51999PC0337

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (von der Kommission vorgelegt)

BEGRÜNDUNG

Die Organe und Einrichtungen der Gemeinschaft - und insbesondere die Kommission - verarbeiten im Rahmen ihrer Tätigkeit ständig personenbezogene Daten. Die Kommission tauscht personenbezogene Daten mit den Mitgliedstaaten im Rahmen der gemeinsamen Agrarpolitik, für die Verwaltung der Zollverfahren, der Strukturfonds und im Rahmen anderer Gemeinschaftspolitiken aus. Um einen vollständigen Datenschutz zu gewährleisten, hat die Kommission, als sie die Richtlinie 95/46/EG 1990 vorschlug, erklärt, daß sie die in der Richtlinie enthaltenen Grundsätze ebenfalls einhalten werde.

Zum Zeitpunkt ihrer Annahme haben sich die Kommission und der Rat in einer öffentlichen Erklärung verpflichtet, die Richtlinie einzuhalten, und die übrigen Organe und Einrichtungen der Gemeinschaft aufgefordert, diesem Beispiel Folge zu leisten.

In der Regierungskonferenz für die Überprüfung der Verträge ist die Frage der Anwendung der Datenschutzbestimmungen auf die Organe der Gemeinschaft von der niederländischen und der griechischen Regierung aufgeworfen worden. Der nach Abschluß der Verhandlungen in Amsterdam unterzeichnete Vertrag bringt in den Vertrag zur Gründung der Europäischen Gemeinschaft eine diesbezuegliche spezifische Bestimmung ein. In der endgültigen Numerierung handelt es sich um Artikel 286 mit folgendem Wortlaut:

1. Ab 1. Januar 1999 finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung.

2. Vor dem in Absatz 1 genannten Zeitpunkt beschließt der Rat gemäß dem Verfahren des Artikels 251 die Errichtung einer unabhängigen Kontrollinstanz, die für die Überwachung der Anwendung solcher Rechtsakte der Gemeinschaft auf die Organe und Einrichtungen der Gemeinschaft verantwortlich ist, und erlässt erforderlichenfalls andere einschlägige Bestimmungen.

Artikel 286 sieht somit vor, daß die Organe und Einrichtungen der Gemeinschaft ab 1. Januar 1999 die Gemeinschaftsbestimmungen für den Schutz personenbezogener Daten anzuwenden haben, die im wesentlichen durch die Richtlinie 95/46/EG festgelegt wurden, und daß die Anwendung der genannten Bestimmungen durch eine unabhängige Kontrollinstanz überwacht werden muß. Mit dem vorliegenden Verordnungsvorschlag soll dieses zweifache Ziel erreicht werden.

Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION -

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf (die) Artikel 286,

auf Vorschlag der Kommission [1],

[1] ABl. C vom , S.

nach Stellungnahme des Wirtschafts- und Sozialausschusses [2],

[2] ABl. C vom , S.

gemäß dem Verfahren nach Artikel 251 EG-Vertrag [3],

[3] ABl. C vom , S.

in Erwägung nachstehender Gründe:

(1) Artikel 286 EG-Vertrag fordert die Anwendung der Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten auf die Organe und Einrichtungen der Gemeinschaft.

(2) Ein umfassendes Datenschutzsystem erfordert nicht nur eine Bestimmung der Rechte der betroffenen Personen und der Pflichten der Personen, die personenbezogene Daten verarbeiten, sondern auch geeignete Sanktionen für Rechtsverletzer und eine Kontrolle durch eine unabhängige Kontrollinstanz.

(3) Artikel 286 Absatz 2 EG-Vertrag schreibt die Errichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung der Gemeinschaftsrechtsakte auf die Organe und Einrichtungen der Gemeinschaft überwacht.

(4) Artikel 286 Absatz 2 EG-Vertrag bestimmt, daß erforderlichenfalls weitere einschlägige Bestimmungen erlassen werden.

(5) Eine Verordnung ist erforderlich, um den natürlichen Personen gesetzlich durchsetzbare Rechte zu geben, die Verpflichtungen der für die Verarbeitung in den Organen und Einrichtungen der Gemeinschaft Verantwortlichen darzulegen und eine unabhängige Kontrollinstanz für die externe Überwachung der Datenverarbeitung in der Gemeinschaft zu schaffen.

(6) Die Grundsätze des Datenschutzes müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die der für die Verarbeitung Verantwortliche oder jede andere Person zweckmässigerweise zur Identifizierung der betreffenden Person nutzen wird. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, daß die betroffene Person nicht mehr identifiziert werden kann.

(7) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr [4] fordert die Mitgliedstaaten auf, den Schutz der Grundrechte und -freiheiten der natürlichen Personen und insbesondere deren Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten sicherzustellen, um den freien Verkehr personenbezogener Daten in der Gemeinschaft zu gewährleisten.

[4] ABl. L 281 vom 23.11.1995, S. 31.

(8) Die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation [5] präzisiert und ergänzt die Richtlinie 95/46/EG im Hinblick auf die Verarbeitung personenbezogener Daten im Bereich Telekommunikation.

[5] ABl. L 24 vom 30.1.1998, S. 1.

(9) Verschiedene andere Gemeinschaftsmaßnahmen, insbesondere im Bereich der Amtshilfe zwischen den einzelstaatlichen Verwaltungen und der Kommission, zielen ebenfalls darauf ab, die Richtlinie 95/46/EG in dem maßgeblichen Bereich zu präzisieren und zu ergänzen.

(10) Die kohärente, homogene Anwendung der Bestimmungen für den Schutz der Grundrechte und -freiheiten von Personen bei der Verarbeitung personenbezogener Daten muß in der gesamten Gemeinschaft gewährleistet sein.

(11) Damit soll sowohl die tatsächliche Einhaltung der Bestimmungen für den Schutz der Grundrechte und -freiheiten der Personen als auch der freie Verkehr personenbezogener Daten insbesondere zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft bzw. zwischen den Organen und Einrichtungen der Gemeinschaft zum Zwecke der Ausübung ihrer jeweiligen Befugnisse garantiert werden.

(12) Das vorgenannte Ziel lässt sich durch den Erlaß zwingender Vorschriften für die Organe und Einrichtungen der Gemeinschaft am besten gewährleisten. Diese Vorschriften sollten auf alle Verarbeitungen personenbezogener Daten Anwendung finden, die durch die Organe und Einrichtungen der Gemeinschaft im Rahmen der Befugnisse durchgeführt werden, die ihnen durch die Verträge zur Gründung der Europäischen Gemeinschaften und der Vertrag über die Europäische Union übertragen werden.

(13) Diese Bestimmungen müssen den Vorschriften entsprechen, die für die Harmonisierung der einzelstaatlichen Rechtsvorschriften oder die Umsetzung anderer Gemeinschaftspolitiken, insbesondere im Bereich der Amtshilfe vorgesehen sind. Präzisierungen und Ergänzungen können allerdings für die Umsetzung des Schutzes bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft erforderlich sein.

(14) Dies gilt sowohl für die Rechte der Personen, deren Daten verarbeitet werden, und die Verpflichtungen der Organe und Einrichtungen der Gemeinschaft, die für die Verarbeitungen verantwortlich sind, als auch für die Befugnisse, über die die unabhängige Kontrollinstanz verfügen muß, die für die einwandfreie Anwendung dieser Verordnung Sorge zu tragen hat.

(15) Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft für die Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und das Funktionieren dieser Organe und Einrichtungen erforderlich ist.

(16) Die Überwachung von Computer Netzwerken, die unter Kontrolle eines Organs oder einer Einrichtung betrieben werden, kann erforderlich sein zur Verhinderung unerlaubter Benutzung. Der Europäische Datenschutzbeauftragte legt fest ob und unter welchen Voraussetzungen dies möglich ist.

(17) Die Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftsstatistiken [6] gilt laut ihrem Artikel 21 unbeschadet der Richtlinie 95/46/EG.

[6] ABl. L 52 vom 22.2.1997, S. 1.

(18) Aus Gründen der Transparenz ist es notwendig, weitere Informationen über die Anwendung dieser Verordnung einschließlich einer Liste der Organe und Einrichtungen der Gemeinschaft, die dieser Verordnung unterliegen, zu veröffentlichen.

(19) Die Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat ihre Stellungnahme abgegeben -

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand der Verordnung

1. Die nachstehend als Organe und Einrichtungen der Gemeinschaft bezeichneten, durch die Verträge zur Gründung der Europäischen Gemeinschaften oder auf deren Grundlage geschaffenen Organe und Einrichtungen, gewährleisten nach den Bestimmungen dieser Verordnung den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

2. Die durch diese Verordnung eingerichtete unabhängige Kontrollbehörde, im folgenden als Europäischer Datenschutzbeauftragter bezeichnet, überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Gemeinschaft.

Artikel 2

Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet

a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

c) "Datei mit personenbezogenen Daten" ("Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird;

d) "für die Verarbeitung Verantwortlicher" das Organ oder die Einrichtung der Gemeinschaft, die Generaldirektion, das Referat oder jede andere Verwaltungseinheit, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch einen spezifischen Rechtsakt der Gemeinschaft festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einen solchen Rechtsakt der Gemeinschaft bestimmt werden;

e) "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

f) "Dritter" jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle ausser der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;

h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß sie betreffende personenbezogene Daten verarbeiten werden.

Artikel 3

Anwendungsbereich

1. Diese Verordnung findet auf die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung.

2. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

KAPITEL II

ALLGEMEINE BESTIMMUNGEN ÜBER DIE RECHTMÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

ABSCHNITT 1

GRUNDSÄTZE IN BEZUG AUF DIE QUALITÄT DER DATEN

Artikel 4

1. Personenbezogene Daten müssen

a) nach Treu und Glauben und auf rechtmässige Weise verarbeitet werden;

b) für festgelegte eindeutige und rechtmässige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist nicht als unvereinbar anzusehen, sofern der für die Verarbeitung Verantwortliche geeignete Garantien vorsieht, insbesondere, um sicherzustellen, daß die Daten lediglich für derartige Zwecke verarbeitet werden;

c) den Zwecken entsprechen, für die sie erhoben und/oder dann verarbeitet werden, dafür erheblich sein und nicht darüber hinausgehen;

d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sein; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht. Die Organe oder Einrichtungen der Gemeinschaft sehen insbesondere im Hinblick auf die Anonymisierung geeignete Garantien für personenbezogene Daten vor, die für historische, statistische oder wissenschaftliche Zwecke länger gespeichert werden.

2. Der für die Verarbeitung Verantwortliche hat für die Einhaltung der Bestimmungen des Absatzes 1 zu sorgen.

ABSCHNITT 2

KRITERIEN FÜR DIE ZULÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

Artikel 5

Personenbezogene Daten dürfen lediglich verarbeitet werden, wenn eine der folgenden Voraussetzungen erfuellt ist:

a) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die aufgrund eines Gesetzes im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die dem Organ oder der Einrichtung der Gemeinschaft oder einem Dritten, dem die Daten übermittelt werden, übertragen wurde;

b) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

c) die Verarbeitung ist für die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen;

d) die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

e) die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich.

Artikel 6

Änderung der Zweckbestimmung

1. Personenbezogene Daten dürfen für andere Zweckbestimmungen als die, für die sie erhoben wurden, lediglich verarbeitet werden, wenn die Änderung der Zwecke ausdrücklich durch die Geschäftsordnung des Organs oder der Einrichtung der Gemeinschaft erlaubt ist.

2. Für andere Zweckbestimmungen erfasste personenbezogene Daten können verarbeitet werden, um die Einhaltung der Finanz- und Haushaltsvorschriften zu gewährleisten.

3. Mit Ausnahme der in Artikel 18 Absatz 1 Buchstabe a) genannten Zwecke dürfen personenbezogene Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -vorgänge erfasst werden, für keinen anderen Zweck verwendet werden.

Artikel 7

Übermittlung personenbezogener Daten innerhalb von oder zwischen Organen oder Einrichtungen der Gemeinschaft

1. Personenbezogene Daten werden innerhalb der Organe oder Einrichtungen der Gemeinschaft oder an andere Organe oder Einrichtungen der Gemeinschaft nur übermittelt, wenn die Daten für die rechtmässige Erfuellung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers fallen.

2. Der für die Verarbeitung Verantwortliche und der Empfänger tragen die Verantwortung für die Rechtmässigkeit der Übermittlung.

Der für die Verarbeitung Verantwortliche prüft lediglich die Zuständigkeit des Empfängers und die Begründetheit des Ersuchens. Im Fall von Zweifeln hinsichtlich der Begründetheit überprüft der für die Verarbeitung Verantwortliche allerdings auch die Notwendigkeit der Übermittlung.

Der Empfänger stellt sicher, daß die Notwendigkeit der Übermittlung im nachhinein überprüft werden kann.

Artikel 8

Übermittlung an Personen und Einrichtungen in den Mitgliedstaaten, die nicht Organe und Einrichtungen der Gemeinschaft sind

1. Personenbezogene Daten werden an Personen und Einrichtungen in den Mitgliedstaaten nur übermittelt, wenn der Empfänger die Notwendigkeit der Datenübermittlung nachweist und kein Grund zu der Annahme besteht, daß die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten.

2. Der Empfänger verarbeitet die personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.

Artikel 9

Übermittlung personenbezogener Daten an Personen und Einrichtungen,die nicht Einrichtungen oder Organe der Gemeinschaft und dienicht der Richtlinie 95/46/EG unterworfen sind

1. Personenbezogene Daten werden nur dann an Personen und Einrichtungen übermittelt, die nicht Einrichtungen oder Organe der Gemeinschaft und keinem nationalen Datenschutzgesetz nach Artikel 4 der Richtlinie 95/46/EG unterworfen sind, wenn ein angemessenes Schutzniveau in dem Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist, die Daten strikt im Rahmen der unter die Zuständigkeit des für die Verarbeitung Verantwortlichen fallenden Aufgaben übermittelt werden und die Voraussetzungen nach Artikel 4 Absatz 1 Buchstabe b) dieser Verordnung erfuellt sind.

2. Die Angemessenheit des von dem betreffenden Land oder der betreffenden internationalen Organisation gebotenen Schutzniveaus ist im Lichte aller Umstände einer Datenübermittlung oder einer Reihe von Datenübermittlungen zu beurteilen; besondere Beachtung sind der Art der Daten, dem Zweck und der Dauer des vorgeschlagenen Verarbeitungsvorgangs oder der vorgeschlagenen Verarbeitungsvorgänge zu schenken, dem Land oder der internationalen Organisation der Endbestimmung, den in dem betreffenden Land oder der betreffenden internationalen Organisation geltenden allgemeinen und sektoralen Rechtsvorschriften sowie den in diesem Land oder in dieser internationalen Organisation eingehaltenen Standesregeln und Sicherheitsmaßnahmen.

3. Die Organe und Einrichtungen der Gemeinschaft teilen der Kommission und dem Europäischen Datenschutzbeauftragen die Fälle mit, in denen das betreffende Land oder die betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne von Absatz 2 gewährleistet.

4. Kommt die Kommission, unterstützt von dem mit Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschuß, zu der Auffassung, daß ein Land oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne von Absatz 2 des vorliegenden Artikels gewährleistet bzw. nicht gewährleistet, so treffen die Organe und Einrichtungen der Gemeinschaft die erforderlichen Maßnahmen, um der Entscheidung der Kommission nachzukommen. Die Entscheidung wird gemäß dem Verwaltungsverfahren nach Artikel 4 des Beschlusses 1999/468/EG des Rates [7] und unbeschadet dessen Artikels 8 erlassen. Der in Artikel 4 Absatz 3 des Beschlusses 1999/468/EG genannte Zeitraum beträgt drei Monate.

[7] ABl. L 184 vom 17.7.1999, S. 23.

5. Abweichend von Absatz 1 kann das Organ oder die Einrichtung der Gemeinschaft personenbezogene Daten übermitteln, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung in die vorgeschlagene Übermittlung erteilt hat,

b) die Übermittlung für die Erfuellung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,

c) die Übermittlung zum Abschluß oder zur Erfuellung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einem Dritten geschlossen wird,

d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses oder zur Begründung, Geltendmachung, oder Verteidigung von Rechtsansprüchen erforderlich oder gesetzlich vorgesehen ist,

e) die Übermittlung zum Schutz der vitalen Interessen der betroffenen Person erforderlich ist, oder

f) die Übermittlung aus einem Register erfolgt, das gemäß dem Gemeinschaftsrecht zur Information der Öffentlichkeit bestimmt ist und entweder von der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die im Gemeinschaftsrecht für die Einsichtnahme festgelegten Voraussetzungen im Einzelfall gegeben sind.

6. Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über alle (Kategorien von) Fälle(n), in denen sie Absatz 5 angewendet haben.

ABSCHNITT 3

DIE VERARBEITUNG BESONDERER KATEGORIEN PERSONENBEZOGENER DATEN

Artikel 10

1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit oder Sexualleben sind verboten.

2. Absatz 1 findet in folgenden Fällen keine Anwendung:

a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, die Geschäftsordnung des Organs oder der Einrichtung der Gemeinschaft sieht vor, daß das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden kann.

b) Die Verarbeitung ist erforderlich, um den Pflichten und spezifischen Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies durch die Rechtsvorschriften der Gemeinschaft oder deren Durchführungsvorschriften oder eine Genehmigung des Europäischen Datenschutzbeauftragten, die angemessene Garantien vorsehen, zulässig ist.

c) Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu geben.

d) Die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Begründung, Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich.

e) Die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Erwerbszweck, die Teil eines Organs oder einer Einrichtung der Gemeinschaft ist und die gemäß Artikel 4 der Richtlinie 95/46/EG nicht dem einzelstaatlichen Datenschutzrecht unterliegt, im Rahmen ihrer rechtmässigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmässige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

3. Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Feststellung der medizinischen Eignung bei der Einstellung, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

4. Vorbehaltlich angemessener Garantien können aus Gründen eines wichtigen öffentlichen Interesses andere als die in Absatz 2 genannten Ausnahmen im Wege einer Entscheidung des Europäischen Datenschutzbeauftragten festgelegt werden.

5. Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur erfolgen, wenn sie aufgrund gemeinschaftlicher Rechtsvorschriften oder anderer auf der Grundlage des EU-Vertrags angenommener Rechtsinstrumente, die geeignete besondere Garantien vorsehen, oder vom Europäischen Datenschutzbeauftragten genehmigt ist.

6. Der Europäische Datenschutzbeauftragte bestimmt, unter welchen Bedingungen eine Personalnummer oder ein anderes Kennzeichen allgemeiner Bedeutung in einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden dürfen.

ABSCHNITT 4

INFORMATION DER BETROFFENEN PERSON

Artikel 11

Information bei der Erhebung personenbezogener Daten bei der betroffenen Person

1. Der für die Verarbeitung Verantwortliche sieht vor, daß die Person, bei der die sie betreffenden Daten erhoben werden, zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen,

b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,

c) die Empfänger oder Kategorien der Empfänger der Daten,

d) Hinweis darauf, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezueglich sie betreffender Daten,

f) weitere Informationen wie

- die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,

- die zeitliche Begrenzung der Speicherung der Daten,

- das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

2. Abweichend von Absatz 1 kann die Erteilung der Informationen vollständig oder teilweise zurückgestellt werden, solange dies für die Erreichung des rechtmässigen Ziels der Erhebung im Hinblick auf ihren Gegenstand oder ihren Charakter erforderlich ist. Die Informationen müssen erteilt werden, sobald der Grund, aus dem die Informationen zurückgehalten wurden, nicht mehr besteht, es sei denn, dies ist offenkundig unzweckmässig oder undurchführbar. In diesen Fällen werden die Informationen zu einem späteren Zeitpunkt erteilt, sobald diese Umstände nicht mehr vorliegen.

Artikel 12

Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden

1. Wurden die Daten nicht bei der betroffenen Person erhoben, so hat der für die Verarbeitung Verantwortliche der betroffenen Person bei Beginn der Speicherung der personenbezogenen Daten oder im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten zumindest die nachstehenden Informationen zu erteilen, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen,

b) Zweckbestimmungen der Verarbeitung,

c) die Datenkategorien, die verarbeitet werden,

d) die Empfänger oder Kategorien der Empfänger der Daten,

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezueglich sie betreffender Daten,

f) weitere Informationen wie:

- die Rechtsgrundlage der Verarbeitung, für die die Daten bestimmt sind,

- die zeitliche Begrenzung der Speicherung der Daten,

- das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

- die Herkunft der Daten, ausser wenn der für die Verarbeitung Verantwortliche diese aufgrund der beruflichen Geheimhaltungspflicht nicht offenlegen kann,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

2. Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Rechtsvorschriften der Gemeinschaft ausdrücklich vorgesehen ist. In diesen Fällen sieht das Organ oder die Einrichtung der Gemeinschaft geeignete Garantien vor.

ABSCHNITT 5

AUSKUNFTSRECHT DER BETROFFENEN PERSON

Artikel 13

Auskunftsrecht

Jede betroffene Person hat das Recht, jederzeit ohne unzumutbare Verzögerung unentgeltlich von dem für die Verarbeitung Verantwortlichen folgende Auskünfte zu erhalten:

a) die Bestätigung, ob sie betreffende Daten verarbeiten werden oder nicht,

b) Angaben über die Zweckbestimmung der Verarbeitung, die Datenkategorien, die verarbeitet werden, die Empfänger oder Kategorien der Empfänger der Daten,

c) eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,

d) Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

Artikel 14

Berichtigung

Der für die Verarbeitung Verantwortliche berichtigt auf Antrag der betroffenen Person unverzueglich unrichtige oder unvollständige personenbezogene Daten.

Artikel 15

Sperrung

1. Personenbezogene Daten werden gesperrt, wenn

a) ihre Richtigkeit von der betroffenen Person bestritten wird und sich weder ihre Richtigkeit noch die Unrichtigkeit feststellen lässt,

b) der für die Verarbeitung Verantwortliche sie für die Erfuellung seiner Aufgaben nicht länger benötigt, sie aber aus Beweisgründen weiter gespeichert blieben,

c) die Verarbeitung unrechtmässig war, die betroffene Person sich ihrer Löschung widersetzt und statt dessen ihre Sperrung fordert.

2. In automatisierten Dateien wird die Sperrung grundsätzlich durch technische Mittel gewährleistet. Die Tatsache, daß die personenbezogenen Daten gesperrt sind, ist in dem System in einer Weise anzugeben, aus der klar wird, daß die personenbezogenen Daten nicht verwendet werden dürfen.

3. Gesperrte personenbezogene Daten werden mit Ausnahme ihrer Speicherung lediglich verarbeitet, wenn sie zur Behebung der Beweisnot erforderlich sind, wenn die betroffene Person ihre Einwilligung erteilt hat oder aus Gründen rechtmässiger Interessen eines Dritten.

Artikel 16

Löschung

1. Personenbezogene Daten werden gelöscht, wenn ihre Verarbeitung rechtswidrig war, insbesondere, wenn die Bestimmungen von Kapitel II, Abschnitte 1, 2 und 3 verletzt wurden.

2. Personenbezogene Daten werden gelöscht, wenn der für die Verarbeitung Verantwortliche sie für die Wahrnehmung seiner Aufgaben nicht mehr benötigt und kein Grund zu der Annahme besteht, daß die Interessen der betroffenen Person durch die Löschung beeinträchtigt werden können.

Artikel 17

Mitteilung an Dritte

Der für die Verarbeitung Verantwortliche teilt Dritten, denen die Daten übermittelt wurden, jede Berichtigung, Löschung oder Sperrung mit, sofern sich dies nicht als unmöglich erweist und kein unverhältnismässiger Aufwand damit verbunden ist.

ABSCHNITT 6

AUSNAHMEN UND EINSCHRÄNKUNGEN

Artikel 18

1. Die Organe und Einrichtungen der Gemeinschaft können die Anwendung von Artikel 4 Absatz 1, Artikel 11, Artikel 12 Absatz 1, Artikel 13, Artikel 33 und Artikel 34 Absatz 1 einschränken, wenn eine solche Einschränkung notwendig ist für

a) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten;

b) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- oder Steuerangelegenheiten;

c) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen;

d) Überwachungs-, Untersuchungs- oder Regelungsaufgaben, die - auch gelegentlich - mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a) und b) genannten Fällen verbunden sind.

2. Die Artikel 13 bis 16 finden keine Anwendung, wenn Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet oder personenbezogen nicht länger als lediglich zur Erstellung von Statistiken erforderlich aufbewahrt werden, sofern offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht und der für die Verarbeitung Verantwortliche angemessene rechtliche Garantien vorsieht, insbesondere, daß die Daten nicht für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden.

3. Findet eine Einschränkung nach Absatz 1 Anwendung, so ist die betroffene Person über die wesentlichen Gründe für diese Einschränkung und über ihr Recht zu unterrichten, sich an den Europäischen Datenschutzbeauftragten zu wenden.

4. Sobald der Grund für die Anwendung der Einschränkungen nach Absatz 1 nicht mehr besteht, finden die in Absatz 1 genannten Bestimmungen wieder uneingeschränkt Anwendung.

ABSCHNITT 7

WIDERSPRUCHSRECHT DER BETROFFENEN PERSON

Artikel 19

Widerspruchsrecht der betroffenen Person

Die betroffene Person hat das Recht, jederzeit aus zwingenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Verarbeitung von zu ihrer Person gespeicherten Daten Widerspruch einlegen zu können, ausser in den unter Artikel 5 Buchstaben b), c) und d) fallenden Fällen. Bei berechtigtem Widerspruch darf die betreffende Verarbeitung diese Daten nicht länger einbeziehen.

Artikel 20

Beschwerderecht der betroffenen Person

Die betroffene Person hat das Recht, jederzeit beim Europäischen Datenschutzbeauftragten Beschwerde einzulegen.

Artikel 21

Automatisierte Einzelentscheidungen

Keine betroffene Person ist einer Entscheidung unterworfen, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, sofern die Entscheidung nicht ausdrücklich aufgrund einer Rechtsvorschrift zulässig ist, die auch Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person festlegt.

ABSCHNITT 8

VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG

Artikel 22

Vertraulichkeit der Verarbeitung

Personen, die den für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen Verpflichtungen aus dem einzelstaatlichen Gesetz.

Artikel 23

Sicherheit der Verarbeitung

1. Unter Berücksichtigung des Standes der Technik und der bei der Durchführung entstehenden Kosten hat der für die Verarbeitung Verantwortliche die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

2. Werden personenbezogene Daten manuell verarbeitet, so sind geeignete Maßnahmen zu treffen, um insbesondere jedem unzulässigen Zugriff oder jeder unberechtigten Weitergabe, Änderung, Zerstörung oder jedem zufälligen Verlust vorzubeugen.

3. Werden personenbezogene Daten mit automatischen Mitteln verarbeitet, so sind Maßnahmen zu treffen, um insbesondere

a) zu verhindern, daß Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet werden;

b) zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

c) jede unbefugte Eingabe in den Speicher sowie die unbefugte Weitergabe, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

d) zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können;

e) zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

f) zu erfassen, welche personenbezogenen Daten zu welcher Zeit von wem übermittelt worden sind;

g) zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem verarbeitet worden sind;

h) zu gewährleisten, daß personenbezogene Daten, die im Auftrag Dritter verarbeitet werden, nur entsprechend den Weisungen des auftraggebenden Organs oder der auftraggebenden Einrichtung verarbeitet werden können;

i) sicherzustellen, daß während der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert oder gelöscht werden können;

j) die organisatorische Struktur innerhalb eines Organs oder einer Einrichtung derart zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Artikel 24

Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

1. Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen vorgenommen, so hat dieser einen Auftragsverarbeiter auszuwählen, der hinsichtlich der für die Verarbeitung nach Artikel 23 zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet, und sich von der Einhaltung dieser Maßnahmen zu überzeugen.

2. Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrages oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist:

a) Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

b) die in Artikel 23 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter.

3. Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf Maßnahmen nach Artikel 23 schriftlich oder in einer anderen Form zu dokumentieren.

ABSCHNITT 9

BEHÖRDLICHER DATENSCHUTZBEAUFTRAGTER

Artikel 25

Bestellung und Aufgaben des behördlichen Datenschutzbeauftragten

1. Jedes Organ und jede Einrichtung der Gemeinschaft bestellt zumindest eine Person angemessenen Ranges als behördlichen Datenschutzbeauftragten für personenbezogene Daten, der

a) gewährleistet, daß die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre Rechte und Pflichten unterrichtet sind,

b) mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder aus eigener Initiative zusammenarbeitet,

c) in unabhängiger Art und Weise die innerbehördliche Anwendung der Bestimmungen dieser Verordnung und aller weiteren zu ihrer Durchführung erlassenen Bestimmungen gewährleistet,

d) das Register der von dem für die Verarbeitung Verantwortlichen vorgenommenen Verarbeitungen mit den einzelnen Informationen gemäß Artikel 26 Absatz 2 führt,

e) dem Europäischen Datenschutzbeauftragten Verarbeitungen meldet, die spezifische Risiken im Sinne von Artikel 28 beinhalten können,

und damit sicherstellt, daß die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen aller Wahrscheinlichkeit nach nicht beeinträchtigt werden.

2. Der Datenschutzbeauftragte ist mit dem für die Erfuellung seiner Aufgaben erforderlichen Personal und den erforderlichen Mitteln auszustatten.

3. Jedes Organ und jede Einrichtung erlässt weitere Durchführungsbestimmungen auf der Grundlage der Richtlinien in Anhang I. Die Durchführungsbestimmungen betreffen insbesondere die Qualifikation, die Ernennung, Entlassung, Unabhängigkeit und Befugnisse des Datenschutzbeauftragten.

Artikel 26

Meldung beim behördlichen Datenschutzbeauftragten

1. Der für die Verarbeitung Verantwortliche hat dem in Artikel 25 genannten behördlichen Datenschutzbeauftragten jede Verarbeitung oder jede Reihe von Verarbeitungen zuvor zu melden, die für einen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind.

2. Zu melden sind zumindest die in Anhang II genannten Angaben.

Alle Änderungen hinsichtlich der Angaben sind dem Datenschutzbeauftragten unverzueglich mitzuteilen.

Artikel 27

Register

Jeder Datenschutzbeauftragte führt ein Register der gemäß Artikel 26 gemeldeten Verarbeitungen.

Das Register enthält mindestens die Angaben nach Artikel 26 Absatz 2.

Das Register kann von jeder Person eingesehen werden.

ABSCHNITT 10

VORABKONTROLLE DES EUROPÄISCHEN DATENSCHUTZBEAUFTRAGTEN

Artikel 28

1. Der Europäische Datenschutzbeauftragte bestimmt die Verarbeitungen, die aufgrund ihres Charakters, ihres Sachgebiets oder ihrer Zweckbestimmungen oder aufgrund der spezifischen Verwendung neuer Techniken besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, wie die des Ausschlusses einzelner vom einem Recht, einer Leistung oder einem Vertrag.

Dabei handelt es sich insbesondere um folgende Verarbeitungen:

- bestimmte Verarbeitungen, die besondere Datenkategorien nach Artikel 10 betreffen;

- Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens.

Diese Verarbeitungen werden vorab geprüft.

2. Die Vorabprüfungen nimmt der Europäische Datenschutzbeauftragte nach Erhalt der Meldung von dem Datenschutzbeauftragten vor, der im Zweifelsfall den Europäischen Datenschutzbeauftragten zu konsultieren hat.

3. Der Europäische Datenschutzbeauftragte gibt seine Stellungnahme innerhalb von zwei Monaten nach Empfang der Meldung ab. Ist nach Ablauf dieser beiden Monate keine Stellungnahme erfolgt, so gilt sie als positiv.

4. Der Europäische Datenschutzbeauftragte führt ein Register der ihm aufgrund von Absatz 2 gemeldeten Verarbeitungen. Das Register enthält die Angaben nach Artikel 26 Absatz 2. Es steht zur allgemeinen Einsichtnahme frei.

5. Automatisierte Kommunikationsmittel zwischen den Organen und Einrichtungen der Gemeinschaft wie ein Onlinezugang zu Datenbanken oder eine Verbindung werden nur nach Prüfung des Europäischen Datenschutzbeauftragten eingeführt.

Bei der Prüfung entscheidet der Europäische Datenschutzbeauftragte, ob eine automatische Übermittlung mit den berechtigten Interessen der betroffenen Personen vereinbar und im Hinblick auf die Aufgaben der beteiligten Organe und Einrichtungen der Gemeinschaft erforderlich ist.

KAPITEL III

RECHTSBEHELFE UND SANKTIONEN

Artikel 29

Rechtsbehelfe

1. Unbeschadet jedes gerichtlichen Rechtsschutzes kann jede betroffene Person beim Europäischen Datenschutzbeauftragten Beschwerde führen, wenn sie der Ansicht ist, daß ihre Rechte infolge der Verarbeitung ihrer personenbezogenen Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verletzt wurden.

2. Der Gerichtshof der Europäischen Gemeinschaften und das Gericht erster Instanz der Europäischen Gemeinschaften sind für alle Streitfälle, die die Bestimmungen dieser Verordnung betreffen, einschließlich Schadenersatzklagen zuständig.

Artikel 30

Sanktionen

Jede vorsätzliche oder fahrlässige Nichteinhaltung der Verpflichtungen aus dieser Verordnung zieht für Beamte oder sonstige Bedienstete der Europäischen Gemeinschaften disziplinarische Maßnahmen gemäß den Bestimmungen und Verfahren nach sich, die im Statut der Beamten der Europäischen Gemeinschaften oder in den auf sie Anwendung findenden Beschäftigungsbedingungen niedergelegt sind.

KAPITEL IV

SCHUTZ DER PERSONENBEZOGENEN DATEN UND DER PRIVATSPHÄRE IM RAHMEN INTERNER TELEKOMMUNIKATIONSNETZE

Artikel 31

Anwendungsbereich

Dieses Kapitel findet zusätzlich zu den übrigen Bestimmungen dieser Verordnung auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Verwendung von Telekommunikationsnetzen und Endgeräten Anwendung, die unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden.

In diesem Kapitel bedeutet "Nutzer" jede natürliche Person, die ein unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betriebenes Telekommunikationsnetz nutzt.

Artikel 32

Sicherheit

1. Die Organe und Einrichtungen der Gemeinschaft treffen geeignete technische und organisatorische Maßnahmen, um die sichere Nutzung der Telekommunikationsnetze und Endgeräte gegebenenfalls mit den Anbietern öffentlich zugänglicher Telekommunikationsdienste und/oder den Anbietern öffentlicher Telekommunikationsnetze zu garantieren. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

2. Besteht ein besonderes Risiko der Verletzung der Sicherheit der Telekommunikationsnetze und Endgeräte, unterrichtet das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft die Nutzer über dieses Risiko und über mögliche Abhilfen oder alternative Kommunikationsmittel.

Artikel 33

Vertraulichkeit der Übermittlungen

1. Die Organe und Einrichtungen der Gemeinschaft gewährleisten die Vertraulichkeit der Übermittlungen über Telekommunikationsnetze und Endgeräte.

Das Mithören, Abhören, Speichern oder andere Formen des Abfangens oder Überwachens von Übermittlungen durch andere Personen als die Nutzer sind ohne Einwilligung der betreffenden Nutzer untersagt.

2. Absatz 1 betrifft nicht das aufgrund interner Regeln von Organen und Einrichtungen der Gemeinschaft zulässige Aufzeichnen von Kommunikationen zum Nachweis von rechtlichen oder Verwaltungshandlungen im Rahmen der Erfuellung rechtmässiger Aufgaben der betroffenen Organe und Einrichtungen der Gemeinschaft, sofern der Europäische Datenschutzbeauftragte zugestimmt hat.

Artikel 34

Verkehrsdaten und Daten für die Gebührenabrechnung

1. Verkehrsdaten, die sich auf Nutzer beziehen und die für den Verbindungsaufbau von Anrufen oder anderen Verbindungen über das Telekommunikationsnetz verarbeitet oder gespeichert werden, sind nach Beendigung des Gesprächs oder anderer Verbindungen unbeschadet der Bestimmungen der Absätze 2, 3 und 4 zu löschen oder zu anonymisieren.

2. Für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs einschließlich der Kontrolle rechtmässiger Nutzung des Telekommunikationssystems können die in einer vom Europäischen Datenschutzbeauftragten genehmigten Liste genannten Verkehrsdaten verarbeitet werden.

3. Die Verarbeitung von Verkehrsdaten oder Daten für die Gebührenabrechnung ist auf das für die in Absatz 2 genannten Tätigkeiten erforderliche Maß zu beschränken und darf lediglich durch Personen vorgenommen werden, die für die Gebührenabrechnung, Verkehrsabwicklung oder die Verwaltung des Haushalts zuständig sind.

4. Die Nutzer der Telekommunikationsnetze haben das Recht, Rechnungen ohne Einzelgebührennachweis zu erhalten.

Artikel 35

Nutzerverzeichnisse

1. Personenbezogene Daten in gedruckten oder elektronischen Nutzerverzeichnissen sollten auf das für die besonderen Zwecke dieses Nutzerverzeichnisses erforderliche Maß beschränkt sein.

2. Die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um zu verhindern, daß in diesen Verzeichnissen enthaltene personenbezogene Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.

Artikel 36

Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

1. Wird die Anzeige der Rufnummer des Anrufers angeboten, so muß der anrufende Nutzer die Möglichkeit haben, die Rufnummernanzeige auf einfache Weise und gebührenfrei zu unterdrücken.

2. Wird die Anzeige der Rufnummer des Anrufers angeboten, so muß der angerufene Nutzer die Möglichkeit haben, die Anzeige der Rufnummer eingehender Anrufe auf einfache Weise und gebührenfrei zu unterdrücken.

3. Wird die Anzeige der Rufnummer des Angerufenen angeboten, so muß der angerufene Nutzer die Möglichkeit haben, die Anzeige seiner Rufnummer beim anrufenden Nutzer auf einfache Weise und gebührenfrei zu unterdrücken.

4. Wird die Anzeige der Rufnummer des Anrufers und/oder des Angerufenen angeboten, so unterrichten die Organe und Einrichtungen der Gemeinschaft die Nutzer hierüber und über die in den Absätzen 1, 2 und 3 beschriebenen Möglichkeiten.

Artikel 37

Ausnahmen

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, daß es transparente Verfahren gibt, nach denen sie die Unterdrückung der Rufnummernanzeige aufheben können, und zwar

a) vorübergehend, wenn ein Nutzer beantragt hat, daß böswillige oder belästigende Anrufe zurückverfolgt werden;

b) permanent für Verwaltungseinheiten, die Notrufe bearbeiten, zum Zwecke der Beantwortung dieser Anrufe.

KAPITEL V

KONTROLLBEHÖRDE: DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE

Artikel 38

Kontrollbehörde: Der Europäische Datenschutzbeauftragte

1. Hiermit wird eine Kontrollbehörde, der Europäische Datenschutzbeauftragte, eingerichtet.

2. Er ist für die Überwachung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verantwortlich.

Artikel 39

Ernennung

1. Der Europäische Datenschutzbeauftragte wird auf Vorschlag der Kommission im Einverständnis von Europäischem Parlament, Rat und Kommission ernannt.

2. Der Europäische Datenschutzbeauftragte wird aus dem Kreis der Personen ausgewählt, die in ihren jeweiligen Ländern den unabhängigen Behörden angehören oder angehört haben, die die Verarbeitung personenbezogener Daten überwachen, oder die für dieses Amt besonders qualifiziert sind.

3. Eine Wiederernennung des Europäischen Datenschutzbeauftragten ist zulässig.

4. Der Europäische Datenschutzbeauftragte bleibt bis zur Neubesetzung im Amt.

5. Ausser bei normaler Neubesetzung oder im Todesfall enden die Aufgaben des Europäischen Datenschutzbeauftragten, wenn er von seinem Mandat zurücktritt oder nach Absatz 6 seines Amtes enthoben wird.

6. Der Europäische Datenschutzbeauftragte kann auf Antrag des Europäischen Parlaments des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben werden, wenn er die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfuellt oder eine schwere Verfehlung begangen hat.

7. Vorbehaltlich der Bestimmungen dieses Kapitels finden die für die Richter des Gerichtshofes geltenden Bestimmungen des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften auf den Europäischen Datenschutzbeauftragten Anwendung.

Artikel 40

Arbeitsbedingungen

1. Das Europäische Parlament, der Rat und die Kommission legen im Einverständnis die Arbeitsbedingungen des Europäischen Datenschutzbeauftragten fest, insbesondere sein Gehalt, seine Zulagen und alle Vergütungen, die anstelle von Dienstbezuegen erfolgen.

2. Das Europäische Parlament gewährleistet, daß der Europäische Datenschutzbeauftragte mit dem für die Erfuellung seiner Aufgaben erforderlichen Personal und der erforderlichen Ausrüstung ausgestattet wird.

3. Die personelle und materielle Ausstattung werden in einem gesonderten Kapitel des Haushalts des Europäischen Parlaments aufgeführt.

4. Das Personal wird vom Europäischen Datenschutzbeauftragten eingestellt. Sein Vorgesetzter ist der Europäische Datenschutzbeauftragte, es untersteht ausschließlich seiner Leitung.

5. Für die Beamten und die sonstigen Angehörigen des Personals gelten die Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften.

6. In Personalfragen hat der Europäische Datenschutzbeauftragte denselben Status wie die Organe im Sinne von Artikel 1 des Statuts der Beamten der Europäischen Gemeinschaften.

Artikel 41

Unabhängigkeit

1. Der Europäische Datenschutzbeauftragte nimmt die ihm zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

2. Der Europäische Datenschutzbeauftragte fordert bei der Erfuellung seiner Pflichten von keiner Stelle Anweisungen an oder nimmt sie entgegen.

3. Der Europäische Datenschutzbeauftragte unterlässt alle mit seinen Pflichten unvereinbaren Maßnahmen und übt während seiner Amtszeit keine andere entgeltliche oder unentgeltliche Tätigkeit aus.

4. Nach seiner Amtszeit wird der Europäische Datenschutzbeauftragte im Hinblick auf die Annahme von Mandaten und Leistungen ehrenhaft und zurückhaltend handeln.

Artikel 42

Verschwiegenheitspflicht

Der Europäische Datenschutzbeauftragte und sein Personal unterliegen während ihrer Amtszeit und nach deren Beendigung der beruflichen Schweigepflicht im Hinblick auf alle vertraulichen Angelegenheiten, die ihnen bei der Erfuellung ihrer Pflichten bekannt geworden sind.

Artikel 43

Aufgaben

Der Europäische Datenschutzbeauftragte

a) nimmt Beschwerden entgegen und prüft sie;

b) überwacht alle Verarbeitungen, die personenbezogene Daten betreffen, durch alle Organe oder Einrichtungen der Gemeinschaft mit Ausnahme des Gerichtshofs und des Gerichts erster Instanz bei Handlungen in ihrer gerichtlichen Eigenschaft;

c) berät alle Organe und Einrichtungen der Gemeinschaft in allen Fragen, die die Verwendung personenbezogener Daten betreffen, insbesondere bevor sie interne Regeln bezueglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten ausarbeiten;

d) verfolgt die Entwicklung der Informations- und Kommunikationstechniken, soweit diese sich auf den Schutz personenbezogener Daten auswirken;

e) arbeitet, soweit dies für die Erfuellung seiner Pflichten erforderlich ist, mit den einzelstaatlichen Kontrollstellen zusammen, insbesondere durch den Austausch aller sachdienlichen Informationen oder durch die Aufforderung der Kontrollstelle eines Mitgliedstaats, ihre Befugnisse auszuüben;

f) nimmt an den Arbeiten der durch Artikel 29 der Richtlinie 95/46/EG eingesetzten "Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten" teil;

g) führt ein Register der ihm gemeldeten Verarbeitungen;

h) nimmt eine Vorabkontrolle der ihm gemeldeten Verarbeitungen vor.

Artikel 44

Konsultation

1. Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Entwürfen für Maßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Gemeinschaft allein oder gemeinsam mit anderen beteiligt ist.

2. Der Europäische Datenschutzbeauftragte wird von der Kommission über alle Entwürfe von Vorschlägen für Rechtsvorschriften der Gemeinschaft unterrichtet, die eine Verarbeitung personenbezogener Daten beinhalten.

3. Der Europäische Datenschutzbeauftragte kann von jedem Organ oder jeder Einrichtung der Gemeinschaft zu allen Vorgängen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu Rate gezogen werden.

Artikel 45

Eingabe

1. Jede bei den Organen oder Einrichtungen der Gemeinschaft beschäftigte Person kann sich in einer Angelegenheit, die sie oder ihre Aufgaben betrifft, mit einer Eingabe an den Europäischen Datenschutzbeauftragten wenden, ohne daß der Dienstweg einzuhalten ist.

2. Niemand darf aufgrund einer Eingabe oder einer Beschwerde beim Europäischen Datenschutzbeauftragten, die auf einen Verstoß gegen die Vorschriften für die Verarbeitung personenbezogener Daten hinweist, benachteiligt werden.

Artikel 46

Befugnisse

1. Der Europäische Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

a) er führt aus eigener Initiative oder aufgrund von Beschwerden oder Eingaben Untersuchungen durch,

b) er erhält unverzueglich alle Auskünfte betreffend seine Untersuchungen,

c) er hat jederzeit Zutritt zu allen Diensträumen.

Alle für die Verarbeitung Verantwortlichen unterstützen den Europäischen Datenschutzbeauftragten bei der Erfuellung seiner Aufgaben.

2. Der Europäische Datenschutzbeauftragte ist befugt,

a) die Berichtigung, Sperrung, Löschung oder Vernichtung aller Daten anzuordnen, die unter Verletzung der Bestimmungen für die Verarbeitung personenbezogener Daten verarbeitet wurden,

b) die Verarbeitung vorübergehend oder endgültig zu verbieten,

c) den für die Verarbeitung Verantwortlichen zu ermahnen oder zu verwarnen,

d) dem betroffenen Organ oder der betroffenen Einrichtung der Gemeinschaft und falls erforderlich dem Europäischen Parlament, dem Rat und der Kommission und über die Angelegenheit zu berichten,

e) in Verfahren vor dem Gerichtshof und dem Gericht erster Instanz zu intervenieren,

f) die betroffenen Personen zu beraten und sie gegebenenfalls als Sachverständiger in Verfahren vor dem Gericht erster Instanz zu unterstützen.

3. Stellt der Europäische Datenschutzbeauftragte einen Verstoß gegen die Bestimmungen für die Verarbeitung personenbezogener Daten oder Unregelmässigkeiten bei der Verarbeitung fest, so befasst er das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft mit der Angelegenheit und macht gegebenenfalls Vorschläge, um diese Unregelmässigkeiten zu beheben und den Schutz der betroffenen Personen zu verbessern.

4. Die betroffenen Organe oder Einrichtungen übermitteln dem Europäischen Datenschutzbeauftragten ihre Stellungnahme innerhalb der von ihm gesetzten Frist. Diese Stellungnahme umfasst auch eine Beschreibung der im Anschluß an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

5. Im Fall einer Beschwerde oder Eingabe unterrichtet der Europäische Datenschutzbeauftragte die betroffenen Personen über das Ergebnis der Untersuchungen.

6. Wurde der betroffenen Person der Zugang verweigert, so unterrichtet der Europäische Datenschutzbeauftragte die betroffene Person nur darüber, ob die Daten richtig verarbeitet wurden und, falls nicht, ob die erforderlichen Berichtigungen vorgenommen wurden. Ist der Europäische Datenschutzbeauftragte der Ansicht, daß die Einschränkung des Rechts auf Bestätigung nach Artikel 13 Buchstabe a) ihrer Wirkung beraubt wird, wenn diese Information mitgeteilt wird, so unterrichtet er die betroffene Person nicht über das Ergebnis seiner Untersuchungen.

7. Klagen gegen Entscheidungen des Europäischen Datenschutzbeauftragten, können beim Gerichtshof oder dem Gericht erster Instanz erhoben werden.

Artikel 47

Tätigkeitsbericht

1. Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament jährlich einen Bericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.

2. Der Bericht wird den übrigen Organen und Einrichtungen der Gemeinschaft übermittelt und vom Europäischen Parlament gemeinsam mit deren Erwiderungen erörtert.

KAPITEL VI

SCHLUSSBESTIMMUNGEN

Artikel 48

Übergangsvorschriften

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, daß die zum Zeitpunkt des Inkrafttretens dieser Verordnung begonnene Datenverarbeitung innerhalb eines Jahres mit dieser Verordnung in Einklang gebracht wird.

Artikel 49

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am

Im Namen des Europäischen Parlaments Im Namen des Rates

Der Präsident Der Präsident

ANHANG I

1. Der behördliche Datenschutzbeauftragte ist auf der Grundlage seiner Autorität, seiner Fachkunde und seiner persönlichen Zuverlässigkeit auszuwählen.

2. Die Bestellung des behördlichen Datenschutzbeauftragten darf keinen Interessenkonflikt im Hinblick auf andere Aufgaben, insbesondere in Verbindung mit der Anwendung der Bestimmungen dieser Verordnung nach sich ziehen.

3. Der behördliche Datenschutzbeauftragte wird für eine Amtszeit von mindestens zwei Jahren bestellt. Eine Wiederbestellung ist möglich. Die Bestellung kann nur mit Zustimmung des Europäischen Datenschutzbeauftragten widerrufen werden, wenn der behördliche Datenschutzbeauftragte die für die Erfuellung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfuellt.

4. Im Hinblick auf die Erfuellung seiner Aufgaben darf der behördliche Datenschutzbeauftragte keinen Weisungen unterworfen sein.

5. Nach seiner Bestellung ist der behördliche Datenschutzbeauftragte durch das Organ oder die Einrichtung (oder Person), die ihn bestellt haben, beim Europäischen Datenschutzbeauftragten einzutragen.

6. Der behördliche Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes machen und das Organ oder die Einrichtung der Gemeinschaft, die ihn bestellt haben, sowie den für die Verarbeitung Verantwortlichen in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus prüft er in eigener Initiative oder auf Ersuchen des Organs oder der Einrichtung der Gemeinschaft, die ihn bestellt haben, des für die Verarbeitung Verantwortlichen, des zuständigen Personalausschusses oder der betroffenen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden.

7. Das Organ oder die Einrichtung der Gemeinschaft, die ihn bestellt haben, der für die Verarbeitung Verantwortliche, der betreffende Personalausschuß sowie jede Person können den behördlichen Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung der Verordnung zu Rate ziehen, ohne den Dienstweg einzuhalten.

8. Niemand darf aus dem Grunde benachteiligt werden, daß dem behördlichen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht wurde, die auf eine Verletzung der Bestimmungen dieser Verordnung hinweist.

9. Jeder für die Verarbeitung Verantwortliche hat den behördlichen Datenschutzbeauftragten bei der Erfuellung seiner Aufgaben zu unterstützen und auf Anfrage Auskunft zu erteilen. Bei der Erfuellung seiner Aufgaben hat der behördliche Datenschutzbeauftragte jederzeit Zugang zu den Daten, die Gegenstand der Verarbeitung sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern und kann die notwendigen Informationen einholen.

10. Er ist soweit erforderlich von anderen Tätigkeiten freizustellen. Der behördliche Datenschutzbeauftragte und sein Personal, auf die Artikel 287 EG-Vertrag Anwendung findet, unterliegen im Hinblick auf Informationen oder Dokumente, die sie bei der Erfuellung ihrer Aufgaben erhalten, der Verschwiegenheitspflicht.

ANHANG II

1. Name und Anschrift des für die Verarbeitung Verantwortlichen.

2. Namen der Personen und/oder Angabe der organisatorischen Einheiten eines Organs oder einer Einrichtung, die mit der Verarbeitung personenbezogener Daten für einen bestimmten Zweck beauftragt sind.

3. Zweckbestimmung(en) der Verarbeitung.

4. Eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezueglichen Daten oder Datenkategorien.

5. Die Rechtsgrundlage der Verarbeitung, für die die Daten beabsichtigt sind.

6. Die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können.

7. Die Fristen für Sperrung und Löschung der verschiedenen Datenkategorien.

8. Geplante Datenübermittlungen in Drittländer.

9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 23 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

ERLÄUTERUNG DER ARTIKEL

Nach dem neuen Artikel 286 EG-Vertrag sind die Organe und Einrichtungen der Gemeinschaft verpflichtet, die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten anzuwenden. Diese Verpflichtung schränkt die Gestaltungsfreiheit der Kommission in bezug auf Inhalt und Anwendungsbereich der in dieser Verordnung enthaltenen materiellrechtlichen Datenschutzbestimmungen erheblich ein. Artikel 286 EG-Vertrag verpflichtet mit anderen Worten die Kommission, die durch die Richtlinie 95/46/EG gesteckten Grenzen zu beachten. Dies ist auch der wesentliche Grund, warum die Verordnung eng dem Wortlaut und Aufbau der Richtlinie 95/46/EG folgt. Ausserdem muß eine einheitliche Auslegung von Richtlinie und Verordnung sichergestellt sein.

Der Wortlaut der Verordnung entspricht allerdings nicht vollständig der Richtlinie. Die Richtlinie gibt einen Rahmen vor, der eine weitere Umsetzung entweder durch innerstaatliches Recht für die Mitgliedstaaten oder durch diese Verordnung für die Organe und Einrichtungen der Gemeinschaft erfordert. Die Verordnung ist daher präziser und detaillierter als die Richtlinie. In einigen Bereichen lässt die Richtlinie eine Wahl zwischen mehreren Alternativen. Auch aus diesem Grund weicht der Wortlaut der Verordnung von der Richtlinie ab. Durch die Verordnung wird die in Artikel 286 genannte unabhängige Kontrollinstanz errichtet, die einer ausführlicheren Regelung als in der Richtlinie bedarf, die die Umsetzung dem innerstaatlichen Recht der Mitgliedstaaten überlässt.

Die nachfolgenden Ausführungen konzentrieren sich auf die Verordnungsbestimmungen, die von den entsprechenden Richtlinienbestimmungen abweichen.

Kapitel I: Allgemeine Bestimmungen

Artikel 1: Gegenstand der Verordnung

Artikel 1 betrifft den Gegenstand der Verordnung. Die Schutzleistung erstreckt sich nicht nur auf die Verarbeitungen von Daten, die Bedienstete der Organe oder jede andere, für diese arbeitende Person betreffen, sondern auch auf Verarbeitungen von Daten, die jede natürliche Person ausserhalb der Organe betreffen: beispielsweise Lieferanten oder Begünstigte von Gemeinschaftsfonds. Auch die der Kommission von den Mitgliedstaaten zur Verwaltung oder Kontrolle der Zahlung von Gemeinschaftszuschüssen übermittelten personenbezogenen Informationen werden aufgrund dieser Verordnung geschützt.

Hervorzuheben ist, daß sich der Gegenstand dieser Verordnung von dem der Richtlinie unterscheidet.

Die Richtlinie, die sich auf Artikel 100 a EG-Vertrag stützt, zielt darauf ab, die Erfordernisse, die der Errichtung des Binnenmarkts zugrunde liegen, mit denen des Schutzes der natürlichen Personen zu vereinbaren. Dies kommt in den beiden Absätzen von Artikel 1 zum Ausdruck: Der erste enthält die Verpflichtung der Mitgliedstaaten, den Schutz der Grundrechte und -freiheiten natürlicher Personen nach den Bestimmungen der Richtlinie zu gewährleisten, während im zweiten die Konsequenzen für den freien Verkehr personenbezogener Daten im Binnenmarkt gezogen werden. Der erste Absatz bezieht sich mit anderen Worten auf das zur Erreichung des Ziels eingesetzte Mittel, nämlich auf die Harmonisierung der nationalen Rechtsvorschriften, der zweite auf das Ziel an sich, d.h. den freien Verkehr personenbezogener Daten.

Diese Logik muß in Artikel 1 der vorliegenden Verordnung nicht wiederholt werden.

Durch die Verordnung soll die Verpflichtung der Organe und Einrichtungen der Gemeinschaft, die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihr Recht auf Privatsphäre bei der Verarbeitung ihrer personenbezogenen Daten, zu schützen, konkretisiert werden.

Auf diese Weise wird sichergestellt, daß die für die Erfuellung ihrer Aufgaben an die Organe und Einrichtungen der Gemeinschaft übermittelten personenbezogenen Daten unter Bedingungen verarbeitet werden, die die Einhaltung der Grundrechte und -freiheiten der betroffenen Personen garantieren. Diese Bedingungen folgen im übrigen den Vorgaben der Richtlinie.

Es ist nicht erforderlich, in die Verordnung eine ähnliche Bestimmung wie Artikel 1 Absatz 2 der Richtlinie aufzunehmen, da der Informationsfluß, insbesondere der Verkehr personenbezogener Informationen zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft sowie zwischen den Organen und Einrichtungen der Gemeinschaft, den einschlägigen Bestimmungen der Verträge (wie Artikel 284 EG-Vertrag) und des abgeleiteten Gemeinschaftsrechts unterliegt.

Im übrigen beeinträchtigt diese Verordnung selbstverständlich nicht die Rechte, die möglicherweise durch andere gemeinschaftliche oder nationale Bestimmungen garantiert sind. Dies gilt insbesondere für die durch das Statut für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften festgelegten Regeln.

Artikel 2: Begriffsbestimmungen

Dieser Artikel greift die Definitionen des Artikels 2 der Richtlinie wieder auf.

Die Begriffsbestimmung des "für die Verarbeitung Verantwortlichen" wurde allerdings an den spezifischen Gemeinschaftskontext angepasst. Hier handelt es sich um eine Präzisierung allein in tatsächlicher Hinsicht, die hervorhebt, daß je nach Situation der Verantwortliche ein Organ oder eine Einrichtung bzw. eine Verwaltungsdienststelle wie beispielsweise eine Generaldirektion sein kann. Die Kriterien, anhand deren sich bestimmen lässt, wer als Verantwortlicher einer Datenverarbeitung anzusehen ist, sind der Richtlinie entnommen. Es handelt sich um die Stelle, die über die Zweckbestimmung der Verarbeitung und die Mittel für ihre Durchführung entscheidet.

Artikel 3: Anwendungsbereich

Absatz 1: Organe und Einrichtungen, auf die die Verordnung Anwendung findet

Die Verordnung gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft.

Infolgedessen fällt in den Anwendungsbereich der Verordnung die Verarbeitung durch

- die in Artikel 7 EG-Vertrag aufgelisteten Organe: Europäisches Parlament, Rat, Kommission, Gerichtshof, Rechnungshof;

- die durch den EG-, EGKS- und EAG-Vertrag gegründeten Einrichtungen: Europäische Zentralbank, Europäische Investitionsbank, Bürgerbeauftragter, Wirtschafts- und Sozialausschuß, Ausschuß der Regionen;

- die auf der Grundlage von Rechtsakten des abgeleiteten Gemeinschaftsrechts (z. B. gestützt auf Artikel 308 EG-Vertrag) geschaffenen Einrichtungen: Europäisches Zentrum für die Förderung der Berufsbildung, Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen, Europäische Umweltagentur, Europäische Stiftung für Berufsbildung, Europäische Beobachtungsstelle für Drogen und Drogensucht, Europäische Agentur für die Beurteilung von Arzneimitteln, Harmonisierungsamt für den Binnenmarkt (Marken und Muster), Europäische Agentur für Gesundheitsschutz und Sicherheit am Arbeitsplatz, Gemeinschaftliches Sortenamt, Übersetzungszentrale für die Einrichtungen der Union.

Die Verordnung findet auf die Verarbeitung von Daten im Zusammenhang mit allen Tätigkeiten der Organe und Einrichtungen der Gemeinschaft Anwendung. Ein Unterschied zwischen diesen Tätigkeiten wird nicht gemacht: Es kann sich um Tätigkeiten aufgrund des EG-, EGKS-, EAG-Vertrags oder gegebenenfalls auch um Tätigkeiten aufgrund von Titel VI des Vertrags über die Europäische Union handeln.

Die Verarbeitung personenbezogener Daten durch die im Rahmen des Titels VI des EU-Vertrags geschaffenen Einrichtungen wie Europol wird hingegen vom Anwendungsbereich dieser Verordnung nicht erfasst.

Absatz 2: Unter die Verordnung fallende Verarbeitung von Daten

Dieser Absatz greift Artikel 3 Absatz 1 der Richtlinie auf: Er betrifft die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung solcher Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Kapitel II: Allgemeine Bestimmungen über die Rechtmässigkeit der Verarbeitung personenbezogener Daten

Abschnitt 1: Grundsätze in bezug auf die Qualität der Daten

Artikel 4

Dieser Artikel übernimmt die Bestimmungen des Artikels 6 der Richtlinie.

Insbesondere enthält er unter den Buchstaben b) und c) die Ausnahmebestimmungen, die die spätere Verwendung von Daten für historische, statistische oder wissenschaftliche Zwecke ermöglichen, wobei allerdings geeignete Garantien vorgesehen werden müssen.

Dem Text zufolge müssen die geeigneten Garantien von dem Organ oder der Einrichtung vorgesehen werden, die den betreffenden historischen, statistischen oder wissenschaftlichen Zweck verfolgen.

Die weitere Verarbeitung für andere Zwecke als jene, für die die Daten ursprünglich erhoben wurden, kann durch Rechtsvorschriften wie Artikel 16 der Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftstatistiken, der die Verwendung von Verwaltungsdaten vorsieht, um die Belastung für die Auskunftgebenden möglichst gering zu halten, ausdrücklich zugelassen werden.

Abschnitt 2: Kriterien für die Zulässigkeit der Verarbeitung personenbezogener Daten

Artikel 5

Dieser Artikel enthält wie Artikel 7 der Richtlinie eine erschöpfende Liste der Kriterien für die Zulässigkeit der Datenverarbeitung.

Allerdings wurden drei Änderungen vorgenommen:

- Die Liste wurde anders strukturiert;

- sie ist kürzer;

- der Wortlaut eines der Kriterien wurde präzisiert.

- Die Liste wurde anders strukturiert: Die Kriterien wurden nach der praktischen Bedeutung geordnet, die bei Behörden wie den Organen und Einrichtungen der Gemeinschaft erwartet werden kann. Insbesondere scheint es logisch, die Wahrnehmung der den Organen und Einrichtungen der Gemeinschaft obliegenden Aufgaben als erste Voraussetzung für die Zulässigkeit der Datenverarbeitung zu nennen. Der gleichen Logik zufolge dürften die Einwilligung der betroffenen Personen oder ihre lebenswichtigen Interessen, auch wenn sie als Kriterium erforderlich sind, um bestimmte Tätigkeiten der Organe und Einrichtungen beispielsweise im Zusammenhang mit der Verwaltung ihrer ärztlichen Dienste zu erfuellen, in der Praxis nicht die am häufigsten verwendeten Voraussetzungen für die Zulässigkeit der Verarbeitung sein.

- Die Liste ist kürzer: Buchstabe f) des Artikels 7 der Richtlinie wurde nicht übernommen. Diese Bestimmung, die die Zulässigkeit der Verarbeitung auf das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten stützt, sofern nicht das Interesse der Person, deren Daten verarbeitet werden, vorgeht, findet im Tätigkeitsbereich des öffentlichen Dienstes keine Anwendung. Ihr breiterer Anwendungsbereich sollte nur privatwirtschaftliche Tätigkeiten erfassen.

- Anpassung des Wortlauts von Buchstabe a): Dieser Buchstabe greift Buchstabe e) des Artikels 7 der Richtlinie auf und passt ihn an den Gemeinschaftskontext an: Träger der öffentlichen Gewalt, auf deren Grundlage Datenverarbeitungen vorgenommen werden können, sind die Organe und Einrichtungen der Gemeinschaft. Buchstabe a) schließt die für die tägliche Verwaltung der Gemeinschaftsorgane und -einrichtungen notwendige Verarbeitung ein, wie die Verarbeitung personenbzogener Daten von Beamten und sonstigen Bediensteten.

Artikel 6: Änderung der Zweckbestimmung

Dieser Artikel bezieht sich auf die Verarbeitung von Daten für einen anderen Zweck als den, für den die Daten erfasst wurden, der aber gleichwohl mit letzterem vereinbar ist.

Nach Absatz 1 muß die Änderung der Zweckbestimmung durch die Geschäftsordnung des betreffenden Organs oder der Einrichtung legitimiert sein.

Die Absätze 2 und 3 regeln zwei besondere Fälle, in denen die Zweckbestimmung geändert wurde. Nach Absatz 2 können personenbezogene Daten trotz geänderter Zweckbestimmung verarbeitet werden, um die Einhaltung der Finanz- und Haushaltsvorschriften zu gewährleisten, während Absatz 3 die Verarbeitung personenbezogener Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -vorgänge erfasst werden, für andere Zwecke verbietet.

Artikel 6 gilt unbeschadet von Artikel 18, der bestimmt, unter welchen Voraussetzungen die weitere Verarbeitung von Daten für nicht kompatible Zweckbestimmungen als zulässig angesehen werden kann.

Artikel 7, 8 und 9: Übermittlung personenbezogener Daten

Die Artikel 7, 8 und 9 unterscheiden drei Arten der Datenübermittlung.

Artikel 7 regelt die Übermittlung personenbezogener Daten innerhalb der Organe oder Einrichtungen der Gemeinschaft sowie an andere Organe oder Einrichtungen der Gemeinschaft. In diesem Fall werden personenbezogene Daten an Empfänger übermittelt, die ebenfalls dieser Verordnung unterliegen.

Artikel 8 regelt die Übermittlung personenbezogener Daten von einem Organ oder einer Einrichtung der Gemeinschaft an einen Empfänger, für den die Richtlinie 95/46/EG maßgebend ist.

Die Artikel 7 und 8 gelten unbeschadet der Artikel 4, 5 und 6. Sie enthalten zusätzliche Garantien und präzisieren die Verantwortung des für die Verarbeitung Verantwortlichen und des Empfängers (Artikel 7).

Artikel 9: Übermittlung personenbezogener Daten an Empfänger, für die keine angemessenen Schutzbestimmungen gelten

Artikel 9, der die Artikel 25 und 26 der Richtlinie aufgreift, betrifft die Übermittlung personenbezogener Daten an Empfänger, die weder dieser Verordnung noch der Richtlinie 95/46/EG unterliegen. In den meisten Fällen dürfte es sich um die Datenübermittlung in Drittländer handeln. Die Verfahrensvorschriften von Artikel 9 wurden, soweit möglich, der Richtlinie nachgebildet.

Abschnitt 3: Besondere Kategorien der Verarbeitung

Artikel 10: Die Verarbeitung besonderer Kategorien personenbezogener Daten

Dieser Artikel folgt der Struktur von Artikel 8 der Richtlinie insoweit als

- zum einen in Absatz 1 ein Verbot der Verarbeitung sensibler Daten ausgesprochen wird, wobei folgende Datenkategorien als sensibel angesehen werden: Daten, aus denen die rassische oder ethnische Herkunft, die politische Meinung, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit und Sexualleben; und

- zum anderen eine Reihe von Ausnahmen festgelegt werden, die besonderen Erfordernissen entsprechen und für die geeignete Garantien vorgesehen sind.

Das Statut für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften enthält bereits Bestimmungen, die die Aufnahme bestimmter sensibler Daten in die Personalakte des Beamten verbieten. Artikel 26 des Statuts nennt die politische, philosophische oder religiöse Überzeugung eines Beamten. Die anderen Daten, die in der Richtlinie als sensibel angesehen werden, sind im Statut nicht aufgeführt. Hier bedarf es zu gegebener Zeit einer Anpassung an die vorliegende Verordnung.

Die Ausnahmebestimmungen im Hinblick auf strafrechtliche Verurteilungen nach Artikel 8 Absatz 5 der Richtlinie finden auf die Organe und Einrichtungen der Gemeinschaft nur teilweise Anwendung.

Der Europäische Datenschutzbeauftragte kann gemäß den Absätzen 4 bis 6 zusätzliche Ausnahmen beschließen (Absatz 4), die Verarbeitung von Daten zuzulassen, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen (Absatz 5), und festlegen, unter welchen Voraussetzungen Personalnummern oder andere Kennzeichen in einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden dürfen (Absatz 6).

Beispielsweise kann die für die Verhinderung unerlaubter Nutzung, beispielsweise zur Verbreitung von rassistischen Informationen oder Pornographie, von Computer Netzwerken notwendige Verarbeitung vom Europäischen Datenschutzbeauftragten genehmigt werden,

Der Europäische Datenschutzbeauftragte darf sein Ermessen gemäß den Absätzen 4 bis 6 nicht in einer Weise nutzen, die den im Gemeinschaftsrecht oder in anderen Rechtsvorschriften festgelegten Ausnahmen zuwiderläuft.

Schließlich wird vorgeschlagen, die den Mitgliedstaaten in Artikel 8 Absatz 5 zweiter Unterabsatz der Richtlinie eingeräumte Option, wonach die für strafrechtliche Sanktionen geltenden Regelungen auf administrative Strafen und zivilrechtliche Urteile ausgeweitet werden können, nicht in diese Verordnung zu übernehmen.

Abschnitt 4: Information der betroffenen Person

Artikel 11: Information bei der Erhebung personenbezogener Daten bei der betroffenen Person

Artikel 11 Absatz 1 lehnt sich eng an Artikel 10 der Richtlinie an.

Dazu sind allerdings zwei Bemerkungen zu machen:

- Zum Auskunftspflichtigen: Der Verweis auf den Vertreter des Verantwortlichen in Artikel 10 der Richtlinie gilt für den Fall, daß der für die Verarbeitung Verantwortliche seinen Sitz nicht im Hoheitsgebiet der Gemeinschaft, sondern in einem Drittland hat. Da es sich um die Organe und Einrichtungen der Gemeinschaft handelt, ist eine solche Bezugnahme irrelevant und wurde deshalb in die vorliegende Verordnung nicht aufgenommen;

- Im Hinblick auf die Informationen, die den betroffenen Personen zu erteilen sind, enthält Artikel 11 dieser Verordnung wie Artikel 10 der Richtlinie eine Auflistung dieser Angaben. Es wird vorgeschlagen, die in der Richtlinie vorgesehene Minimalliste zu ergänzen.

Artikel 10 der Richtlinie enthält keine ausdrückliche Festlegung des Zeitpunktes der Informationsvermittlung an den Betroffenen. Im allgemeinen ist dies der Zeitpunkt der Erhebung der Daten. Artikel 11 Absatz 2 erlaubt eine Verschiebung dieses Zeitpunkts soweit aus den besonders in dieser Vorschrift genannten Gründen.

Artikel 12: Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden

Die Bemerkungen zu Artikel 11 gelten auch für Artikel 12. Die Ausnahmen von der Informationspflicht nach Artikel 11 der Richtlinie wurden mit dem Zusatz übernommen, daß es sich bei der Rechtsvorschrift, auf die eine solche Ausnahmeregelung gestützt werden kann, um Gemeinschaftsrecht handelt.

Abschnitt 5: Auskunftsrecht der betroffenen Person

Der grösseren Klarheit halber wurde der Inhalt von Artikel 12 der Richtlinie durch die Artikel 13 bis 17 wiedergegeben.

Ausserdem wurde der Wortlaut in einigen Punkten präzisiert.

Artikel 13: Auskunftsrecht

Dieser Artikel übernimmt Artikel 12 Buchstabe a) der Richtlinie. Eine Änderung gibt es im Hinblick auf die Kosten, deren Erstattung von der Person, die ihr Auskunftsrecht wahrnimmt, unter Umständen gefordert werden kann. Artikel 12 sieht vor, daß diese Kosten nicht übermässig sein dürfen, während die Verordnung völlige Kostenfreiheit vorsieht.

Ferner wird vorgeschlagen, von der in der Richtlinie vorgesehenen Möglichkeit, die Auskunftspflicht des für die Verarbeitung Verantwortlichen im Hinblick auf den logischen Aufbau der automatisierten Verarbeitung der Daten auf automatisierte Entscheidungen zu beschränken, keinen Gebrauch zu machen.

Artikel 14: Berichtigung

Wie die Artikel 15 und 16 bezieht sich dieser Artikel auf eine der drei Maßnahmen, die der für die Verarbeitung Verantwortliche zu treffen hat, wenn sich herausstellt, daß die Verarbeitung der Daten nicht mit der Verordnung im Einklang steht. Diese drei Artikel der vorliegenden Verordnung greifen Artikel 12 Buchstabe b) der Richtlinie auf, enthalten aber einige Präzisierungen.

Artikel 15: Sperrung

Dieser Artikel beschreibt relativ ausführlich,

- wann Daten zu sperren sind: Bestreitung der Richtigkeit der verarbeiteten Daten, Speicherung der Daten zu Beweiszwecken und Antrag der betroffenen Person auf Sperrung statt Löschung der Daten;

- und unter welchen Voraussetzungen gesperrte Daten erneut verwendet werden können.

Artikel 16: Löschung

Absatz 1 schreibt vor, daß personenbezogene Daten zu löschen sind, wenn ihre Verarbeitung unrechtmässig war, d. h. unter anderem wenn die Anforderungen in bezug auf die Datenqualität, die Zulässigkeit der Verarbeitung und sensible Daten nicht beachtet wurden.

Absatz 2 wiederholt den Grundsatz, daß personenbezogene Daten nur so lange gespeichert bleiben sollen, wie dies für die Erreichung des Zwecks, für den sie erfasst worden sind, erforderlich ist.

Artikel 17: Mitteilung an Dritte

Dieser Artikel übernimmt Artikel 12 Buchstabe c) der Richtlinie.

Abschnitt 6: Ausnahmen und Einschränkungen

Artikel 18: Ausnahmen und Einschränkungen

Dieser Artikel greift teilweise Artikel 13 der Richtlinie auf, der den Mitgliedstaaten bestimmte Möglichkeiten lässt, die allerdings, wenn von ihnen Gebrauch gemacht wird, bestimmten Voraussetzungen entsprechen müssen:

- Rechte der betroffenen Personen und Pflichten des für die Verarbeitung Verantwortlichen, die eingeschränkt werden können: Im Gegensatz zu Artikel 13 der Richtlinie enthält dieser Artikel eine Ausnahme von der Pflicht zur Unterrichtung der betroffenen Personen (Artikel 11 und 12) und deren Auskunftsrecht (Artikel 13). Die Voraussetzungen, unter denen von dem Erfordernis der Datenqualität abgewichen werden kann, wenn es sich um eine kompatible Zweckbestimmung handelt, sind bereits in Artikel 6 dieser Verordnung im Zusammenhang mit der Änderung der Zweckbestimmung behandelt worden. Im übrigen ist es nicht zweckmässig, in Artikel 18 dieser Verordnung auf die Artikel 14 bis 16 Bezug zu nehmen. Die Wahrnehmung der in diesen Artikeln vorgesehenen Rechte setzt voraus, daß das Auskunftsrecht gewährt wurde. Ohne Auskunft können diese Rechte nicht funktionieren; wird sie gewährt, so ist eine Ausnahme von diesen Rechten nicht mehr gerechtfertigt.

- Gründe für die Einschränkung der Rechte der betroffenen Personen: Die in Artikel 13 Absatz 1 Buchstaben a), b) und c) der Richtlinie aufgelisteten Gründe der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit wurden nicht übernommen, weil sie auf die Organe und Einrichtungen der Gemeinschaft nicht anwendbar sind.

- Erforderliche Garantien: Artikel 13 der Richtlinie lässt Ausnahmen nicht generell zu, sondern gestattet lediglich punktülle Ausnahmen und Beschränkungen. Aus diesem Grund enthalten die Absätze 3 und 4 von Artikel 18 verschiedene Garantien zum Schutz der betroffenen Personen, denen im Einzelfall das Auskunftsrecht verweigert wird: Das Recht, über die wichtigsten Gründe für eine Verweigerung des Auskunftsrechts informiert zu werden, über die Möglichkeit, den Europäischen Datenschutzbeauftragten zu befassen, sowie das Recht auf nachträgliche Information.

Abschnitt 7: Widerspruchsrecht der betroffenen Person

Artikel 19: Widerspruchsrecht der betroffenen Person

Dieser Artikel übernimmt Artikel 14 Buchstabe a) der Richtlinie, der den Mitgliedstaaten im Hinblick auf den Anwendungsbereich dieses Rechts einen gewissen Spielraum lässt. In dieser Verordnung sind deshalb Präzisierungen erforderlich.

Anzumerken ist, daß Artikel 14 Buchstabe b) über das Widerspruchsrecht im Bereich des Direktmarketing die Tätigkeit der Organe und Einrichtungen der Gemeinschaft nicht betrifft.

Ferner ist zum Anwendungsbereich des Widerspruchsrechts gemäß der Definition in Artikel 14 Buchstabe a) der Richtlinie anzumerken, daß die Bezugnahme auf die Datenverarbeitung gemäß Artikel 7 Buchstabe f) der Richtlinie - auf die sich Artikel 14 Buchstabe a) der Richtlinie bezieht - auf die Organe und Einrichtungen der Gemeinschaft nicht Anwendung finden kann, da - wie bereits hervorgehoben wurde - Artikel 7 Buchstabe f) in diesem spezifischen Gemeinschaftskontext nicht anwendbar ist.

Artikel 20: Beschwerderecht der betroffenen Person

Das Beschwerderecht ist die logische Folge aus der Befugnis des Europäischen Datenschutzbeauftragten, Eingaben nach Artikel 28 Absatz 4 der Richtlinie entgegenzunehmen.

Artikel 21: Automatisierte Einzelentscheidungen

Dieser Artikel greift Artikel 15 der Richtlinie auf.

Einige der in Artikel 15 Absatz 1 der Richtlinie aufgelisteten Beispiele zur Beurteilung bestimmter Aspekte der betroffenen Person sind im besonderen Kontext der Verordnung gegenstandslos und wurden somit nicht aufgenommen (insbesondere die Kreditwürdigkeit).

Abschnitt 8: Vertraulichkeit und Sicherheit der Verarbeitung

Artikel 22: Vertraulichkeit der Verarbeitung

Dieser Artikel folgt Artikel 16 der Richtlinie.

Es schien nicht sinnvoll, die für gesetzliche Verpflichtungen in der Richtlinie vorgesehene Ausnahmebestimmung aufzugreifen. Eine derartige Klausel würde sich mit Artikel 6 über die Änderung der Zweckbestimmung überschneiden.

Artikel 23: Sicherheit der Verarbeitung

Dieser Artikel greift mit weiteren Ausführungen Artikel 17 Absatz 1 der Richtlinie auf.

Absatz 1 entspricht Artikel 17 Absatz 1 zweiter Unterabsatz.

Absatz 2 ist den Sicherheitsmaßnahmen gewidmet, die bei manuell verarbeiteten Daten zu treffen sind.

Absatz 3 präzisiert Artikel 17 Absatz 1 erster Unterabsatz, der sehr allgemein formuliert ist. Er lehnt sich dabei an verschiedene Empfehlungen an, die vor kurzem vom Europarat zum Datenschutz angenommen wurden, sowie an das Übereinkommen zur Durchführung des Übereinkommens von Schengen (Artikel 118).

Die zu treffenden Sicherheitsmaßnahmen werden sich in der Praxis zweifellos in den umfassenderen Rahmen der Maßnahmen eingliedern, den die Organe und Einrichtungen im Bereich der Sicherheit der Informationssysteme bereits gesteckt haben (vgl. beispielsweise Beschluß der Kommission vom 23. November 1995 zum Schutz der Integrität, Vertraulichkeit und Disponibilität der Informationssysteme).

Artikel 24: Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

Dieser Artikel greift Artikel 17 Absätze 2 bis 4 der Richtlinie auf.

Abschnitt 9: Datenschutzbeauftragter eines Organs oder einer Einrichtung der Gemeinschaft

Artikel 25: Datenschutzbeauftragter

Dieser Artikel sieht vor, daß jedes Organ und jede Einrichtung einen Datenschutzbeauftragten zu bestellen hat, der beauftragt ist, die Anwendung des Datenschutzes innerhalb des entsprechenden Organs oder der entsprechenden Einrichtung auf unabhängige Art und Weise zu gewährleisten.

Die Bestellung von Datenschutzbeauftragten ist in Artikel 18 Absatz 2 der Richtlinie als Option für die Mitgliedstaaten vorgesehen. Danach ermöglicht die Bestellung eines Datenschutzbeauftragten eine Vereinfachung der Meldung oder gar eine Ausnahme von der Meldepflicht gegenüber der Kontrollstelle.

Die Richtlinie orientiert sich dabei an einer Praxis, die in einigen Mitgliedstaaten bereits eingeführt ist und die einen wirksamen Schutz der betroffenen Personen ermöglicht.

Zur Bestellung des Datenschutzbeauftragten, seinen Aufgaben, den Garantien, die vorzusehen sind, um ihm die Wahrnehmung seiner Aufgaben zu ermöglichen, sowie seiner Beziehung zu der Kontrollbehörde ist folgendes anzumerken.

- Bestellung des Datenschutzbeauftragten: Jedes Organ und jede Einrichtung ist verpflichtet, zumindest einen Datenschutzbeauftragten zu bestellen. Einige Organe - wie beispielsweise die Kommission - werden sich höchstwahrscheinlich veranlasst sehen, wegen des Umfangs der Verarbeitung personenbezogener Daten innerhalb des Organs mehrere Datenschutzbeauftragte zu benennen.

- Aufgaben des Datenschutzbeauftragten: Seine Hauptaufgabe wird in Absatz 1 dieses Artikels genannt. Der Wortlaut lehnt sich eng an die Richtlinie an: Er hat die innerbehördliche Anwendung des Datenschutzes zu gewährleisten und ein Verzeichnis aller durch das Organ oder die Einrichtung vorgenommenen Verarbeitungen zu führen. Der Schwerpunkt liegt in diesem Artikel auf der Aufgabe des Datenschutzbeauftragten, die betroffenen Personen und für die Verarbeitung Verantwortlichen über ihre Rechte und Pflichten im Bereich des Datenschutzes zu informieren. Eine solche Information ist die erste Voraussetzung für eine ordnungsgemässe Anwendung der Schutzbestimmungen der Richtlinie. Deshalb wurde dieser Punkt in Absatz 1 unter dem ersten Gedankenstrich hervorgehoben, obwohl er zum allgemeineren Wortlaut der Richtlinie inhaltlich nichts hinzufügt. Ausserdem werden dem Datenschutzbeauftragten verschiedene spezifischere Aufgaben übertragen, um ihm die Erfuellung seines Auftrags zu erleichtern: Er kann Vorschläge für die Verbesserung des Datenschutzes in dem Organ oder der Einrichtung vorbringen, und er kann von der Behörde, die ihn ernannt hat, dem für die Verarbeitung Verantwortlichen oder dem Personalausschuß konsultiert werden. Darüber hinaus ist er verpflichtet, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten (zweiter Gedankenstrich). Die im fünften Gedankenstrich festgelegte Verpflichtung erleichtert die Bestimmung der Datenverarbeitungen, die besondere Risiken enthalten, durch Vorabkontrolle des Europäischen Datenschutzbeauftragten.

- Garantien, die die Wahrnehmung der Aufgaben des Datenschutzbeauftragten ermöglichen: Die vorgesehenen Garantien zielen alle darauf ab, soweit möglich die grundlegende Voraussetzung zu unterstreichen, die den Status des Datenschutzbeauftragten entsprechend der Richtlinie charakterisieren muß, d.h. seine Unabhängigkeit.

Artikel 26 und 27: Eintragung beim Datenschutzbeauftragten

Im Interesse der Transparenz sieht Artikel 27 entsprechend dem Wortlaut der Richtlinie vor, daß der Datenschutzbeauftragte ein öffentliches Register der in dem Organ oder der Einrichtung erfolgten Verarbeitungen zu führen hat.

Um ihm diese Aufgabe zu erleichtern, können die für die Verarbeitung Verantwortlichen dem Datenschutzbeauftragten diese Verarbeitungen vor ihrer Durchführung melden.

Die Liste der dem Datenschutzbeauftragten zu übermittelnden Informationen ist Artikel 19 Absatz 1 der Richtlinie entnommen, auf den Artikel 21 Absatz 2 der Richtlinie verweist.

Bei der in der Richtlinie aufgeführten Liste handelt es sich um eine Minimalliste. Um die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen transparenter zu gestalten, wird vorgeschlagen, in diese Liste auch die Informationen über die Rechtsgrundlage der Verarbeitungen (beispielsweise die Bestimmungen des Gemeinschaftsrechts, die die Verarbeitung erforderlich machen) und die Dauer der Speicherung der Daten aufzunehmen. An dieser Stelle sei nochmals darauf hingewiesen, daß die in Artikel 19 Absatz 1 Buchstabe a) der Richtlinie genannte Vertretung des für die Verarbeitung Verantwortlichen nicht für die Organe und Einrichtungen der Gemeinschaft gilt.

Abschnitt 10: Vorabkontrolle des Europäischen Datenschutzbeauftragten

Artikel 28: Vorabkontrolle des Europäischen Datenschutzbeauftragten

Dieser Artikel entspricht Artikel 20 der Richtlinie.

Die Richtlinie sieht eine selektive Kontrolle der Zulässigkeit der Verarbeitungen entsprechend den Risiken vor, die sie für die Rechte der betroffenen Personen aufweisen können:

- Die Meldung der Verarbeitungen bei der Kontrollbehörde kann allgemein vereinfacht, d. h. unter bestimmten Voraussetzungen sogar freigestellt werden, insbesondere wenn ein Datenschutzbeauftragter eingesetzt wurde.

- Die Meldung bleibt für Verarbeitungen, die besondere Risiken aufweisen, erforderlich und muß sogar die verstärkte Form einer Vorabkontrolle annehmen.

Die Verordnung zieht die Konsequenzen aus der Bestellung von Datenschutzbeauftragten bei den Organen und Einrichtungen der Gemeinschaft, indem sie die Verpflichtung zur Meldung beim Europäischen Datenschutzbeauftragten allein auf die Verarbeitungen beschränkt, die besondere Risiken aufweisen.

Risikoverarbeitungen sind unter Bezugnahme auf eine Option des Artikels 20 Absatz 2 der Richtlinie der Kontrollbehörde durch den Datenschutzbeauftragten jedes Organs oder jeder Einrichtung zu melden.

Nach Artikel 20 Absatz 1 der Richtlinie ist es Aufgabe der Mitgliedstaaten festzulegen, welche Verarbeitungen besondere Risiken aufweisen. Erwägungsgrund 53 sieht vor, daß diese Risiken in den einzelstaatlichen Rechtsvorschriften präzisiert werden können, wenn die Mitgliedstaaten dies wünschen, wobei auch den Kontrollbehörden die Möglichkeit eingeräumt wird, eine eigene Vorstellung von Verarbeitungen, die besondere Risiken aufweisen, zu entwickeln. Der vorliegende Artikel greift diese zweite Lösung auf und ermächtigt die Kontrollbehörde, die Verarbeitungen zu bestimmen, die besondere Risiken aufweisen. Einige Beispiele, die sich an Erwägungsgrund 53 orientieren, sind allerdings bereits im Artikel selbst aufgeführt.

Ausgehend von Erwägungsgrund 54 sieht Absatz 3 dieses Artikels vor, daß die Kontrollbehörde, der eine mit besonderen Risiken behaftete Verarbeitung gemeldet wird, eine Stellungnahme zur Zulässigkeit der beabsichtigten Verarbeitung abzugeben hat. Es ist dann Sache des Organs oder der Einrichtung, die die Verarbeitung gemeldet hat, daraus die notwendigen operationellen Konsequenzen zu ziehen.

Kapitel III: Rechtsbehelfe und Sanktionen

Artikel 29 und 30

Es handelt sich um Bestimmungen zur Umsetzung der Artikel 22, 23 und 24 der Richtlinie. In einer Rechtsgemeinschaft ist es wichtig, daß die den einzelnen übertragenen Rechte auch ausgeuebt werden können, wenn die Verletzung dieser Rechte von seiten eines Gemeinschaftsorgans oder einer Gemeinschaftseinrichtung erfolgt. Gemäß den Vertragsbestimmungen über die ausservertragliche Haftung der Gemeinschaft hat die Gemeinschaft die durch ihre Organe oder Bediensteten in Ausübung ihrer Amtstätigkeit verursachten Schäden zu ersetzen; der Gerichtshof ist für Streitsachen über Schadenersatzforderungen zuständig.

Kapitel IV: Schutz der personenbezogenen Daten und der Privatsphäre im Rahmen interner Telekommunikationsnetze

Dieser Abschnitt greift die Bestimmungen der Richtlinie 97/66/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation auf, soweit sie sich für die Anwendung auf die Organe und Einrichtungen der Gemeinschaft eignen. Die meisten Bestimmungen mussten angepasst werden, um den besonderen Verhältnissen in den Organen und Einrichtungen der Gemeinschaft gerecht zu werden.

Artikel 31: Anwendungsbereich

Der Anwendungsbereich dieses Kapitels ist auf jene Telekommunikationsnetze beschränkt, die unter der Kontrolle der Organe und Einrichtungen der Gemeinschaft betrieben werden. Die Artikel 31 bis 37 finden daher nur dann Anwendung, wenn die Organe und Einrichtungen der Gemeinschaft tatsächlich in der Lage sind, die Betriebsbedingungen für die betreffenden Telekommunikationsnetze zu bestimmen.

Artikel 32: Sicherheit

Diese Bestimmung orientiert sich an Artikel 4 der Richtlinie 97/66/EG.

Falls ein Telekommunikationsnetz oder eine -leitung mit einem öffentlich zugänglichen Telekommunikationsnetz verbunden ist oder falls ein solches Netz oder eine solche Leitung von einem Anbieter eines öffentlich zugänglichen Telekommunikationsnetzes gemietet oder mit diesem Anbieter gemeinsam betrieben wird, könnte es sich für die Organe und Einrichtungen der Gemeinschaft als notwendig erweisen, mit dem betreffenden Netz- oder Diensteanbieter zusammenzuarbeiten, um ein ausreichendes Sicherheitsniveau zu garantieren.

Artikel 33: Vertraulichkeit der Übermittlungen

Dieser Artikel folgt Artikel 5 der Richtlinie 97/66/EG.

In bestimmten Fällen könnte es im Interesse der in Artikel 34 genannten Zweckbestimmungen notwendig sein, die Nutzung eines bestimmten Telekommunikationsnetzes zu kontrollieren. Beispiele hierfür sind die Speicherung bestimmter Daten über Telefonanrufe für die Gebührenabrechnung oder die Überwachung der von den Beamten der Organe und Einrichtungen der Gemeinschaft genutzten Internetfazilitäten. Entsprechend den allgemeinen Grundsätzen dieser Verordnung sollte diese Überwachung so zurückhaltend wie möglich bleiben.

Artikel 34: Verkehrsdaten und Daten für die Gebührenabrechnung

Diese Bestimmung lehnt sich an Artikel 6 der Richtlinie 97/66/EG an.

Artikel 34 präzisiert, welche Beschränkungen gelten, wenn personenbezogene Daten für die Gebührenerfassung und für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs verarbeitet werden.

Artikel 35: Nutzerverzeichnisse

Dieser Artikel folgt Artikel 11 der Richtlinie 97/66/EG.

Die Organe und Einrichtungen der Gemeinschaft können nur dann ordnungsgemäß arbeiten, wenn Nutzer, d. h. in der Regel Beamte, nicht das Recht erhalten, sich aus den Verzeichnissen streichen zu lassen. Ihre in diesen Verzeichnissen enthaltenen personenbezogenen Daten sollten jedoch auf die für die besonderen Zwecke des Verzeichnisses erforderlichen Daten beschränkt sein. Staatsangehörigkeit oder Geschlecht dürfen beispielsweise nicht angegeben werden. Dies bedeutet, daß im Hinblick auf bestimmte Daten der Beamte die Wahl hat, ob er diese Daten aufgenommen wünscht oder nicht. Ein Beispiel ist das Recht zu verlangen, daß nicht alle Vornamen in das Verzeichnis aufgenommen werden, sondern nur der Vorname, unter dem er/sie Kollegen bekannt ist, vorbehaltlich der Tatsache daß es sich nicht um ein Pseudonym handeln darf.

Artikel 36: Anzeige der Rufnummer des Anrufers vor und nach Herstellung der Verbindung

Dieser Artikel orientiert sich an Artikel 8 der Richtlinie 97/66/EG. Jedoch wurde Artikel 8 Absatz 3 der Richtlinie nicht aufgenommen, weil die Abweisung ankommender Anrufe von Kollegen nicht als das angemessene Mittel innerhalb der Organe und Einrichtungen der Gemeinschaft erscheint.

Artikel 37: Ausnahmen

Dieser Artikel gibt Artikel 9 der Richtlinie 97/66/EG wieder.

Kapitel V: Kontrollbehörde: Der Europäische Datenschutzbeauftragte

Artikel 38 bis 47

Die Kontrollbehörde wurde nach dem Vorbild von Artikel 28 der Richtlinie ausgestaltet, der klare Angaben zur Unabhängigkeit der auf nationaler Ebene geschaffenen Kontrollstellen sowie den Befugnissen enthält, mit denen diese ausgestattet sind. Soweit die genannte Bestimmung Verpflichtungen für die Mitgliedstaaten begründet, bestimmt Artikel 286 EG-Vertrag, daß den Organen und Einrichtungen der Gemeinschaft dieselben Verpflichtungen übertragen werden.

Artikel 39: Ernennung des Europäischen Datenschutzbeauftragten

Die Ernennung des Europäischen Datenschutzbeauftragten folgt den Verfahren, die für die Ernennung des Europäischen Bürgerbeauftragten vorgesehen sind (Artikel 195 EG-Vertrag). Nach Ansicht der durch Artikel 29 der Richtlinie eingesetzten Datenschutzgruppe stellt die Ernennung der Kontrollbehörde durch das Europäische Parlament die geeignete Lösung dar. Allerdings wurde im Gegensatz zur Ernennung des Europäischen Bürgerbeauftragten die Konsultation der Kommission und des Rates verbindlich gemacht.

Artikel 46: Befugnisse des Europäischen Datenschutzbeauftragten

Die Befugnis zur Intervention im Verfahren vor dem Gerichtshof und dem Gericht erster Instanz, wie im Artikel 46 Absatz 2 vorgesehen, nimmt Artikel 28 Absatz 3 dritter Gedankenstrich der Richtlinie auf.

Artikel 46 Absatz 7 nimmt den letzten Absatz von Artikel 28 Absatz 1 der Richtlinie auf. Die Geschäftsordnung des Gerichtshofs und des Gerichts erster Instanz müssen geändert werden, um ihnen zu erlauben, Verfahren gegen den Europäischen Datenschutzbeauftragten als zulässig anzuerkennen.

Kapitel VI: Schlußbestimmungen

Artikel 48

Dieser Artikel folgt insofern Artikel 32 Absatz 2 der Richtlinie, als für bereits laufende Verarbeitungen eine Übergangszeit gewährt wird, um die Verarbeitung personenbezogener Daten mit der Verordnung in Einklang zu bringen. Statt einer dreijährigen Übergangszeit wird eine Frist von einem Jahr vorgeschlagen.

FINANZBOGEN

1. BEZEICHNUNG DER MASSNAHME

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Europäischen Gemeinschaft und zum freien Datenverkehr.

2. HAUSHALTSLINIE(N)

Einzelplan Parlament, neues Kapitel 39, einzufügen in Titel 3 des Gesamthaushaltsplans.

3. RECHTSGRUNDLAGE

Artikel 286 Vertrag zur Gründung der Europäischen Gemeinschaft in der durch den Vertrag von Amsterdam geänderten Fassung.

Artikel 286

1. Ab 1. Januar 1999 finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung.

2. Vor dem in Absatz 1 genannten Zeitpunkt beschließt der Rat gemäß dem Verfahren des Artikels 251 die Errichtung einer unabhängigen Kontrollinstanz, die für die Überwachung der Anwendung solcher Rechtsakte der Gemeinschaft auf die Organe und Einrichtungen der Gemeinschaft verantwortlich ist, und erlässt erforderlichenfalls andere einschlägige Bestimmungen.

4. BESCHREIBUNG DER MASSNAHME

4.1 Allgemeines Ziel der Maßnahme

. Errichtung einer unabhängigen Kontrollinstanz nach Maßgabe des neuen Artikels 286 Absatz 2 EG-Vertrag (der Europäischer Datenschutzbeauftragte, siehe Anhang 1), die für die Überwachung der Anwendung der Datenschutzbestimmungen und -grundsätze innerhalb der Organe und Einrichtungen der Gemeinschaft verantwortlich ist.

. Bestellung eines oder mehrerer Datenschutzbeauftragten in jedem Organ und jeder Einrichtung der Gemeinschaft (siehe Anhänge 2 a und 2 b).

4.2 Dauer der Maßnahme und Bestimmungen über eventuelle Verlängerungen

Es werden dauerhafte Strukturen geschaffen.

5. EINSTUFUNG DER AUSGABEN / EINNAHMEN

5.1 NOA

5.2 NGM

5.3 Betroffene Einnahmen

Keine Angabe

6. ART DER AUSGABEN / EINNAHMEN

Verwaltungsausgaben

7. FINANZIELLE BELASTUNG

Siehe § 10.

8. BETRUGSBEKÄMPFUNGSVORKEHRUNGEN

Die für öffentliche Liefer- und Dienstleistungsaufträge der Gemeinschaften geltenden Bestimmungen und Verfahren werden nach Maßgabe der Haushaltsordnung für den Gesamthaushaltsplan der Europäischen Gemeinschaften, der entsprechenden Durchführungsverordnung und den internen Vorschriften genauestens befolgt.

Die einschlägigen Schutzklauseln werden in alle Vereinbarungen und Verträge zwischen dem Europäischen Datenschutzbeauftragten oder anderen Organen bzw. Einrichtungen der Gemeinschaft und Auftragnehmern aufgenommen.

In alle Vereinbarungen und Verträge werden systematisch Kontrollmaßnahmen aufgenommen: z. B. regelmässige Berichterstattung und Bewertung der in bestimmten Stadien der Vertragsdurchführung zu erbringenden Leistungen. Vor Genehmigung jedweder Zahlung wird geprüft, ob die Leistung tatsächlich erbracht wurde.

9. KOSTENWIRKSAMKEITSANALYSE

9.1 Quantifizierbare Einzelziele; Zielgruppen

- Einzelziele:

Einführung, Anwendung und Überwachung der Datenschutzbestimmungen in den Organen und Einrichtungen der Gemeinschaft (Verpflichtung gemäß Artikel 286 EG-Vertrag)

- Zielgruppe:

Alle natürlichen Personen, deren personenbezogene Daten von Organen und Einrichtungen der Gemeinschaft verarbeitet werden. Die Verordnungsbestimmungen werden für die Gemeinschaft insgesamt von Vorteil sein sowie für das Personal der Gemeinschaftsorgane und -einrichtungen und für Bürger und Vertragspartner der Gemeinschaft, die durch den Umfang des Datenschutzes in den Organen und Einrichtungen der Gemeinschaft betroffen sein könnten.

9.2 Begründung der Maßnahme

Bei dem nach Maßgabe des neuen Artikels 286 EG-Vertrag geschaffenen Europäischen Datenschutzbeauftragten handelt es sich um eine Einrichtung der Gemeinschaft, die dementsprechend aus dem Gesamthaushalt finanziert wird.

- Wahl der Vorgehensweise

* Vorteile gegenüber anderen Alternativen:

Der Europäische Datenschutzbeauftragte

Der neue Artikel 286 EG-Vertrag sieht die Einrichtung eines unabhängigen Europäischen Datenschutzbeauftragten vor, der nicht der Kommission untersteht, sondern eine neue unabhängige Einrichtung der Gemeinschaft ist, die ihre Aufgaben behördenübergreifend wahrnimmt, d. h. alle anderen Gemeinschaftsorgane und -einrichtungen kontrolliert. Die Kommission hat sowohl den Personalbedarf (siehe 10.1) als auch seine finanziellen Auswirkungen geschätzt. Der einzige Anhaltspunkt für die Schätzung der Kommission waren die nationalen Datenschutzbehörden. Diese lassen sich jedoch mit dem Europäischen Datenschutzbeauftragten nicht ganz vergleichen. Anders als der Europäische Datenschutzbeauftragte überwachen sie sowohl den öffentlichen als auch den privaten Sektor. Auch gibt es sehr viel weniger Gemeinschaftsorgane und -einrichtungen als nationale Behörden. Es gibt demnach gute Gründe, dem Europäischen Datenschutzbeauftragten weniger Beamte zur Seite zu stellen als den nationalen Datenschutzbehörden. Allerdings hängt die Arbeitsbelastung, die mit einigen Aufgaben des Europäischen Datenschutzbeauftragten verbunden ist, weder von der Grösse der betreffenden Organe und Einrichtungen noch von der Anzahl der Datenverarbeitungsvorgänge, die sie durchführen, ab.

Der behördliche Datenschutzbeauftragte

Der Verordnungsvorschlag sieht vor, daß alle Organe und Einrichtungen der Gemeinschaft zumindest einen behördlichen Datenschutzbeauftragten bestellen.

Was die anderen Organe und Einrichtungen als die Kommission betrifft, wurden sie konsultiert, und ihre Schätzungen wurden in diesen Finanzbogen aufgenommen. Das Generalsekretariat des EP teilte mit, daß es den einzelnen Organen und Einrichtungen obliegt, ihren Bedarf selbst zu schätzen und es zu den Schätzungen keine Stellung nehmen werde.

Soweit es um die Kommission geht, wird davon ausgegangen, daß jeder Dienst einen zeitweise Beschäftigten Datenschutzbeauftragten aus dem vorhandenen Personal bestellen sollte anstelle eines oder mehrerer vollzeitbeschäftigter Datenschutzbeauftragten für die ganze Kommission. Die Zahlen in diesem Finanzbogen basieren auf dieser Annahme.

Für die Bestellung eines eigenen behördlichen Datenschutzbeauftragten für jeden Dienst sprechen mehrere Gründe. Die Kommissionsdienststellen sind getrennte organisatorische Einheiten. Die Art der Datenverarbeitung kann von Dienst zu Dienst erheblich abweichen. Ein Datenschutzbeauftragter benötigt detaillierte Kenntnisse über die datenschutzrelevanten Vorgänge in dem Dienst, für den er verantwortlich ist. In einem Dienst der Kommission (GD XV) wurde auf dieser Grundlage ein erfolgreiches Pilotprojekt gestartet. Nach Inkrafttreten der Verordnung könnte sich herausstellen, daß einige Dienststellen einen Datenschutzbeauftragten zeitlich mehr beschäftigen als andere.

Die Dienststellen ernennen die behördlichen Datenschutzbeauftragten aus ihrem vorhandenen Personal. Diese Personen werden voraussichtlich nur einen geringen Teil ihrer Arbeitszeit (schätzungsweise 5 % im Durchschnitt) für ihre Aufgaben als Datenschutzbeauftragte aufwenden. Es wird darüber hinaus vorgesehen, daß der behördliche Datenschutzbeauftragte im Generalsekretariat die Tätigkeit aller behördlichen Datenschutzbeauftragten der Kommission koordiniert. Aufgrund dieser zusätzlichen Koordinierungstätigkeit wird der "Hauptdatenschutzbeauftragte" mehr als 5 % seiner Arbeitszeit aufwenden müssen, unter Umständen bis zu 25 %. Darüber hinaus haben einige andere Dienste mitgeteilt, daß sie etwas mehr als 5 % brauchen würden (Für diese Dienste wurde 10 % statt 5 % angenommen).

Externe Datenschutzexperten

Die Kommission empfiehlt des weiteren, daß die Datenschutzbeauftragten zumindest in der Anfangsphase von externen Datenschutzexperten unterstützt und beraten werden sollten. Im Unterschied zu dem Pilotprojekt der GD XV, wo der Datenschutzbeauftragte von seinem "eigenen" externen Experten unterstützt wird, wird im Finanzbogen von drei externen vollzeitbeschäftigten Beratern für die gesamte Kommission ausgegangen.

* Verweis auf ähnliche Vorgänge auf Gemeinschaftsebene oder in den Mitgliedstaaten

Der Gedanke, eine Infrastruktur zur Unterstützung des Europäischen Datenschutzbeauftragten beim Europäischen Parlament zu schaffen, wurde durch die Organisation des Europäischen Bürgerbeauftragten angeregt.

Für die behördlichen Datenschutzbeauftragten in den einzelnen Organen und Einrichtungen der Gemeinschaft dienten das Projekt der GD XV und die Erfahrungen in den Mitgliedstaaten als Beispiel.

* Zu erwartende Auswirkungen und Multiplikatoreffekte

Keine. Die Frage wurde mit der Direktion Datenverarbeitung erörtert. Software und Know-how sind bereits vorhanden, so daß keine zusätzlichen Ausgaben erwartet werden.

- Hauptsächliche Unsicherheitsfaktoren, die das Ergebnis der Maßnahme beeinträchtigen könnten

Der Finanzbogen basiert auf der Annahme, daß das Europäische Parlament für die notwendige Infrastruktur für den Europäischen Datenschutzbeauftragten sorgen wird (siehe Anhang 1).

9.3 Follow-up und Bewertung der Maßnahme

- Ausgewählte Erfolgsindikatoren

* Output-Indikatoren (Messung der entfalteten Aktivitäten)

Der Europäische Datenschutzbeauftragte legt einen Jahresbericht vor. Maßstab für seine Tätigkeiten wird unter anderem (siehe Artikel 47 des Verordnungsvorschlags) i) die Zahl der eingegangenen Beschwerden und der auf eigene Initiative verfolgten Vorfälle sein sowie ii) die Zahl der getroffenen Entscheidungen und iii) die Anzahl der ausgeführten Kontrollen.

Tätigkeitsberichte der Datenschutzbeauftragten:

* Wirkungsindikatoren (nach Zielen)

. Entscheidungen gegen die Organe und Einrichtungen der Gemeinschaft aufgrund von Beschwerden

. Anhand der durchgeführten Kontrollen geschätzter Konformitätsgrad

- Vorgesehene Modalitäten und Periodizität der Bewertung

Die Bewertung sollte sich auf die Jahresberichte stützen. Der "Hauptdatenschutzbeauftragte" wird die Tätigkeit der einzelnen Datenschutzbeauftragten koordinieren. Der Europäische Datenschutzbeauftragte wird diese Tätigkeiten zusätzlich kontrollieren und Hinweise zur korrekten Anwendung der Datenschutzbestimmungen geben.

10. VERWALTUNGSAUSGABEN (TEIL A DES EINZELPLANS III DES GESAMTHAUSHALTSPLANS)

Die Bereitstellung der notwendigen Verwaltungsmittel wird von den Mittelzuweisungen abhängen, über die die betreffenden Organe und Einrichtungen jährlich unter Berücksichtigung der von der Haushaltsbehörde genehmigten Personal- und Mittelausstattung entscheiden.

Die von der Kommission vorgenommene Schätzung der Auswirkungen der Schaffung des Amtes des europäischen Datenschutzbeauftragten ist ungefährer und vorläufiger Natur. Sie ist keine Vorentscheidung über den Bedarf, den das europäische Parlament zu beurteilen hat. Damit wird der Mitteilung des Generalsekrariates des Parlaments Rechnung getragen, das wissen ließ, daß es jeder Institution anheim steht, selbst seinen Bedarf zu bewerten, und es sich daher nicht zu den Schätzungen der Kommission äussern wollte.

10.1 Auswirkung auf den Personalbestand

>PLATZ FÜR EINE TABELLE>

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE

>PLATZ FÜR EINE TABELLE>

BEHÖRDLICHER DATENSCHUTZBEAUFTRAGTER DER KOMMISSION (siehe Anhang 2 b)

>PLATZ FÜR EINE TABELLE>

BEHÖRDLICHE DATENSCHUTZBEAUFTRAGTE DER ANDEREN ORGANE UND EINRICHTUNGEN (siehe Anhang 2 c)

>PLATZ FÜR EINE TABELLE>

PERSONALAUFWAND INSGESAMT

>PLATZ FÜR EINE TABELLE>

10.2 Gesamtkosten für zusätzliches Personal

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE

>PLATZ FÜR EINE TABELLE>

DATENSCHUTZBEAUFTRAGTE DER KOMMISSION

>PLATZ FÜR EINE TABELLE>

DATENSCHUTZBEAUFTRAGTE DER ANDEREN ORGANE UND EINRICHTUNGEN

>PLATZ FÜR EINE TABELLE>

GESAMTKOSTEN

>PLATZ FÜR EINE TABELLE>

10.3 Sonstige Mehrausgaben für Verwaltung und Dienstbetrieb

Die Höhe der anderen potentiellen Kosten hängt davon ab, inwieweit der Europäische Datenschutzbeauftragte in die vorhandene Infrastruktur des Europäischen Parlaments integriert werden kann (siehe Anhang 1). Die Schätzung der finanziellen Auswirkungen, die sich für das Europäische Parlament aus der vorgeschlagenen Integration des Europäischen Datenschutzbeauftragten in die Verwaltungsstruktur des Parlaments ergeben, muß noch vom Parlament bestätigt werden.

Anhang 1

Amt des Europäischen Datenschutzbeauftragten

Die diesbezueglichen Zahlen basieren auf der Annahme, daß die nachstehenden Dienstleistungen durch die Integration des Amts in die bestehende Infrastruktur des Europäischen Parlaments (nach dem Vorbild des Bürgerbeauftragten) abgedeckt werden können.

- Übersetzung

- Dolmetschdienst

- Verwaltungsfunktionen wie: Organisation von Dienstreisen, Fortbildung, Personalverwaltung (Einstellung, ärztliche Untersuchung, Besoldung, Soziales, Laufbahn usw.), Gebäudeverwaltung, Bürokommunikationssysteme, Ausstattung und DV-Entwicklung, Postdienste, Kommunikation, Transport, Mobiliar, Photokopiergeräte, Bürozubehör, Pförtner, Fahrer, Möbeltransporteure, Sitzungsräume.

- Kommunikation: Telephon und Fax, elektronische Übermittlung von Dokumenten, PC und Drucker, Zugang zu Datenbanken

- Sicherheit

- Externe Büros

- Presse und PR

- Veröffentlichung: Jahresbericht, Dokumentenverteilung, Drucken

- Bezug von Publikationen und Zeitschriften.

Der voraussichtliche Personalbedarf schlüsselt sich wie folgt auf:

A-Beamte: 6

B-Beamte: 2

C-Beamte: 2

Insgesamt: 10

Anhang 2 a

Die Datenschutzbeauftragten

Beamte, die zu Datenschutzbeauftragten ernannt werden, werden nur einen Teil ihrer Arbeitszeit den Aufgaben des Datenschutzbeauftragten widmen (durchschnittlich schätzungsweise 5 %, siehe 9.2). Sie können sich von externen Datenschutzexperten beraten und unterstützen lassen.

Die Aufgaben und Zuständigkeiten der Datenschutzbeauftragten sind nachstehend aufgeführt. Sie können sich dabei von externen Experten beraten lassen.

Aufgaben und Zuständigkeiten der Datenschutzbeauftragten:

- Unterrichtung der betroffenen Personen und der für die Datenverarbeitung Verantwortlichen über ihre Rechte und Pflichten;

- Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder auf eigene Initiative;

- Gewährleistung der internen Anwendung der Verordnung und der betreffenden Durchführungsbestimmungen;

- Führung des Registers der von den Verantwortlichen durchgeführten Verarbeitungen;

- Abgabe von Empfehlungen für die Verbesserung des Datenschutzes in der Praxis;

- Beratung des Organs bzw. der Einrichtung, die den Datenschutzbeauftragten und den für die Verarbeitung Verantwortlichen bestellt hat, bei der Anwendung der Datenschutzbestimmungen;

- Untersuchung auf eigene Initiative oder auf Ersuchen des Organs bzw. der Einrichtung, die den Datenschutzbeauftragten bestellt hat, des für die Verarbeitung Verantwortlichen, der Personalvertretung oder der betroffenen Person von Vorfällen, die direkt mit seiner Tätigkeit zu tun haben oder von denen er Kenntnis erhält;

- Konsultation durch das Organ bzw. die Einrichtung, die den Datenschutzbeauftragten bestellt hat, durch den für die Verarbeitung Verantwortlichen, die Personalvertretung oder jede andere Privatperson zu Angelegenheiten, die die Auslegung oder Anwendung der Verordnung betreffen, ohne den Dienstweg einhalten zu müssen.

Der Datenschutzbeauftragte muß zumindest in der Anfangsphase unabhängige externe Datenschutzexperten zu Rate ziehen können. Diese externen Experten beraten den Datenschutzbeauftragten erforderlichenfalls in rechtlichen, organisatorischen und technischen Fragen des Datenschutzes und unterstützen ihn so bei allen seinen Aufgaben.

Externe Experten können vor allem in folgenden Bereichen Hilfestellung leisten:

- Führung des Registers der Verarbeitungen, die personenbezogene Daten enthalten;

- Beurteilung des Risikos, das mit diesen Verarbeitungen für die Privatsphäre der betroffenen Personen verbunden ist;

- Begegnung dieser Risiken unter Berücksichtigung der Notwendigkeit, zur Entwicklung klarer Vorgaben für die beste Datenschutzpraxis beizutragen, die auch von anderen Kommissionsdienststellen angewandt werden können.

Die Erfahrung und Beratung der externen Experten wird vermutlich hauptsächlich in folgenden Bereichen erforderlich sein:

(a) Notwendige Datenqualität

(b) Wahrnehmung der Rechte der betroffenen Personen

(c) Neue Informationssysteme

(d) Externe Datenverarbeitung

(e) Personalschulung

(f) Ausarbeitung von Leitlinien

(g) Vertraulichkeit und Sicherheitsmaßnahmen

(h) Tätigkeitsbericht.

Anhang 2 b

Datenschutzbeauftragte in den Dienststellen der Kommission

- Generalsekretariat

- Task Force Zusammenarbeit in den Bereichen Justiz und Inneres OLAF

- Generalinspektion der Dienststellen

- Juristischer Dienst

- Dienst des Sprechers

- Gemeinsamer Dolmetscher-Konferenzdienst

- Statistisches Amt

- Übersetzungsdienst

- Direktion Datenverarbeitung

- GD I Auswärtige Beziehungen: Handelspolitik, Beziehungen zu Nordamerika, zum Fernen Osten sowie zu Australien und Neuseeland

- GD IA Aussenbeziehungen: Europa und Neue Unabhängige Staaten, Gemeinsame Aussen- und Sicherheitspolitik, Aussendienst

- GD IB Auswärtige Beziehungen: Südlicher Mittelmeerraum, Naher und Mittlerer Osten, Lateinamerika, Süd- und Südostasien und Nord-Süd-Zusammenarbeit

- GD II Wirtschaft und Finanzen

- GD III Industrie

- GD IV Wettbewerb

- GD V Beschäftigung, Arbeitsbeziehungen und soziale Angelegenheiten

- GD VI Landwirtschaft

- GD VII Verkehr

- GD VIII Entwicklung

- GD IX Personal und Verwaltung

- GD X Information, Kommunikation, Kultur, Audiovisuelle Medien

- GD XI Umwelt, nukleare Sicherheit und Katastrophenschutz

- GD XII Wissenschaft, Forschung und Entwicklung (Gemeinsame Forschungsstelle)

- GD XIII Telekommunikation, Informationsmarkt und Nutzung der Forschungsergebnisse

- GD XIV Fischerei

- GD XV Binnenmarkt und Finanzdienstleistungen

- GD XVI Regionalpolitik und Kohäsion

- GD XVII Energie

- GD XVIII Haushalt

- GD XX Finanzkontrolle

- GD XXI Steuern und Zollunion

- GD XXII Allgemeine und berufliche Bildung, Jugend

- GD XXIII Unternehmenspolitik, Handel, Tourismus und Sozialwirtschaft

- GD XXIV Verbraucherpolitik und Gesundheitsschutz

- Amt für humanitäre Hilfen der Europäischen Gemeinschaft (ECHO)

- Task Force Beitrittsverhandlungen

- Euratom-Versorgungsagentur

- Amt für amtliche Veröffentlichungen der Europäischen Gemeinschaften

- Relex Gemeinsamer Dienst (SCR)

Insgesamt: 40

Wie unter 9.2 erläutert, wird vorgesehen, daß jede Dienststelle der Kommission aus ihrem vorhandenen Personal einen eigenen Datenschutzbeauftragten bestellt, statt einen oder mehrere Datenschutzbeauftragte für die ganze Kommission zu bestellen. Die Zahlen in diesem Finanzbogen basieren auf dieser Annahme. Die Tätigkeit eines Datenschutzbeauftragten wird in jedem Dienst einen Vollzeitbeamten zu durchschnittlich 5 % in Anspruch nehmen. Manche Dienste werden mehr, andere weniger brauchen. Einige Dienste haben schon mitgeteilt, daß sie mehr als 5 % brauchen, und ihr Bedarf wurde auf 10 % geschätzt. Diese Zahlen ergeben einen Personalbedarf für die gesamte Kommission von 2,40 Vollzeitbeamten. Es wird darüber hinaus vorgesehen, daß der Datenschutzbeauftragte im Generalsekretariat die Tätigkeit aller Datenschutzbeauftragten der Kommission koordiniert. Aufgrund dieser zusätzlichen Koordinierungstätigkeit wird diese(r) "Hauptdatenschutzbeauftragte" mehr als 5 % seiner (ihrer) Arbeitszeit aufwenden müssen, unter Umständen bis zu 25 %. Dies wurde jedoch bereits im geschätzten Durchschnittswert von 2,40 Beamten berücksichtigt.

Des weiteren ist vorgesehen, zumindest in der Anfangsphase Verträge mit externen Sachverständigen zu schließen (für die gesamte Kommission drei Vollzeitberater).

Anhang 2 c

Datenschutzbeauftragte in den Organen und Einrichtungen der Gemeinschaft mit Ausnahme der Kommission

Europäisches Parlament 2

Europäischer Bürgerbeauftragter 1

Rat der Europäischen Union 2

Gerichtshof 1

Rechnungshof 1

Europäische Investitionsbank 1

Wirtschafts- und Sozialausschuß 1

Ausschuß der Regionen 1

Europäische Zentralbank 1

Europäisches Zentrum für die Förderung der Berufsbildung 0,5

Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen 0,5

Europäische Umweltagentur 0,5

Europäische Stiftung für Berufsbildung 0,5

Europäische Beobachtungsstelle für Drogen und Drogensucht 0,5

Europäische Agentur für die Beurteilung von Arzneimitteln 0,5

Harmonisierungsamt für den Binnenmarkt (Marken und Muster) 0,5

Europäische Agentur für Gesundheitsschutz und Sicherheit am Arbeitsplatz 0,5

Gemeinschaftliches Sortenamt 0,5

Übersetzungszentrale für die Einrichtungen der Union 1

Europäische Beobachtungsstelle für Rassismus und Fremdenfeindlichkeit 0,5

Insgesamt: 17 (Vollzeitbeamten x ? 108 000)

Ausser den Datenschutzbeauftragten, die den vorstehenden Organen und Einrichtungen zugeordnet sind, sind auch Verträge mit externen Datenschutzexperten geplant. Für jedes Organ und für jede Einrichtung wurden im Durchschnitt 22 Arbeitstage jährlich veranschlagt. Diese Zahl ist der Anzahl der Arbeitstage vergleichbar, die den einzelnen Kommissionsdienststellen zustehen. Die Durchschnittskosten solcher Verträge werden pro Dienststelle auf 13 750 Euro jährlich geschätzt.