht

Die betroffene Person hat das Recht, jederzeit frei und ungehindert innerhalb von drei Monaten nach Eingang eines entsprechenden Antrags unentgeltlich von dem für die Verarbeitung Verantwortlichen folgende Auskünfte zu erhalten:

a) die Bestätigung, ob sie betreffende Daten verarbeitet werden oder nicht,

b) zumindest Angaben zu den Zwecken der Verarbeitung, den Datenkategorien, die verarbeitet werden, den Empfängern oder Kategorien von Empfängern, an die die Daten übermittelt werden,

c) eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,

d) Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

Artikel 14

Berichtigung

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass unrichtige oder unvollständige personenbezogene Daten unverzüglich berichtigt werden.

Artikel 15

Sperrung

(1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Sperrung von Daten zu verlangen, wenn

a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der Daten zu überprüfen, oder

b) der für die Verarbeitung Verantwortliche sie für die Erfuellung seiner Aufgaben nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen, oder

c) die Verarbeitung unrechtmäßig ist, die betroffene Person Einspruch gegen ihre Löschung erhebt und stattdessen ihre Sperrung fordert.

(2) In automatisierten Dateien wird die Sperrung grundsätzlich durch technische Mittel gewährleistet. Die Tatsache, dass die personenbezogenen Daten gesperrt sind, ist in dem System in einer Weise anzugeben, aus der klar wird, dass die personenbezogenen Daten nicht verwendet werden dürfen.

(3) Gemäß diesem Artikel gesperrte personenbezogene Daten werden mit Ausnahme ihrer Speicherung nur verarbeitet, wenn sie für Beweiszwecke erforderlich sind, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte eines Dritten geschützt werden müssen.

(4) Die betroffene Person, die die Sperrung ihrer Daten beantragt und erreicht hat, ist von dem für die Verarbeitung Verantwortlichen zu unterrichten, bevor die Sperrung aufgehoben wird.

Artikel 16

Löschung

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung der Daten zu verlangen, wenn ihre Verarbeitung rechtswidrig ist, insbesondere im Falle eines Verstoßes gegen die Bestimmungen der Abschnitte 1, 2 und 3 des Kapitels II.

Artikel 17

Mitteilung an Dritte

Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass Dritten, denen die Daten übermittelt wurden, jede Berichtigung, Löschung oder Sperrung, die aufgrund der Artikel 13 bis 16 vorgenommen wird, mitgeteilt wird, es sei denn, dass sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeutet.

Artikel 18

Widerspruchsrecht der betroffenen Person

Die betroffene Person hat das Recht,

a) jederzeit aus zwingenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Verarbeitung von sie betreffenden Daten Widerspruch einzulegen, außer in den unter Artikel 5 Buchstaben b), c) und d) fallenden Fällen. Bei berechtigtem Widerspruch darf sich die betreffende Verarbeitung nicht mehr auf diese Daten beziehen;

b) vor der ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu können.

Artikel 19

Automatisierte Einzelentscheidungen

Die betroffene Person hat das Recht, nicht einer Entscheidung unterworfen zu werden, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt und die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, es sei denn, die Entscheidung ist ausdrücklich aufgrund einzelstaatlicher oder gemeinschaftlicher Rechtsvorschriften zulässig oder wird, falls notwendig, vom Europäischen Datenschutzbeauftragten ausdrücklich genehmigt. In beiden Fällen müssen Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person getroffen werden wie etwa Gewährleistung der Möglichkeit, ihren Standpunkt geltend zu machen.

ABSCHNITT 6

AUSNAHMEN UND EINSCHRÄNKUNGEN

Artikel 20

Ausnahmen und Einschränkungen

(1) Die Organe und Einrichtungen der Gemeinschaft können die Anwendung von Artikel 4 Absatz 1, Artikel 11, Artikel 12 Absatz 1, Artikel 13 bis 17 und Artikel 37 Absatz 1 insoweit einschränken, als eine solche Einschränkung notwendig ist für

a) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten;

b) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Gemeinschaften, einschließlich Währungs-, Haushalts- oder Steuerangelegenheiten;

c) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

d) die nationale und die öffentliche Sicherheit sowie die Verteidigung der Mitgliedstaaten;

e) Kontroll-, Überwachungs- und Ordnungsaufgaben, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a) und b) genannten Fällen verbunden sind.

(2) Die Artikel 13 bis 16 finden keine Anwendung, wenn Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet oder personenbezogen nicht länger als lediglich zur Erstellung von Statistiken erforderlich aufbewahrt werden, sofern offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht und der für die Verarbeitung Verantwortliche angemessene rechtliche Garantien vorsieht, insbesondere dass die Daten nicht für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden.

(3) Findet eine Einschränkung nach Absatz 1 Anwendung, ist die betroffene Person gemäß dem Gemeinschaftsrecht über die wesentlichen Gründe für diese Einschränkung und darüber zu unterrichten, dass sie das Recht hat, sich an den Europäischen Datenschutzbeauftragten zu wenden.

(4) Wird eine Einschränkung nach Absatz 1 angewandt, um der betroffenen Person den Zugang zu verweigern, unterrichtet der Europäische Datenschutzbeauftragte bei Prüfung der Beschwerde die betroffene Person nur darüber, ob die Daten richtig verarbeitet wurden und, falls dies nicht der Fall ist, ob alle erforderlichen Berichtigungen vorgenommen wurden.

(5) Die Unterrichtung nach den Absätzen 3 und 4 kann so lange aufgeschoben werden, wie sie die Einschränkung gemäß Absatz 1 ihrer Wirkung beraubt.

ABSCHNITT 7

VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG

Artikel 21

Vertraulichkeit der Verarbeitung

Die bei einem Organ oder einer Einrichtung der Gemeinschaft beschäftigten Personen sowie selbst als Auftragsverarbeiter handelnde Organe oder Einrichtungen der Gemeinschaft, die Zugang zu personenbezogenen Daten haben, dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen Verpflichtungen aufgrund einzelstaatlicher oder gemeinschaftlicher Rechtsvorschriften.

Artikel 22

Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten hat der für die Verarbeitung Verantwortliche technische und organisatorische Maßnahmen zu treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

Solche Maßnahmen sind insbesondere zu treffen, um einer unbefugten Weitergabe, einem unbefugten Zugriff sowie einer zufälligen oder unrechtmäßigen Vernichtung, einem zufälligen Verlust oder einer Veränderung sowie jeder anderen Form der unrechtmäßigen Verarbeitung personenbezogener Daten vorzubeugen.

(2) Werden personenbezogene Daten mit automatischen Mitteln verarbeitet, so sind, falls dies im Hinblick auf die Risiken erforderlich ist, Maßnahmen zu treffen, insbesondere mit dem Ziel,

a) zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet werden;

b) zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

c) jede unbefugte Eingabe in den Speicher sowie die unbefugte Weitergabe, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

d) zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können;

e) zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können;

f) zu erfassen, welche personenbezogenen Daten zu welcher Zeit an wen übermittelt worden sind;

g) zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem verarbeitet worden sind;

h) zu gewährleisten, dass personenbezogene Daten, die im Auftrag Dritter verarbeitet werden, nur entsprechend den Weisungen des auftraggebenden Organs oder der auftraggebenden Einrichtung verarbeitet werden können;

i) sicherzustellen, dass während der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert oder gelöscht werden können;

j) die organisatorische Struktur innerhalb eines Organs oder einer Einrichtung derart zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Artikel 23

Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

(1) Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen vorgenommen, so hat dieser einen Auftragsverarbeiter auszuwählen, der hinsichtlich der für die Verarbeitung nach Artikel 22 zu treffenden technischen und organisatorischen Sicherheitsvorkehrungen ausreichende Gewähr bietet, und er hat für die Einhaltung dieser Maßnahmen zu sorgen.

(2) Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere Folgendes vorgesehen ist:

a) Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

b) die in den Artikeln 21 und 22 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter unterliegt aufgrund von Artikel 16 oder Artikel 17 Absatz 3 zweiter Gedankenstrich der Richtlinie 95/46/EG bereits Verpflichtungen in Bezug auf Vertraulichkeit und Sicherheit, die in den nationalen Rechtsvorschriften von einem der Mitgliedstaaten festgelegt sind.

(3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in Bezug auf Maßnahmen nach Artikel 22 schriftlich oder in einer anderen gleichwertigen Form zu dokumentieren.

ABSCHNITT 8

BEHÖRDLICHER DATENSCHUTZBEAUFTRAGTER

Artikel 24

Bestellung und Aufgaben des behördlichen Datenschutzbeauftragten

(1) Jedes Organ und jede Einrichtung der Gemeinschaft bestellt zumindest eine Person als behördlichen Datenschutzbeauftragten für personenbezogene Daten. Die Aufgaben dieses Datenschutzbeauftragten sind die folgenden:

a) er gewährleistet, dass die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre sich aus dieser Verordnung ergebenden Rechte und Pflichten unterrichtet sind,

b) er kommt Anfragen des Europäischen Datenschutzbeauftragten nach und arbeitet im Rahmen seiner Zuständigkeiten mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder aus eigener Initiative zusammen,

c) er gewährleistet in unabhängiger Art und Weise die innerbehördliche Anwendung der Bestimmungen dieser Verordnung,

d) er führt das Register der von dem für die Verarbeitung Verantwortlichen vorgenommenen Verarbeitungen mit den einzelnen Informationen gemäß Artikel 25 Absatz 2,

e) er meldet dem Europäischen Datenschutzbeauftragten Verarbeitungen, die spezifische Risiken im Sinne von Artikel 27 beinhalten können.

Der Datenschutzbeauftragte trägt auf diese Weise dafür Sorge, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen aller Wahrscheinlichkeit nach nicht beeinträchtigt werden.

(2) Der behördliche Datenschutzbeauftragte wird aufgrund seiner persönlichen und beruflichen Qualitäten und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes ausgewählt.

(3) Die Wahl des behördlichen Datenschutzbeauftragten darf nicht zu einem Interessenkonflikt zwischen seinem Amt als Datenschutzbeauftragtem und seinen sonstigen dienstlichen Aufgaben, insbesondere in Verbindung mit der Anwendung der Bestimmungen dieser Verordnung, führen.

(4) Der behördliche Datenschutzbeauftragte wird für eine Amtszeit von zwei bis fünf Jahren bestellt. Eine Wiederbestellung für eine Amtszeit von insgesamt höchstens zehn Jahren ist möglich. Die Bestellung zum behördlichen Datenschutzbeauftragten durch das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, kann nur mit Zustimmung des Europäischen Datenschutzbeauftragten widerrufen werden, wenn der behördliche Datenschutzbeauftragte die für die Erfuellung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfuellt.

(5) Nach seiner Bestellung ist der behördliche Datenschutzbeauftragte durch das Organ oder die Einrichtung, das bzw. die ihn bestellt hat, beim Europäischen Datenschutzbeauftragten einzutragen.

(6) Der behördliche Datenschutzbeauftragte ist von dem Organ oder der Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, mit dem für die Erfuellung seiner Aufgaben erforderlichen Personal und den erforderlichen Mitteln auszustatten.

(7) Bei der Wahrnehmung seiner Aufgaben darf der behördliche Datenschutzbeauftragte keinen Weisungen unterworfen sein.

(8) Jedes Organ und jede Einrichtung der Gemeinschaft erlässt weitere Durchführungsbestimmungen gemäß den Bestimmungen des Anhangs. Diese Durchführungsbestimmungen betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des behördlichen Datenschutzbeauftragten.

Artikel 25

Meldung beim behördlichen Datenschutzbeauftragten

(1) Der für die Verarbeitung Verantwortliche hat dem behördlichen Datenschutzbeauftragten jede Verarbeitung oder jede Reihe von Verarbeitungen, die für einen einzigen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind, vorab zu melden.

(2) Zu den Angaben gehören

a) Name und Anschrift des für die Verarbeitung Verantwortlichen und Angabe der organisatorischen Einheiten eines Organs oder einer Einrichtung, die mit der Verarbeitung personenbezogener Daten für einen bestimmten Zweck beauftragt sind;

b) Zweckbestimmung(en) der Verarbeitung;

c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien;

d) Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind;

e) Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können;

f) eine allgemeine Angabe der Fristen für die Sperrung und Löschung der verschiedenen Datenkategorien;

g) geplante Datenübermittlungen in Drittländer oder internationale Organisationen;

h) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 22 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

(3) Alle Änderungen hinsichtlich der in Absatz 2 genannten Angaben sind dem behördlichen Datenschutzbeauftragten unverzüglich mitzuteilen.

Artikel 26

Register

Jeder behördliche Datenschutzbeauftragte führt ein Register der gemäß Artikel 25 gemeldeten Verarbeitungen.

Das Register enthält mindestens die Angaben nach Artikel 25 Absatz 2 Buchstaben a) bis g). Das Register kann von jedermann direkt oder indirekt über den Europäischen Datenschutzbeauftragten eingesehen werden.

ABSCHNITT 9

VORABKONTROLLE DES EUROPÄISCHEN DATENSCHUTZBEAUFTRAGTEN UND VERPFLICHTUNG ZUR ZUSAMMENARBEIT

Artikel 27

Vorabkontrolle

(1) Verarbeitungen, die aufgrund ihres Charakters, ihrer Tragweite oder ihrer Zweckbestimmungen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, werden vom Europäischen Datenschutzbeauftragten vorab kontrolliert.

(2) Folgende Verarbeitungen können solche Risiken beinhalten:

a) Verarbeitungen von Daten über Gesundheit und Verarbeitungen von Daten, die Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen;

b) Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten, einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens;

c) Verarbeitungen, die eine in den nationalen oder gemeinschaftlichen Rechtsvorschriften nicht vorgesehene Verknüpfung von Daten ermöglichen, die zu unterschiedlichen Zwecken verarbeitet werden;

d) Verarbeitungen, die darauf abzielen, Personen von einem Recht, einer Leistung oder einem Vertrag auszuschließen.

(3) Die Vorabprüfungen nimmt der Europäische Datenschutzbeauftragte nach Erhalt der Meldung des behördlichen Datenschutzbeauftragten vor, der im Zweifelsfall den Europäischen Datenschutzbeauftragten zu der Notwendigkeit einer Vorabkontrolle konsultiert.

(4) Der Europäische Datenschutzbeauftragte gibt seine Stellungnahme innerhalb von zwei Monaten nach Empfang der Meldung ab. Diese Frist kann ausgesetzt werden, bis dem Europäischen Datenschutzbeauftragten weitere von ihm erbetene Auskünfte vorliegen. Diese Frist kann zudem durch Entscheidung des Europäischen Datenschutzbeauftragten um einen weiteren Zeitraum von zwei Monaten verlängert werden, wenn dies durch die Kompliziertheit des Falles erforderlich wird. Der für die Verarbeitung Verantwortliche ist über eine derartige Entscheidung vor Ablauf der ursprünglichen Zweimonatsfrist in Kenntnis zu setzen.

Ist nach Ablauf dieser gegebenenfalls verlängerten Zweimonatsfrist keine Stellungnahme erfolgt, so gilt sie als positiv.

Ist der Europäische Datenschutzbeauftragte der Ansicht, dass die gemeldete Verarbeitung eine Verletzung einer der Bestimmungen dieser Verordnung bedeuten könnte, unterbreitet er gegebenenfalls Vorschläge für die Vermeidung einer solchen Verletzung. Ändert der für die Verarbeitung Verantwortliche die Verarbeitung nicht entsprechend, kann der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 47 Absatz 1 ausüben.

(5) Der Europäische Datenschutzbeauftragte führt ein Register aller ihm aufgrund von Absatz 2 gemeldeten Verarbeitungen. Das Register enthält die Angaben nach Artikel 25 und kann von jedermann eingesehen werden.

Artikel 28

Konsultation

(1) Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung verwaltungsrechtlicher Maßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Gemeinschaft allein oder gemeinsam mit anderen beteiligt ist.

(2) Wenn die Kommission einen Vorschlag für Rechtsvorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten annimmt, konsultiert sie den Europäischen Datenschutzbeauftragten.

Artikel 29

Verpflichtung zur Unterrichtung

Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Maßnahmen, die im Anschluss an Entscheidungen oder Genehmigungen des Europäischen Datenschutzbeauftragten gemäß Artikel 46 Buchstabe h) getroffen werden.

Artikel 30

Verpflichtung zur Zusammenarbeit

Die für die Verarbeitung Verantwortlichen unterstützen auf Ersuchen den Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben, indem sie insbesondere die Auskünfte nach Artikel 47 Absatz 2 Buchstabe a) geben und den Zugang nach Artikel 47 Absatz 2 Buchstabe b) gewähren.

Artikel 31

Verpflichtung zur Stellungnahme bei behaupteten Verstößen

Wird der für die Verarbeitung Verantwortliche vom Europäischen Datenschutzbeauftragten in Ausübung der Befugnisse nach Artikel 47 Absatz 1 Buchstabe b) befasst, so teilt er ihm innerhalb einer angemessenen Frist, die der Europäische Datenschutzbeauftragte festlegt, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

KAPITEL III

RECHTSBEHELFE

Artikel 32

Rechtsbehelfe

(1) Der Gerichtshof der Europäischen Gemeinschaften ist für alle Streitfälle, die die Bestimmungen dieser Verordnung betreffen, einschließlich Schadenersatzklagen, zuständig.

(2) Unbeschadet der Einlegung eines Rechtsbehelfs bei Gericht kann jede betroffene Person beim Europäischen Datenschutzbeauftragten eine Beschwerde einreichen, wenn sie der Ansicht ist, dass die ihr in Artikel 286 des Vertrags eingeräumten Rechte infolge der Verarbeitung von sie betreffenden personenbezogenen Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verletzt wurden.

Ergeht innerhalb von sechs Monaten keine Antwort des Europäischen Datenschutzbeauftragten, so gilt die Beschwerde als abgelehnt.

(3) Gegen Entscheidungen des Europäischen Datenschutzbeauftragten kann Klage beim Gerichtshof der Europäischen Gemeinschaften erhoben werden.

(4) Jede Person, die wegen einer rechtswidrigen Verarbeitung von Daten oder jeder anderen mit dieser Verordnung nicht zu vereinbarenden Handlung einen Schaden erlitten hat, hat einen Anspruch auf Schadenersatz gemäß Artikel 288 des Vertrags.

Artikel 33

Beschwerden des Personals der Gemeinschaften

Alle bei einem Organ oder einer Einrichtung der Gemeinschaft beschäftigten Personen können beim Europäischen Datenschutzbeauftragten eine Beschwerde wegen Verletzung der Bestimmungen dieser Verordnung über die Verarbeitung personenbezogener Daten einreichen, ohne dass der Dienstweg beschritten werden muss. Niemand darf aufgrund einer Beschwerde beim Europäischen Datenschutzbeauftragten, mit der ein Verstoß gegen die Vorschriften für die Verarbeitung personenbezogener Daten gerügt wird, benachteiligt werden.

KAPITEL IV

SCHUTZ DER PERSONENBEZOGENEN DATEN UND DER PRIVATSPHÄRE IM RAHMEN INTERNER TELEKOMMUNIKATIONSNETZE

Artikel 34

Anwendungsbereich

Dieses Kapitel findet unbeschadet der übrigen Bestimmungen dieser Verordnung auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Telekommunikationsnetzen oder Endgeräten Anwendung, die unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden.

In diesem Kapitel bedeutet "Nutzer" jede natürliche Person, die ein unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betriebenes Telekommunikationsnetz oder Endgerät nutzt.

Artikel 35

Sicherheit

(1) Die Organe und Einrichtungen der Gemeinschaft treffen geeignete technische und organisatorische Maßnahmen, um die sichere Nutzung der Telekommunikationsnetze und Endgeräte gegebenenfalls mit den Anbietern öffentlich zugänglicher Telekommunikationsdienste oder den Anbietern öffentlicher Telekommunikationsnetze zu garantieren. Diese Maßnahmen müssen unter Berücksichtigung der neuesten technischen Möglichkeiten und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

(2) Besteht ein besonderes Risiko der Verletzung der Sicherheit der Telekommunikationsnetze und Endgeräte, unterrichtet das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft die Nutzer über dieses Risiko sowie über mögliche Abhilfen und alternative Kommunikationsmittel.

Artikel 36

Vertraulichkeit des Kommunikationsverkehrs

Die Organe und Einrichtungen der Gemeinschaft gewährleisten unter Beachtung der allgemeinen Grundsätze des Gemeinschaftsrechts die Vertraulichkeit der Kommunikation über Telekommunikationsnetze und Endgeräte.

Artikel 37

Verkehrsdaten und Daten für die Gebührenabrechnung

(1) Unbeschadet der Absätze 2, 3 und 4 sind Verkehrsdaten, die sich auf Nutzer beziehen und die für den Verbindungsaufbau von Anrufen oder anderen Verbindungen über das Telekommunikationsnetz verarbeitet und gespeichert werden, nach Beendigung des Gesprächs oder anderer Verbindungen zu löschen oder zu anonymisieren.

(2) Erforderlichenfalls können für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs einschließlich der Kontrolle der rechtmäßigen Nutzung des Telekommunikationssystems die in einer vom Europäischen Datenschutzbeauftragten genehmigten Liste genannten Verkehrsdaten verarbeitet werden. Diese Daten sind so schnell wie möglich, spätestens aber sechs Monate nach ihrer Erhebung, zu löschen oder zu anonymisieren, es sei denn, ihre weitere Aufbewahrung ist für die Feststellung, die Ausübung oder die Verteidigung eines Rechtsanspruchs im Rahmen eines anhängigen gerichtlichen Verfahrens erforderlich.

(3) Die Verarbeitung von Verkehrsdaten oder Daten für die Gebührenabrechnung darf lediglich durch Personen vorgenommen werden, die für die Gebührenabrechnung, Verkehrsabwicklung oder die Verwaltung des Haushalts zuständig sind.

(4) Die Nutzer der Telekommunikationsnetze haben das Recht, Rechnungen oder andere Aufstellungen ohne Einzelgebührennachweis der geführten Gespräche zu erhalten.

Artikel 38

Nutzerverzeichnisse

(1) Personenbezogene Daten in gedruckten oder elektronischen Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke dieses Nutzerverzeichnisses unbedingt erforderliche Maß zu beschränken.

(2) Die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um zu verhindern, dass in diesen Verzeichnissen enthaltene personenbezogene Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.

Artikel 39

Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

(1) Wird die Anzeige der Rufnummer des Anrufers angeboten, so muss der anrufende Nutzer die Möglichkeit haben, die Rufnummernanzeige auf einfache Weise und gebührenfrei zu unterdrücken.

(2) Wird die Anzeige der Rufnummer des Anrufers angeboten, so muss der angerufene Nutzer die Möglichkeit haben, die Anzeige der Rufnummer eingehender Anrufe auf einfache Weise und gebührenfrei zu unterdrücken.

(3) Wird die Anzeige der Rufnummer des Angerufenen angeboten, so muss der angerufene Nutzer die Möglichkeit haben, die Anzeige seiner Rufnummer beim anrufenden Nutzer auf einfache Weise und gebührenfrei zu unterdrücken.

(4) Wird die Anzeige der Rufnummer des Anrufers oder des Angerufenen angeboten, so unterrichten die Organe und Einrichtungen der Gemeinschaft die Nutzer hierüber und über die in den Absätzen 1, 2 und 3 beschriebenen Möglichkeiten.

Artikel 40

Ausnahmen

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, dass es transparente Verfahren gibt, nach denen sie die Unterdrückung der Anzeige der Rufnummer des Anrufers aufheben können, und zwar

a) vorübergehend, wenn ein Nutzer beantragt hat, dass böswillige oder belästigende Anrufe zurückverfolgt werden;

b) permanent für Verwaltungseinheiten, die Notrufe bearbeiten, zum Zwecke der Beantwortung dieser Anrufe.

KAPITEL V

UNABHÄNGIGE KONTROLLBEHÖRDE: DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE

Artikel 41

Der Europäische Datenschutzbeauftragte

(1) Hiermit wird eine unabhängige Kontrollbehörde, der Europäische Datenschutzbeauftragte, eingerichtet.

(2) Im Hinblick auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Privatsphäre, von den Organen und Einrichtungen der Gemeinschaft geachtet werden.

Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft sowie für die Beratung der Organe und Einrichtungen der Gemeinschaft und der betroffenen Personen in allen die Verarbeitung personenbezogener Daten betreffenden Angelegenheiten. Zu diesem Zweck erfuellt er die Aufgaben nach Artikel 46 und übt die Befugnisse nach Artikel 47 aus.

Artikel 42

Ernennung

(1) Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, wobei sie ihre Entscheidung auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Einreichung von Bewerbungen erstellten Liste treffen.

Nach demselben Verfahren wird für den gleichen Zeitraum ein stellvertretender Datenschutzbeauftragter ernannt. Er unterstützt den Datenschutzbeauftragten bei allen seinen Aufgaben und vertritt ihn im Falle seiner Abwesenheit oder Verhinderung.

(2) Der Europäische Datenschutzbeauftragte wird aus einem Kreis von Personen ausgewählt, an deren Unabhängigkeit kein Zweifel besteht und die über eine herausragende Erfahrung und Sachkunde für die Erfuellung der Aufgaben des Europäischen Datenschutzbeauftragten verfügen, wie beispielsweise die gegenwärtige oder frühere Tätigkeit in einer Kontrollstelle nach Artikel 28 der Richtlinie 95/46/EG.

(3) Eine Wiederernennung des Europäischen Datenschutzbeauftragten ist zulässig.

(4) Außer bei normaler Neubesetzung oder im Todesfall enden die Aufgaben des Europäischen Datenschutzbeauftragten, wenn er von seinem Mandat zurücktritt oder nach Absatz 5 seines Amtes enthoben wird.

(5) Der Europäische Datenschutzbeauftragte kann auf Antrag des Europäischen Parlaments, des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn er die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfuellt oder eine schwere Verfehlung begangen hat.

(6) Im Falle einer regulären Neubestellung oder eines Rücktritts bleibt der Europäische Datenschutzbeauftragte bis zur Neubesetzung im Amt.

(7) Die Artikel 12 bis 15 sowie der Artikel 18 des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften finden auch auf den Europäischen Datenschutzbeauftragten Anwendung.

(8) Die Absätze 2 bis 7 finden auf den stellvertretenden Datenschutzbeauftragten Anwendung.

Artikel 43

Regelungen und allgemeine Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und finanzielle Mittel

(1) Das Europäische Parlament, der Rat und die Kommission legen im gegenseitigen Einvernehmen die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten fest, insbesondere sein Gehalt, seine Zulagen und alle Vergütungen, die anstelle von Dienstbezügen erfolgen.

(2) Die Haushaltsbehörde gewährleistet, dass der Europäische Datenschutzbeauftragte mit dem für die Erfuellung seiner Aufgaben erforderlichen Personal und den erforderlichen finanziellen Mitteln ausgestattet wird.

(3) Der Haushalt des Europäischen Datenschutzbeauftragten ist Gegenstand einer spezifischen Linie des Einzelplans VIII des Gesamthaushaltplans der Europäischen Union.

(4) Der Europäische Datenschutzbeauftragte wird von einer Geschäftsstelle unterstützt. Die Beamten und sonstigen Bediensteten dieser Geschäftsstelle werden vom Europäischen Datenschutzbeauftragten eingestellt; ihr Vorgesetzter ist der Europäische Datenschutzbeauftragte und sie unterstehen ausschließlich seiner Leitung. Ihre Zahl wird jährlich im Rahmen des Haushaltsverfahrens festgelegt.

(5) Die Beamten und sonstigen Bediensteten der Geschäftsstelle des Europäischen Datenschutzbeauftragten unterliegen den Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten der Europäischen Gemeinschaften.

(6) In Personalfragen hat der Europäische Datenschutzbeauftragte denselben Status wie die Organe im Sinne von Artikel 1 des Statuts der Beamten der Europäischen Gemeinschaften.

Artikel 44

Unabhängigkeit

(1) Der Europäische Datenschutzbeauftragte übt sein Amt in völliger Unabhängigkeit aus.

(2) Der Europäische Datenschutzbeauftragte ersucht in Ausübung seines Amtes niemanden um Weisung und nimmt keine Weisungen entgegen.

(3) Der Europäische Datenschutzbeauftragte sieht von allen mit seinem Amt nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere entgeltliche oder unentgeltliche Tätigkeit aus.

(4) Der Europäische Datenschutzbeauftragte ist verpflichtet, nach Ablauf seiner Amtszeit im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend zu handeln.

Artikel 45

Verschwiegenheitspflicht

Der Europäische Datenschutzbeauftragte und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Artikel 46

Aufgaben

Der Europäische Datenschutzbeauftragte

a) hört und prüft Beschwerden und unterrichtet die betroffene Person innerhalb einer angemessenen Frist über die Ergebnisse seiner Prüfung;

b) führt von sich aus oder aufgrund einer Beschwerde Untersuchungen durch und unterrichtet die betroffenen Personen innerhalb einer angemessenen Frist über die Ergebnisse seiner Untersuchungen;

c) kontrolliert die Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft betreffen, mit Ausnahme des Gerichtshofs der Europäischen Gemeinschaften bei Handlungen in seiner gerichtlichen Eigenschaft, und setzt die Anwendung dieser Bestimmungen durch;

d) berät alle Organe und Einrichtungen der Gemeinschaft von sich aus oder im Rahmen einer Konsultation in allen Fragen, die die Verarbeitung personenbezogener Daten betreffen, insbesondere bevor sie interne Vorschriften für den Schutz der Grundrechte und Grundfreiheiten von Personen bei der Verarbeitung personenbezogener Daten ausarbeiten;

e) überwacht relevante Entwicklungen, insoweit als sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;

f) i) arbeitet mit den einzelstaatlichen Kontrollstellen nach Artikel 28 der Richtlinie 95/46/EG der Länder, für die diese Richtlinie gilt, zusammen, soweit dies zur Erfuellung der jeweiligen Pflichten erforderlich ist, insbesondere durch den Austausch aller sachdienlichen Informationen, durch die Aufforderung einer solchen Kontrollstelle oder eines solches Gremiums, ihre Befugnisse auszuüben, oder durch die Beantwortung eines Ersuchens einer solchen Kontrollstelle oder eines solchen Gremiums;

ii) arbeitet ferner mit den im Rahmen des Titels VI des Vertrags über die Europäische Union eingerichteten Datenschutzgremien zusammen, insbesondere im Hinblick auf die Verbesserung der Kohärenz bei der Anwendung der Vorschriften und Verfahren, für deren Einhaltung sie jeweils Sorge zu tragen haben;

g) nimmt an den Arbeiten der durch Artikel 29 der Richtlinie 95/46/EG eingesetzten Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten teil;

h) legt die Ausnahmen, Garantien, Genehmigungen und Voraussetzungen nach Artikel 10 Absatz 2 Buchstabe b) sowie Absätze 4, 5 und 6, Artikel 12 Absatz 2, Artikel 19 und Artikel 37 Absatz 2 fest und begründet und veröffentlicht sie;

i) führt ein Register der ihm aufgrund von Artikel 27 Absatz 2 gemeldeten und gemäß Artikel 27 Absatz 5 registrierten Verarbeitungen und stellt die Mittel für den Zugang zu den von den behördlichen Datenschutzbeauftragten nach Artikel 26 geführten Registern zur Verfügung;

j) nimmt eine Vorabkontrolle der ihm gemeldeten Verarbeitungen vor;

k) legt seine Geschäftsordnung fest.

Artikel 47

Befugnisse

(1) Der Europäische Datenschutzbeauftragte kann

a) betroffene Personen bei der Ausübung ihrer Rechte beraten;

b) bei einem behaupteten Verstoß gegen die Bestimmungen für die Verarbeitung personenbezogener Daten den für die Verarbeitung Verantwortlichen mit der Angelegenheit befassen und gegebenenfalls Vorschläge zur Behebung dieses Verstoßes und zur Verbesserung des Schutzes der betroffenen Personen machen;

c) anordnen, dass Anträge auf Ausübung bestimmter Rechte in Bezug auf Daten bewilligt werden, wenn derartige Anträge unter Verstoß gegen die Artikel 13 bis 19 abgelehnt wurden;

d) den für die Verarbeitung Verantwortlichen ermahnen oder verwarnen;

e) die Berichtigung, Sperrung, Löschung oder Vernichtung aller Daten, die unter Verletzung der Bestimmungen für die Verarbeitung personenbezogener Daten verarbeitet wurden, und die Meldung solcher Maßnahmen an Dritte, denen die Daten mitgeteilt wurden, anordnen;

f) die Verarbeitung vorübergehend oder endgültig verbieten;

g) das betroffene Organ oder die betroffene Einrichtung der Gemeinschaft und, falls erforderlich, das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit befassen;

h) unter den im Vertrag vorgesehenen Bedingungen den Gerichtshof der Europäischen Gemeinschaften anrufen;

i) beim Gerichtshof der Europäischen Gemeinschaften anhängigen Verfahren beitreten;

(2) Der Europäische Datenschutzbeauftragte ist befugt,

a) von einem für die Verarbeitung Verantwortlichen oder von einem Organ oder einer Einrichtung der Gemeinschaft Zugang zu allen personenbezogenen Daten und allen für seine Untersuchungen erforderlichen Informationen zu erhalten;

b) Zugang zu allen Räumlichkeiten zu erhalten, in denen ein für die Verarbeitung Verantwortlicher oder ein Organ oder eine Einrichtung der Gemeinschaft ihre Tätigkeiten ausüben, sofern die begründete Annahme besteht, dass dort eine Tätigkeit gemäß dieser Verordnung ausgeübt wird.

Artikel 48

Tätigkeitsbericht

(1) Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament, dem Rat und der Kommission jährlich einen Bericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.

(2) Der Europäische Datenschutzbeauftragte übermittelt den Tätigkeitsbericht den übrigen Organen und Einrichtungen der Gemeinschaft, die insbesondere im Zusammenhang mit der Beschreibung der Maßnahmen, die aufgrund der Bemerkungen des Europäischen Datenschutzbeauftragten nach Artikel 31 getroffen werden, Bemerkungen im Hinblick auf eine etwaige Prüfung des Berichts durch das Europäische Parlament vorbringen können.

KAPITEL VI

SCHLUSSBESTIMMUNGEN

Artikel 49

Sanktionen

Jede vorsätzliche oder fahrlässige Nichteinhaltung der Verpflichtungen aus dieser Verordnung zieht für Beamte oder sonstige Bedienstete der Europäischen Gemeinschaften disziplinarische Maßnahmen gemäß den Bestimmungen und Verfahren nach sich, die im Statut der Beamten der Europäischen Gemeinschaften oder in den für die sonstigen Bediensteten geltenden Beschäftigungsbedingungen niedergelegt sind.

Artikel 50

Übergangszeitraum

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, dass die zum Zeitpunkt des Inkrafttretens dieser Verordnung begonnene Datenverarbeitung innerhalb eines Jahres mit dieser Verordnung in Einklang gebracht wird.

Artikel 51

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am 18. Dezember 2000.

Im Namen des Europäischen Parlaments

Die Präsidentin

N. Fontaine

Im Namen des Rates

Der Präsident

D. Voynet

(1) ABl. C 376E vom 28.12.1999, S. 24.

(2) ABl. C 51 vom 23.2.2000, S. 48.

(3) Stellungnahme des Europäischen Parlaments vom 14. November 2000 und Beschluss des Rates vom 30. November 2000.

(4) ABl. L 281 vom 23.11.1995, S. 31.

(5) ABl. L 24 vom 30.1.1998, S. 1.

(6) ABl. L 52 vom 22.2.1997, S. 1.

(7) ABl. L 318 vom 27.11.1998, S. 8.

(8) ABl. L 151 vom 15.6.1990, S. 1. Verordnung geändert durch die Verordnung (EG) Nr. 322/97 (ABl. L 52 von 22.2.1997, S. 1).

ANHANG

1. Der behördliche Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes an das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, richten und diese sowie den für die Verarbeitung Verantwortlichen in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus kann er in eigener Initiative oder auf Ersuchen des Organs oder der Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, des für die Verarbeitung Verantwortlichen, des zuständigen Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden, prüfen und der Person, die ihn mit der Prüfung beauftragte, oder dem für die Verarbeitung Verantwortlichen Bericht erstatten.

2. Das Organ oder die Einrichtung der Gemeinschaft, das bzw. die ihn bestellt hat, der betreffende für die Verarbeitung Verantwortliche, der betreffende Personalausschuss sowie jede natürliche Person können den behördlichen Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung zu Rate ziehen, ohne den Dienstweg einhalten zu müssen.

3. Niemand darf deshalb benachteiligt werden, weil er dem zuständigen behördlichen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht hat, die nach seinem Vorbringen eine Verletzung der Bestimmungen dieser Verordnung darstellt.

4. Jeder für die Verarbeitung Verantwortliche hat den behördlichen Datenschutzbeauftragten bei der Erfuellung seiner Aufgaben zu unterstützen und ihm auf Anfrage Auskunft zu erteilen. Bei der Erfuellung seiner Aufgaben hat der behördliche Datenschutzbeauftragte jederzeit Zugang zu den Daten, die Gegenstand der Verarbeitung sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern.

5. Der behördliche Datenschutzbeauftragte ist, soweit erforderlich, von anderen Tätigkeiten freizustellen. Der behördliche Datenschutzbeauftragte und sein Personal, auf die Artikel 287 des Vertrags Anwendung findet, unterliegen im Hinblick auf Informationen oder Dokumente, die sie bei der Erfuellung ihrer Aufgaben erhalten, der Verschwiegenheitspflicht.

Top