Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU

 

ZUSAMMENFASSUNG DES DOKUMENTS:

Verordnung (EU) 2018/1725 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und zum freien Datenverkehr

WAS IST DER ZWECK DER VERORDNUNG?

Die Verordnung:

• enthält Bestimmungen darüber, wie die Organe, Einrichtungen und sonstigen Stellen der EU mit den personenbezogenen Daten* umgehen sollen, die sie über Personen gespeichert haben;
• wahrt die Grundrechte und -freiheiten einer Person, insbesondere das Recht auf Schutz personenbezogener Daten und das Recht auf Privatsphäre;
• gleicht die Vorschriften für die Organe, Einrichtungen und sonstigen Stellen der EU an die der Datenschutz-Grundverordnung (DSGVO) und der Richtlinie (EU) 2016/680 (der sogenannten Richtlinie zum Datenschutz bei der Strafverfolgung, kurz LED) an, die seit Mai 2018 gelten;
• hebt die Verordnung (EG) Nr. 45/2001 auf, die bisher die Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der EU enthielt, und stellt sicher, dass diese den gleichen strengen Normen entsprechen, die in der DSGVO festgelegt sind;
• hebt den Beschluss Nr. 1247/2002/EG über den Europäischen Datenschutzbeauftragten (EDSB) auf.

WICHTIGE ECKPUNKTE

Personenbezogene Daten müssen:

• auf rechtmäßige, faire und transparente Weise verarbeitet werden;
• für festgelegte, eindeutige und legitime Zwecke erhoben werden;
• dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sein;
• sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein;
• in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist;
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.

Der Verantwortliche* ist für die Einhaltung aller oben genannten Grundsätze der Datenverarbeitung verantwortlich und muss deren Einhaltung nachweisen können.

Darüber hinaus gilt, dass personenbezogene Daten:

• nur vorbehaltlich zusätzlicher Schutzmaßnahmen an einen Empfänger in der EU übermittelt werden können, der kein Organ, keine Einrichtung oder sonstige Stelle der EU ist;
• nur unter strengen Bedingungen außerhalb der EU übermittelt werden dürfen;
• aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen bzw. hervorgeht, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person außer in besonderen Fällen nicht verarbeitet werden dürfen;
• geeigneter Schutzmaßnahmen bedürfen, wenn sie im öffentlichen Interesse oder für wissenschaftliche, historische oder statistische Zwecke archiviert werden.

Ersuchen um Einwilligung einer Person zur Verwendung ihrer Daten müssen in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Die Einwilligung muss eine eindeutige bestätigende Handlung der Person sein.

Natürliche Personen (in der Verordnung als „betroffene Personen“ bezeichnet) haben das Recht:

• ihre Einwilligung jederzeit zu widerrufen, was so einfach sein sollte, wie die Erteilung der Einwilligung;
• zu wissen, ob ihre personenbezogenen Daten verarbeitet werden oder nicht, und das Recht auf Zugang zu diesen;
• auf Berichtigung unrichtiger personenbezogener Daten;
• auf Löschung bzw. Einschränkung der Verarbeitung von personenbezogenen Daten, sofern bestimmte Bedingungen erfüllt sind;
• die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln;
• der Nutzung ihrer personenbezogene Daten zu Zwecken des öffentlichen Interesses aus persönlichen Gründen zu widersprechen;
• keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für sie entfaltet;
• sich beim EDSB zu beschweren, wenn sie der Meinung sind, dass ihre personenbezogenen Daten in einer Weise verarbeitet werden, die gegen die Verordnung verstößt;
• für alle materiellen oder immateriellen Schäden entschädigt zu werden, die ihnen durch das Handeln eines Organs, einer Einrichtung oder sonstigen Stelle der EU entstehen;
• eine gemeinnützige Organisation zu beauftragen, um eine Beschwerde beim EDSB einzureichen.

Die Verantwortlichen:

• müssen betroffene Personen über die Erhebung personenbezogener Daten informieren, und zwar in einer einfachen Sprache und mit sachlichen Informationen wie Kontaktdaten des Verantwortlichen und dem Zweck der Erhebung der Daten;
• müssen so schnell wie möglich, spätestens jedoch innerhalb eines Monats, auf jedes Ersuchen einer betroffenen Person (beispielsweise um den Zugang zu oder die Berichtigung von ihren personenbezogenen Daten) antworten;
• treffen geeignete technische und organisatorische Maßnahmen, einschließlich Pseudonymisierung*, um sicherzustellen, dass die Verarbeitung personenbezogener Daten mit der Verordnung übereinstimmt;
• dürfen nur Datenverarbeitungsanlagen und -geräte verwenden, die den EU-Anforderungen entsprechen;
• führen detaillierte Aufzeichnungen über die Datenverarbeitung unter ihrer Verantwortung;
• arbeiten mit dem EDSB zusammen;
• benachrichtigen den EDSB und in bestimmten Fällen auch die betroffene Person so schnell wie möglich über jede Verletzung des Schutzes personenbezogener Daten;
• führen eine Datenschutz-Folgenabschätzung durch, wenn die Verarbeitung personenbezogener Daten mit einem hohen Risiko einhergeht;
• sorgen für die Vertraulichkeit und Sicherheit ihrer elektronischen Kommunikationsnetze;
• informieren den EDSB über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten.

Mit der Verordnung wird der Posten des EDSB geschaffen, der für eine Amtszeit von fünf Jahren besetzt wird, die einmal verlängert werden kann. Der EDSB hat seinen Sitz in Brüssel und:

• handelt völlig unabhängig;
• behandelt alle vertraulichen Informationen unter Wahrung des Berufsgeheimnisses;
• überwacht, wie die Organe, Einrichtungen und sonstigen Stellen der EU die Verordnung anwenden;
• fördert das öffentliche Verständnis und das Bewusstsein für die Verarbeitung personenbezogener Daten;
• bearbeitet Beschwerden und führt Untersuchungen durch;
• warnt und sanktioniert Verantwortliche;
• verweist Fragen an den Gerichtshof, der für alle Streitigkeiten im Zusammenhang mit den Bestimmungen der Verordnung zuständig ist;
• erstattet regelmäßig Bericht an das Europäische Parlament, den Rat und die Europäische Kommission;
• arbeitet mit den nationalen Datenschutzaufsichtsbehörden zusammen.

Geschäftsordnung des EDSB

Mit einer Entscheidung vom 15. Mai 2020 wurde die Geschäftsordnung des EDSB angenommen. Sie enthält im Detail

• die Mission, die Leitprinzipien und die Organisation des EDSB;
• die Art und Weise, wie er die Anwendung der Verordnung überwachen und sicherstellen wird;
• Verfahren für seine legislative Konsultation, Technologieüberwachung, Forschungsprojekte sowie Gerichtsverfahren und
• Verfahren für die Zusammenarbeit mit nationalen Aufsichtsbehörden und die internationale Zusammenarbeit.

Besondere Vorschriften für Einrichtungen und sonstige Stellen der EU

Besondere Vorschriften gelten für Einrichtungen und sonstige Stellen der EU, die operative personenbezogene Daten* zum Zwecke der Strafverfolgung verarbeiten (z. B. Eurojust). Sie werden in einem eigenen Kapitel der Verordnung behandelt. Die Bestimmungen dieses Kapitels sind mit der Strafverfolgungsrichtlinie abgestimmt. Darüber hinaus können in den Gründungsakten dieser Einrichtungen und sonstigen Stellen spezifischere Bestimmungen festgelegt sein, um ihren besonderen Eigenschaften Rechnung zu tragen.

Die Verarbeitung operativer personenbezogener Daten durch Europol und die Europäische Staatsanwaltschaft fällt nicht in den Anwendungsbereich der Verordnung; sie unterliegt den spezifischen Bestimmungen der Rechtsakte, durch die sie eingerichtet wurden. Die administrative Verarbeitung personenbezogener Daten durch die Genannten (z. B. zum Zwecke der Personalverwaltung) unterliegt jedoch der Verordnung.

Datenschutzbeauftragte

Die Verantwortlichen ernennen einen Datenschutzbeauftragten für eine Amtszeit von drei bis fünf Jahren

• zur unabhängigen Beratung in Bezug auf die Verarbeitung personenbezogener Daten;
• zur Überwachung der Einhaltung der Datenschutzbestimmungen.

Berichte

Die Kommission muss bis zum 30. April 2022 einen ersten Bericht über die Anwendung dieser Verordnung vorlegen.

WANN TRITT DIE VERORDNUNG IN KRAFT?

Sie ist am 11. Dezember 2018 in Kraft getreten, mit Ausnahme der Bestimmungen über die Verarbeitung personenbezogener Daten durch Eurojust, die am 12. Dezember 2019 in Kraft getreten sind.

HINTERGRUND

Artikel 8 der Charta der Grundrechte besagt, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat. Artikel 16 des Vertrags über die Arbeitsweise der EU weitet dieses Recht aus. Dieser Artikel ist die Rechtsgrundlage für alle EU-Rechtsvorschriften zum Datenschutz.

Weiterführende Informationen:

• Datenschutz in der EU (Europäische Kommission).

SCHLÜSSELBEGRIFFE

HAUPTDOKUMENT

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39-98).

VERBUNDENE DOKUMENTE

Beschluss (EU) 2020/969 der Kommission vom 3. Juli 2020 zur Festlegung der Durchführungsvorschriften in Bezug auf den Datenschutzbeauftragten, Beschränkungen der Rechte betroffener Personen und die Anwendung der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates sowie zur Aufhebung des Beschlusses 2008/597/EG der Kommission (ABl. L 213 vom 6.7.2020, S. 12-22).

Entscheidung des Europäischen Datenschutzbeauftragten vom 15. Mai 2020 zur Annahme der Geschäftsordnung des EDSB (ABl. L 204 vom 26.6.2020, S. 49-59).

Beschluss des Europäischen Datenschutzbeauftragten vom 2. April 2019 über interne Vorschriften zur Einschränkung bestimmter Rechte betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten des Europäischen Datenschutzbeauftragten (ABl. L 99 vom 10.4.2019, S. 1-7).

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1-88).

Nachfolgende Änderungen der Verordnung (EU) 2016/679 wurden in den Originaltext eingefügt. Diese konsolidierte Fassung hat ausschließlich dokumentarischen Charakter.

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89-131).

Siehe konsolidierte Fassung.

Letzte Aktualisierung: 14.01.2022