ISSN 1977-0642

Amtsblatt

der Europäischen Union

L 295

European flag  

Ausgabe in deutscher Sprache

Rechtsvorschriften

61. Jahrgang
21. November 2018


Inhalt

 

I   Gesetzgebungsakte

Seite

 

 

VERORDNUNGEN

 

*

Verordnung (EU) 2018/1724 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 ( 1 )

1

 

*

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG ( 1 )

39

 

*

Verordnung (EU) 2018/1726 des Europäischen Parlaments und des Rates vom 14. November 2018 über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 1077/2011

99

 

*

Verordnung (EU) 2018/1727 des Europäischen Parlaments und des Rates vom 14. November 2018 betreffend die Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen (Eurojust) und zur Ersetzung und Aufhebung des Beschlusses 2002/187/JI des Rates

138

 


 

(1)   Text von Bedeutung für den EWR.

DE

Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben.

Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte.


I Gesetzgebungsakte

VERORDNUNGEN

21.11.2018   

DE

Amtsblatt der Europäischen Union

L 295/1


VERORDNUNG (EU) 2018/1724 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 2. Oktober 2018

über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 21 Absatz 2 und Artikel 114 Absatz 1,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

gemäß dem ordentlichen Gesetzgebungsverfahren (2),

in Erwägung nachstehender Gründe:

(1)

Der Binnenmarkt zählt zu den greifbarsten Errungenschaften der Union. Er ermöglicht Personen, Waren, Dienstleistungen und Kapital, frei zu zirkulieren, und eröffnet Bürgern und Unternehmen somit neue Möglichkeiten. Die vorliegende Verordnung ist ein zentrales Element der Binnenmarktstrategie, die mit der Mitteilung der Kommission vom 28. Oktober 2015 mit dem Titel „Den Binnenmarkt weiter ausbauen: mehr Chancen für die Menschen und die Unternehmen“ geschaffen wurde. Durch diese Strategie soll das volle Potenzial des Binnenmarktes ausgeschöpft werden, indem Bürgern und Unternehmen die Freizügigkeit und der Handel innerhalb der Union, die Niederlassung in einem anderen Mitgliedstaat und die grenzüberschreitende Ausweitung ihrer Geschäftstätigkeit erleichtert wird.

(2)

In der Mitteilung der Kommission vom 6. Mai 2015 mit dem Titel „Strategie für einen digitalen Binnenmarkt für Europa“ wird anerkannt, wie sehr das Internet und digitale Technologien unser Leben und die Art und Weise, wie Bürger und Unternehmen sich informieren, Wissen erwerben, Waren kaufen und Dienstleistungen nutzen, am Markt teilnehmen und arbeiten, verändern und dadurch die Möglichkeit zu Innovation, Wachstum und die Schaffung von Arbeitsplätzen erleichtern. In dieser Mitteilung und entsprechend in mehreren vom Europäischen Parlament verabschiedeten Entschließungen wurde eingeräumt, dass der Bedarf der Bürger und Unternehmen in ihrem eigenen Land sowie grenzüberschreitend besser gedeckt werden könnte, wenn bestehende europäische Portale, Websites, Netze, Dienste und Systeme erweitert und mit verschiedenen nationalen Lösungen verknüpft würden und dadurch eine einheitliche europäische Anlaufstelle — ein einheitliches digitales Zugangstor (im Folgenden „Zugangstor“)– geschaffen würde. In der Mitteilung der Kommission vom 19. April 2016 mit dem Titel „EU-eGovernment-Aktionsplan 2016–2020: Beschleunigung der Digitalisierung der öffentlichen Verwaltung“ ist das Zugangstor als eine der Maßnahmen für 2017 angeführt. Im Bericht der Kommission vom 24. Januar 2017 mit dem Titel „Stärkung der Bürgerrechte in einer Union des demokratischen Wandels — Bericht über die Unionsbürgerschaft 2017“ wird das Zugangstor als Priorität für die Rechte der Unionsbürger angesehen.

(3)

Das Europäische Parlament und der Rat haben wiederholt ein umfassenderes und nutzerfreundlicheres Informationspaket sowie Hilfe für die Bürger und Unternehmen eingefordert, die auf dem Binnenmarkt tätig sind, und sich für die Stärkung und Straffung der Binnenmarktinstrumente ausgesprochen, um die Bedürfnisse der Bürger und Unternehmen bei grenzüberschreitenden Tätigkeiten besser zu erfüllen.

(4)

Mit der vorliegenden Verordnung wird diesen Forderungen nachgekommen, indem den Bürgern und Unternehmen einfacher Zugang zu den Informationen, den Verfahren und den Hilfs- und Problemlösungsdiensten online verschafft wird, die sie benötigen, um ihre Rechte am Binnenmarkt wahrzunehmen. Das Zugangstor könnte dabei behilflich sein, einen Beitrag zu transparenteren Vorschriften und Regelungen in verschiedenen Wirtschafts- und Lebensbereichen, wie Reisen, Ruhestand, Bildung, Beschäftigung, Gesundheit, Verbraucherschutz und Familienrechte, zu leisten. Außerdem könnte es dazu beitragen, das Vertrauen der Verbraucher zu stärken, Wissenslücken in den Bereichen Verbraucherschutz und Binnenmarktvorschriften zu überwinden und die Konformitätskosten für Unternehmen zu senken. Im Wege dieser Verordnung wird ein nutzerfreundliches, interaktives Zugangstor eingerichtet, das die Nutzer auf der Grundlage ihrer Bedürfnisse zu den am besten geeigneten Diensten führen sollte. In diesem Zusammenhang ist die Mitwirkung der Kommission, der Mitgliedstaaten und der zuständigen Behörden vonnöten, damit diese Ziele erreicht werden.

(5)

Durch das Zugangstor sollten die Interaktionen zwischen Bürgern und Unternehmen auf der einen Seite und den zuständigen Behörden auf der anderen Seite erleichtert werden, indem ein Zugang zu Online-Lösungen geschaffen, die alltäglichen Tätigkeiten der Bürger und Unternehmen vereinfacht und die auf dem Binnenmarkt bestehenden Hindernisse minimiert werden. Die Tatsache, dass ein Zugangsportal besteht, das online Zugang zu genauen und aktuellen Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten verschafft, könnte dazu beitragen, die Bekanntheit der verschiedenen bestehenden Online-Dienste bei den Nutzern zu steigern und für diese somit eine Zeit- und Kostenersparnis mit sich bringen.

(6)

Diese Verordnung verfolgt drei Ziele, nämlich jeden zusätzlichen Verwaltungsaufwand für Bürger und Unternehmen, die unter Einhaltung aller nationalen Vorschriften und Verfahren ihre Binnenmarktrechte ausüben oder ausüben wollen (einschließlich der Freizügigkeit der Bürger), zu verringern, Diskriminierung zu verhindern und um das Funktionieren des Binnenmarktes mit Blick auf die Bereitstellung von Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten sicherzustellen., Da diese Verordnung die Freizügigkeit der Bürger betrifft, was nicht als nebensächlich betrachtet werden kann, sollte sie auf Artikel 21 Absatz 2 und Artikel 114 Absatz 1 AEUV gestützt werden.

(7)

Damit die Bürger und Unternehmen in der Union ihr Recht auf Freizügigkeit im Binnenmarkt ausüben können, sollte die Union spezifische, nichtdiskriminierende Maßnahmen ergreifen, um Bürgern und Unternehmen den Zugang zu hinreichend umfassenden und verlässlichen Informationen über ihre im Unionsrecht festgeschriebenen Rechte und zu Informationen über die anwendbaren nationalen Vorschriften und Verfahren zu erleichtern, die sie einhalten müssen, wenn sie in einen anderen Mitgliedstaat als ihren eigenen ziehen, dort leben oder studieren oder dort ein Unternehmen gründen oder eine Geschäftstätigkeit ausüben. Unter hinreichend umfassender Informationen sollte verstanden werden, dass all diejenigen Informationen zur Verfügung stehen, die die Nutzer benötigen, um Rechte und Verpflichtungen zu kennen sowie zu wissen, welche Vorschriften bezüglich der Tätigkeiten gelten, die sie als grenzüberschreitende Nutzer unternehmen wollen. Die Informationen sollten klar, eindeutig und verständlich formuliert, funktional und auf die Zielgruppe zugeschnitten sein. Informationen über Verfahren sollten alle vorhersehbaren Verfahrensschritte, die für den Benutzer relevant sind, abdecken. Für Bürger und Unternehmen, die sich einem komplexen Regulierungsumfeld gegenübersehen, — wie z. B. in den Bereichen elektronischer Geschäftsverkehr und kollaborative Wirtschaft —, ist es wichtig, dass sie einfach herausfinden können, welche Vorschriften für sie gelten und wie diese Vorschriften auf ihre Tätigkeit Anwendung finden. Unter leichtem und benutzerfreundlichem Zugang zu Informationen wird verstanden, dass die Nutzer in die Lage versetzt werden, Informationen problemlos zu finden, leicht zu erkennen, welche Informationen für ihre besondere Situation relevant sind, und die relevanten Informationen leicht zu verstehen. Die auf nationaler Ebene zur Verfügung zu stellenden Informationen sollten sich nicht nur auf nationale Vorschriften zur Umsetzung des Unionsrechts, sondern auch auf andere nationale Vorschriften beziehen, die gleichermaßen für nicht- grenzüberschreitende und grenzüberschreitende Nutzer gelten.

(8)

Die Bestimmungen in dieser Verordnung über die Bereitstellung von Informationen sollten nicht für die nationalen Justizsysteme gelten, da die für grenzüberschreitende Nutzer in diesem Bereich relevanten Informationen bereits im Europäischen Justizportal verfügbar sind. In einigen von dieser Verordnung erfassten Fällen sollte ein Gericht als eine zuständige Behörde angesehen werden, beispielsweise wenn es Unternehmens-Register verwaltet. Darüber hinaus sollte der Grundsatz der Nichtdiskriminierung auch für Online-Verfahren gelten, die Zugang zu Gerichtsverfahren geben.

(9)

Es liegt auf der Hand, dass Bürger und Unternehmen aus anderen Mitgliedstaaten aufgrund ihrer Unkenntnis der nationalen Vorschriften und Verwaltungssysteme, der Sprachbarriere und der geografischen Entfernung zu den zuständigen Behörden in einem anderen als ihrem Mitgliedstaat im Nachteil sind. Am wirksamsten lassen sich Hindernisse für den Binnenmarkt dadurch überwinden, dass grenzüberschreitenden und nicht- grenzüberschreitenden Nutzern Zugang zu Online-Informationen in einer Sprache gewährt wird, die für sie verständlich ist, um sie in die Lage zu versetzen die Verfahren zur Einhaltung der nationalen Vorschriften vollständig online abwickeln zu können, und ihnen Unterstützung zu bieten, wenn Vorschriften und Verfahren nicht ausreichend klar sind oder wenn sie bei der Ausübung ihrer Rechte auf Hindernisse stoßen.

(10)

Mit einer Reihe von Rechtsakten der Union sollten Lösungen angeboten werden, indem einzige Anlaufstellen pro Wirtschaftszweig -einschließlich der in der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (3) vorgesehenen einheitlichen Ansprechpartner — geschaffen wurden, die Online-Informationen, Hilfsdienste und Zugang zu einschlägigen Verfahren für die Erbringung von Dienstleistungen anbieten, sowie Produktinfostellen, die mit der Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates (4) geschaffen wurden, und Produktinformationsstellen für das Bauwesen, die mit der Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates (5) eingerichtet wurden, die Zugang zu produktspezifischen technischen Vorschriften bieten, und nationale Beratungszentren für berufliche Qualifikationen zur Unterstützung von Fachkräften, die grenzüberschreitend tätig werden, die mit der Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates (6) geschaffen wurden. Außerdem wurden Netze eingerichtet wie z. B. das Netzwerk der europäischen Verbraucherzentren, um das Wissen über Verbraucherrechte in der Union zu fördern und bei der Bearbeitung von Beschwerden im Zusammenhang mit Käufen zu helfen, die in anderen Mitgliedstaaten im Netzwerk auf Reisen oder im Internet getätigt wurden. Überdies zielt das in der Empfehlung der Kommission 2013/461/EU genannte SOLVIT (7) darauf ab, schnelle, wirksame und informelle Lösungen für Einzelpersonen und Unternehmen zu finden, wenn ihnen ihre Rechte im Rahmen des Binnenmarkts von Behörden verwehrt werden. Schließlich wurden mehrere Informationsportale wie „Ihr Europa“ für den Binnenmarkt und das E-Justice-Portal für den Justizbereich eingerichtet, um Nutzer über die Unions- und nationale Vorschriften zu informieren.

(11)

Da sich diese Rechtsakte der Union auf einzelne Wirtschaftszweige beziehen, sind die Bereitstellung von Online-Informationen und Hilfs- und Problemlösungsdiensten sowie die Online-Verfahren für Bürger und Unternehmen nach wie vor sehr fragmentiert. Es bestehen Diskrepanzen bei der Verfügbarkeit von Online-Informationen und -Verfahren, die Dienste weisen Qualitätsmängel auf, und es fehlt an Bewusstsein für diese Informationen und Hilfs- und Problemlösungsdienste. Außerdem ist es für grenzüberschreitende Nutzer schwierig, die Dienste zu finden und Zugang zu ihnen zu erhalten.

(12)

Durch die vorliegende Verordnung sollte ein einheitliches digitales Zugangsportal geschaffen werden, das Bürger und Unternehmen in die Lage versetzen soll, Informationen über die Vorschriften und Anforderungen einzuholen, die sie aufgrund des nationalen und/oder des Unionsrechts einhalten müssen. Das Zugangstor sollte Bürgern und Unternehmen den Kontakt mit den Hilfs- und Problemlösungsdiensten erleichtern, die auf Unions- oder nationaler Ebene bestehen, und diesen Kontakt wirksamer gestalten. Das Zugangstor sollte auch den Zugang zu Online-Verfahren und deren Abschluss vereinfachen. Diese Verordnung sollte keine Auswirkungen auf die bestehenden Rechte und Pflichten nach Unionsrecht oder nationalem Recht in diesen Politikbereichen haben. In Bezug auf die in Anhang II dieser Verordnung aufgeführten Verfahren und die Verfahren nach den Richtlinien 2005/36/EG und 2006/123/EG und nach den Richtlinien 2014/24/EU (8) und 2014/25/EU (9) des Europäischen Parlaments und des Rates sollte diese Verordnung bezüglich des Austausches von Nachweisen zwischen den zuständigen Behörden in den jeweiligen Mitgliedstaaten die Beachtung des Grundsatzes der einmaligen Erfassung unterstützen und das Grundrecht auf den Schutz personenbezogener Daten uneingeschränkt achten.

(13)

Das Zugangstor und sein Inhalt sollten nutzerzentriert und nutzerfreundlich sein. Mit dem Zugangstor sollte darauf abgezielt werden, Überschneidungen zu vermeiden und Verbindungen zwischen bestehenden Diensten zur Verfügung zu stellen. Es sollte Bürgern und Unternehmen die Interaktion mit öffentlichen Stellen auf nationaler und Unionsebene ermöglichen, indem ihnen Gelegenheit gegeben wird, Rückmeldung bezüglich der über das Zugangstor angebotenen Dienste zu geben und dazu Stellung zu nehmen, wie gut der Binnenmarkt ihrer Erfahrung nach funktioniert. Das Instrument für Rückmeldungen sollte den Nutzer, in einer Weise, die es ihm erlaubt anonym zu bleiben, in die Lage versetzen, auf festgestellte Probleme, Mängel und festgestellten Bedarf hinzuweisen, damit die Qualität der Dienste kontinuierlich verbessert werden kann.

(14)

Ob das Zugangstor Erfolg hat, wird von den gemeinsamen Anstrengungen der Kommission und der Mitgliedstaaten abhängen. Zu dem Zugangstor sollten Nutzer über eine gemeinsame, in das bestehende Portal „Ihr Europa“ integrierte Nutzerschnittstelle gelangen, die von der Kommission zu verwalten ist. Auf der gemeinsamen Nutzerschnittstelle sollten Informationen, Verfahren und Hilfs- oder Problemlösungsdienste verlinkt sein, die auf den Portalen der zuständigen Behörden der Mitgliedstaaten und der Kommission bereitstehen. Um die Nutzung des Zugangstors zu erleichtern, sollte die gemeinsame Nutzerschnittstelle in allen Amtssprachen der Organe der Union (im Folgenden „Amtssprachen der Union“) verfügbar sein. Auf dem bestehenden Portal „Ihr Europa“ und seiner Eingangsseite, das bzw. die an die Anforderungen des Zugangstors angepasst ist, sollte in Bezug auf die zur Verfügung gestellten Informationen dieser mehrsprachige Ansatz gewahrt werden. Der Betrieb des Zugangstors sollte durch technische Instrumente unterstützt werden, die von der Kommission in enger Zusammenarbeit mit den Mitgliedstaaten entwickelt werden.

(15)

In der Charta für elektronische einheitliche Ansprechpartner im Sinne der Richtlinie 2006/123/EG, die vom Rat 2013 angenommen wurde, haben sich die Mitgliedstaaten freiwillig verpflichtet, bei der Bereitstellung von Informationen über die einheitlichen Ansprechpartner einen nutzerzentrierten Ansatz zu verfolgen, um Bereiche abzudecken, die für Unternehmen von besonderer Bedeutung sind, einschließlich Mehrwertsteuer, Einkommensteuer, soziale Sicherheit und Arbeitsrecht. Auf Grundlage der Charta und in Anbetracht der Erfahrungen mit dem Portal „Ihr Europa“ sollten die Informationen auch eine Beschreibung der Hilfs- und Problemlösungsdienste umfassen. Bürger und Unternehmen sollten die Möglichkeit haben sich an diese Dienste wenden, falls sie Probleme haben, die Informationen zu verstehen, sie auf ihre Situation anzuwenden oder ein Verfahren abzuschließen.

(16)

In dieser Verordnung sollten die Informationsbereiche aufgeführt werden, die für Bürger und Unternehmen bei der Ausübung ihrer Rechte und der Erfüllung ihrer Pflichten im Binnenmarkt relevant sind. Für diese Bereiche sollten hinreichend umfassende Informationen auf nationaler Ebene — einschließlich der regionalen und lokalen Ebene — und auf Unionsebene zur Verfügung gestellt werden, mit denen die geltenden Vorschriften und Pflichten sowie die Verfahren erläutert werden, die Bürger und Unternehmen befolgen müssen, um diesen Vorschriften und Pflichten nachzukommen. Um die Qualität der angebotenen Dienste sicherzustellen, sollten die über das Zugangstor zur Verfügung gestellten Informationen klar, genau und aktuell sein, auf komplizierte Fachsprache sollte möglichst weitgehend verzichtet werden, und die Verwendung von Akronymen sollte sich auf die vereinfachten und leicht verständlichen Bezeichnungen beschränken, zu deren Verständnis kein Vorwissen über die Rechtsfrage oder den Rechtsbereich erforderlich ist. Diese Informationen sollten in einer Form zur Verfügung gestellt werden, dass die Nutzer die für ihre Situation geltenden grundlegenden Vorschriften und Anforderungen in diesen Bereichen problemlos verstehen können. Die Nutzer sollten zudem darüber informiert werden, dass in bestimmten Mitgliedstaaten keine nationalen Vorschriften über die in Anhang I aufgeführten Informationsbereiche bestehen, was insbesondere dann gilt, wenn in anderen Mitgliedstaaten in diesen Bereichen nationale Rechtsvorschriften gelten. Entsprechende Informationen über das Fehlen nationaler Vorschriften könnten in das Portal „Ihr Europa“ aufgenommen werden.

(17)

Nach Möglichkeit sollten Informationen, die die Kommission bereits im Rahmen des bestehenden Unionsrechts oder freiwilliger Vereinbarungen, — wie zum Beispiel für das EURES-Portal eingeholte Informationen, das mit der Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates (10) eingerichtet wurde, das Europäische Justizportal, das mit der Entscheidung 2001/470/EG des Rates (11) eingerichtet wurde, oder die Datenbank der reglementierten Berufe, die mit der Richtlinie 2005/36/EG eingerichtet wurde —, von den Mitgliedstaaten eingeholt hat, dazu verwendet werden, einen Teil der Informationen zu decken, die den Bürgern und Unternehmen auf Ebene der Union und auf nationaler Ebene gemäß der vorliegenden Verordnung zugänglich zu machen sind. Die Mitgliedstaaten sollten nicht verpflichtet sein, auf ihren nationalen Websites Informationen aufzuführen, die bereits in den einschlägigen, von der Kommission verwalteten Datenbanken zu finden sind. Müssen Mitgliedstaaten bereits aufgrund anderer Rechtsakte der Union Online-Informationen bereitstellen, wie der Richtlinie 2014/67/EU des Europäischen Parlaments und des Rates (12), so sollte es ausreichen, wenn diese Mitgliedstaaten Links zu den bestehenden Online-Informationen bereitstellen. Wenn bestimmte Politikbereiche durch das Unionsrecht bereits vollständig harmonisiert wurden — beispielsweise die Verbraucherrechte —, sollten die auf Unionsebene bereitgestellten Informationen in der Regel ausreichen, um es den Nutzern zu ermöglichen, die für sie relevanten Rechte oder Pflichten zu verstehen In solchen Fällen sollten die Mitgliedstaaten lediglich zusätzliche Informationen über ihre nationalen Verwaltungsverfahren und Hilfsdienste odersonstige nationale Verwaltungsregelungen bereitstellen müssen, wenn das für den Nutzer relevant ist. Beispielsweise sollten Informationen über Verbraucherrechte nicht das Vertragsrecht berühren, vielmehr sollten die Nutzer über ihre im Unionsrecht und im einzelstaatlichen Recht verankerten Rechte im Zusammenhang mit dem Geschäftsverkehr unterrichtet werden.

(18)

Durch die vorliegende Verordnung sollte die Binnenmarktdimension von Online-Verfahren gestärkt und dadurch auch zur Digitalisierung des Binnenmarkts beigetragen werden, indem der allgemeine Grundsatz der Nichtdiskriminierung unter anderem beim Zugang von Bürgern und Unternehmen zu Online-Verfahren gewahrt wird, die bereits auf nationaler Ebene auf der Grundlage des Unions- oder des nationalen Rechts bestehen und bei Verfahren, die gemäß der vorliegenden Verordnung vollständig online verfügbar gemacht werden müssen. Wenn ein Nutzer in einer Situation, die ausschließlich auf einen einzigen Mitgliedstaat begrenzt ist, in diesem Mitgliedstaat in einem in der vorliegenden Verordnung erfassten Bereich Online-Zugang zu einem Verfahren hat und dieses online abwickeln kann, sollte auch ein grenzüberschreitender Nutzer — ohne diskriminierende Hindernisse — auch Online-Zugang zu dem Verfahren haben und dieses online abwickeln können, und zwar entweder mit Hilfe derselben technischen Lösung oder einer alternativen, technisch getrennten Lösung, die zum selben Ergebnis führt. Solche Hindernisse könnten in Form von nationale Lösungen bestehen, wie etwa, wenn in Feldern eine inländische Telefonnummer, eine inländische Telefonvorwahl oder eine inländische Postleitzahl eingegeben werden muss, Gebühren nur über Systeme gezahlt werden können, die grenzüberschreitende Zahlungen nicht zulassen, ausreichende Erklärungen nicht in einer Sprache vorliegen, die von grenzüberschreitenden Nutzern verstanden wird, elektronische Nachweise von Behörden in anderen Mitgliedstaaten nicht eingereicht werden können und in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel nicht akzeptiert werden. Die Mitgliedstaaten sollten Lösungen für diese Hindernisse zu Verfügung stellen.

(19)

Wenn Nutzer Online-Verfahren grenzüberschreitend abwickeln, sollten sie alle relevanten Erläuterungen in einer Amtssprache der Union abrufen können, die allgemein von der größtmöglichen Zahl an grenzüberschreitenden Nutzern verstanden wird. Das bedeutet nicht, dass die Mitgliedstaaten verpflichtet sind ihre Verwaltungsformulare in Verbindung mit dem Verfahren oder das Ergebnis des Verfahrens in diese Sprache übersetzen zu müssen. Den Mitgliedstaaten wird jedoch nahegelegt, technische Lösungen zu verwenden, die es den Nutzern in so vielen Fällen wie möglich erlauben, die Verfahren unter Achtung der Vorschriften des Mitgliedstaats über die Verwendung von Sprachen so weit wie möglich in dieser Sprache abzuwickeln.

(20)

Die nationalen Online-Verfahren, die für grenzüberschreitende Nutzer für die Wahrnehmung ihrer Binnenmarktrechte relevant sind, hängt davon ab, ob diese ihren Wohn- oder Geschäftssitz in dem betreffenden Mitgliedstaat haben oder ob sie von ihrem Wohn- oder Geschäftssitz in einem anderen Mitgliedstaat aus Zugang zu den Verfahren dieses Mitgliedstaats haben wollen. Durch die vorliegende Verordnung sollten die Mitgliedstaaten nicht daran gehindert werden, zu verlangen, dass grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz in ihrem Hoheitsgebiet haben, über eine nationale Identifizierungsnummer verfügen müssen, um Zugang zu den nationalen Online-Verfahren zu erhalten, sofern das nicht mit einem unzumutbaren zusätzlichen Aufwand oder unzumutbaren zusätzlichen Kosten für diese Nutzer verbunden ist. Für grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz nicht in dem betreffenden Mitgliedstaat haben, müssen nationale Online-Verfahren, die für die Wahrnehmung ihrer Binnenmarktrechte nicht relevant sind, beispielsweise die Registrierung zur Inanspruchnahme lokaler Dienstleistungen wie Abfallbeseitigung und Parkausweise, nicht in vollem Umfang online zugänglich gemacht werden.

(21)

Die vorliegende Verordnung sollte auf der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (13) aufbauen, in der die Bedingungen festgelegt sind, zu denen die Mitgliedstaaten bestimmte elektronische Identifizierungsmittel für natürliche und juristische Personen anerkennen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen. Die Verordnung (EU) Nr. 910/2014 legt fest, unter welchen Voraussetzungen es Nutzern erlaubt ist, ihre elektronischen Identifizierungs- und Authentifizierungsmittel für den Online-Zugang zu öffentlichen Diensten in grenzüberschreitenden Situationen zu nutzen. Organe, Einrichtungen und sonstige Stellen der Union werden dazu angehalten, elektronische Identifizierungs- und Authentifizierungsmittel für die Verfahren zu nutzen, für die sie verantwortlich sind.

(22)

Gemäß einer Reihe wirtschaftszweigspezifischer Unionsrechtsakte wie der Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU, müssen Verfahren vollständig online verfügbar sein. In der vorliegenden Verordnung sollte zudem hinsichtlich einiger anderer Verfahren, die für die meisten Bürger und Unternehmen für die grenzüberschreitende Wahrnehmung ihrer Rechte und Erfüllung ihrer Pflichten von zentraler Bedeutung sind, die Anforderung gestellt werden, dass sie vollständig online verfügbar sind.

(23)

Damit Bürger und Unternehmen ohne unnötigen zusätzlichen Verwaltungsaufwand die Vorteile des Binnenmarkts unmittelbar nutzen können, sollte in der vorliegenden Verordnung gefordert werden, dass die Nutzerschnittstelle bei bestimmten in Anhang II dieser Verordnung aufgeführten Schlüsselverfahren für grenzüberschreitende Nutzer vollständig digitalisiert wird. Diese Verordnung sollte zudem festgelegen, anhand welcher Kriterien bestimmt werden kann, ob diese Verfahren als vollständig online verfügbar gelten können. Die Verpflichtung, solch ein Verfahren vollständig online verfügbar zu machen, sollte nur gelten, wenn das Verfahren in dem jeweiligen Mitgliedstaat eingeführt wurde. Diese Verordnung sollte weder auf die Ersteintragung einer Geschäftstätigkeit noch auf die Verfahren zur Gründung von Gesellschaften oder von Unternehmen als juristische Personen noch auf spätere Anmeldungen oder Einreichungen dieser Gesellschaften oder Unternehmen Anwendung finden, da solche Verfahren eines umfassenden Ansatzes bedürfen, durch den digitale Lösungen im gesamten Lebenszyklus von Unternehmen gefördert werden sollen. Wenn sich Unternehmen in einem anderen Mitgliedstaat niederlassen, müssen sie sich und ihre Angestellten bei einem Sozialversicherungs- und einem Versicherungssystem registrieren und Beitragszahlungen zu beiden Systemen leisten. Möglicherweise müssen sie ihre Geschäftstätigkeiten anmelden und Genehmigungen für Änderungen ihrer Geschäftstätigkeiten einholen oder diese registrieren lassen. Diese Verfahren gelten für Unternehmen in vielen Wirtschaftszweigen, weswegen die Forderung angemessen ist, diese Verfahren online zur Verfügung zu stellen.

(24)

In dieser Verordnung sollte klargestellt werden, was es bedeutet, ein Verfahren vollständig online verfügbar zu machen. Ein Verfahren sollte dann als vollständig online verfügbar gelten, wenn der Nutzer sämtliche Schritte der Interaktion mit der zuständigen Behörde („Frontoffice“), vom Zugang bis zum Abschluss, elektronisch, aus der Ferne und über einen Online-Dienst vornehmen kann. Dieser Online-Dienst sollte den Nutzer durch eine Liste aller zu erfüllenden Anforderungen und aller zu übermittelnden Nachweise führen, ihn in die Lage versetzen, die erforderlichen Angaben zu machen und den Nachweis der Einhaltung aller gestellten Anforderungen zu erbringen, und eine automatische Empfangsbestätigung an den Nutzer übermitteln, sofern das Ergebnis des Verfahrens nicht unmittelbar übermittelt wird. Den zuständigen Behörden steht es dennoch frei, den Nutzer direkt zu kontaktieren, wenn für die Abwicklung des Verfahrens weiterer Klärungsbedarf besteht. Die zuständige Behörde sollte dem Nutzer das Ergebnis des Verfahrens gemäß dieser Verordnung nach Möglichkeit ebenfalls auf elektronischem Weg übermitteln, wenn das nach geltendem Unionsrecht und einzelstaatlichem Recht möglich ist.

(25)

Diese Verordnung sollte nicht den Inhalt der in Anhang II aufgeführten Verfahren, die auf nationaler, regionaler oder lokaler Ebene aufgestellt werden, beeinträchtigen, und es werden mit ihr keine materiellen oder verfahrensrechtlichen Vorschriften in den Bereichen festgelegt, die unter Anhang II fallen, einschließlich von Steuerangelegenheiten. Zweck dieser Verordnung ist es, die technischen Anforderungen festzulegen, um dafür zu sorgen, dass solche Verfahren, sofern sie in den betreffenden Mitgliedstaaten eingerichtet wurden, umfassend online zur Verfügung gestellt werden.

(26)

Diese Verordnung sollte nicht die Zuständigkeiten nationaler Behörden während eines Verfahrens berühren, einschließlich der Überprüfung der Richtigkeit und Gültigkeit von übermittelten Informationen und Nachweisen und der Überprüfung der Echtheit, wo die Nachweise anders als mittels technischer Systeme übermittelt wurden, die auf dem Grundsatz der einmaligen Erfassung beruhen. Diese Verordnung sollte auch nicht die Verfahrensabläufe innerhalb und zwischen den zuständigen Behörden („Backoffice“) beeinträchtigen, unabhängig davon, ob diese Abläufe digitalisiert sind oder nicht. Wenn es im Rahmen einiger der Verfahren zur Registrierung von Änderungen der Geschäftstätigkeiten notwendig ist, sollten die Mitgliedstaaten auch weiterhin die Einbindung von Notaren oder Rechtsanwälten vorschreiben können, die möglicherweise Mittel zur Überprüfung, einschließlich von Videokonferenzen oder anderen Online-Mitteln, nutzen wollen, die eine audiovisuelle Verbindung in Echtzeit ermöglichen. Eine entsprechende Einbindung sollte jedoch eine vollständige online-Abwicklung von Verfahren zur Registrierung solcher Änderungen nicht verhindern.

(27)

In manchen Fällen wird von Nutzern möglicherweise verlangt, Nachweise zum Beweis von Sachverhalten zu erbringen, die nicht auf elektronischem Weg festgestellt werden können. Hierzu zählen beispielsweise ärztliche Bescheinigungen, der Nachweis darüber, dass eine Person am Leben ist, der Nachweis der Verkehrstauglichkeit von Kraftfahrzeugen oder die Bestätigung der Fahrgestellnummer. Sofern der Nachweis für solche Sachverhalte in elektronischer Form erbracht werden kann, sollte das keine Ausnahme von dem Grundsatz bilden, dass ein Verfahren vollständig online verfügbar gemacht werden sollte. In anderen Fällen ist es möglicherweise weiterhin notwendig, dass Nutzer eines Verfahrens angesichts des aktuellen Stands der technischen Entwicklung im Rahmen des Online-Verfahrens nach wie vor persönlich bei einer zuständigen Behörde vorstellig werden. Wenn sich solche Ausnahmen nicht aus dem Unionsrecht ergeben, sollten sie auf Fälle beschränkt sein, in denen das aus zwingenden Gründen des Allgemeininteresses in den Bereichen öffentliche Sicherheit, öffentliche Gesundheit oder Bekämpfung von missbräuchlichem Verhalten gerechtfertigt ist. Aus Gründen der Transparenz sollten die Mitgliedstaaten der Kommission und den anderen Mitgliedstaaten Informationen über solche Ausnahmen sowie die Gründe und Umstände zur Verfügung stellen, aus bzw. unter denen diese Ausnahmen Anwendung finden können. Die Mitgliedstaaten sollten nicht verpflichtet sein, über jeden Einzelfall Bericht zu erstatten, in dem ausnahmsweise physische Anwesenheit erforderlich war, sondern die nationalen Bestimmungen übermitteln, die in solchen Fällen gelten. Bewährte Verfahren auf nationaler Ebene und technische Entwicklungen, die eine weitere diesbezügliche Digitalisierung ermöglichen, sollten regelmäßig in einer Koordinierungsgruppe für das Zugangstor erörtert werden.

(28)

In grenzüberschreitenden Fällen könnte das Verfahren zur Eintragung einer Adressenänderung aus zwei getrennten Verfahren bestehen, und zwar einem im Herkunftsmitgliedstaat zur Abmeldung von der alten Anschrift und einem im Bestimmungsmitgliedstaat zur Anmeldung an der neuen Anschrift. Beide Verfahren sollten in den Anwendungsbereich dieser Verordnung fallen.

(29)

Da die Digitalisierung von Anforderungen, Verfahren und Formalitäten zur Anerkennung beruflicher Qualifikationen bereits in der Richtlinie 2005/36/EG geregelt ist, sollte diese Verordnung nur die Digitalisierung des Verfahrens zur Beantragung der akademischen Anerkennung von Diplomen, Prüfungszeugnissen oder anderen Nachweisen über abgeschlossene Ausbildungen in Bezug auf Personen einschließen, die ein Studium beginnen oder fortsetzen oder einen akademischen Titel verwenden möchten, abgesehen von den Formalitäten im Zusammenhang mit der Anerkennung von beruflichen Qualifikationen.

(30)

Die vorliegende Verordnung sollte nicht die Vorschriften zur Koordinierung der nationalen Systeme der sozialen Sicherheit gemäß Verordnung (EG) Nr. 883/2004 (14) und Verordnung (EG) Nr. 987/2009 (15) des Europäischen Parlaments und des Rates berühren, in denen die Rechte und Pflichten der Versicherten und der Sozialversicherungsträger sowie die im Bereich der Koordinierung der sozialen Sicherheit geltenden Verfahren festgelegt sind.

(31)

Auf Unions- und nationaler Ebene wurden mehrere Netze und Dienste eingerichtet, um Bürger und Unternehmen bei ihrer grenzüberschreitenden Geschäftstätigkeit zu unterstützen. Es ist wichtig, dass diese Dienste, einschließlich bestehender, auf Unionsebene eingerichteter Hilfs- oder Problemlösungsdienste, wie beispielsweise Europäische Verbraucherzentren, „Ihr Europa — Beratung“, SOLVIT, Helpdesk für Rechte des geistigen Eigentums, Europe Direct und Enterprise Europe Network, Teil des Zugangstors sind, damit gewährleistet ist, dass alle potenziellen Nutzer sie finden können. Die in Anhang III aufgeführten Dienste wurden im Wege verbindlicher Rechtsakte der Union eingerichtet, andere Dienste wiederum werden auf freiwilliger Basis betrieben. Die Dienste, die im Wege verbindlicher Rechtsakte der Union eingerichtet wurden, sollten verpflichtet sein, die in der vorliegenden Verordnung festgelegten Qualitätsanforderungen einzuhalten. Auf rein freiwilliger Basis betriebene Dienste sollten diese Qualitätsanforderungen erfüllen, wenn beabsichtig wird, sie über das Zugangstor zur Verfügung zu stellen. Der Umfang und die Art dieser Dienste, ihre Verwaltungsregelungen, bestehende Fristen und die freiwillige, vertragliche oder sonstige Basis ihrer Tätigkeit sollten durch diese Verordnung nicht berührt werden. Wenn zum Beispiel die von ihnen geleistete Hilfe informeller Art ist, sollte diese Verordnung nicht die Umwandlung dieser Hilfe in eine verbindliche Rechtsberatung bewirken.

(32)

Außerdem sollten die Mitgliedstaaten und die Kommission in der Lage sein, weitere nationale Hilfs- oder Problemlösungsdienste in das Zugangstor aufzunehmen, die von den zuständigen Behörden, von privaten oder halböffentlichen Einrichtungen oder von öffentlichen Stellen, z. B. Handelskammern oder nichtstaatlichen Hilfsdiensten für Bürger, gemäß den Bedingungen der vorliegenden Verordnung angeboten werden. Grundsätzlich sollten die zuständigen Behörden Verantwortung dafür tragen, die Anfragen von Bürgern und Unternehmen hinsichtlich geltender Regeln und Verfahren zu beantworten, die von Online-Diensten nicht vollumfänglich bearbeitet werden können. In sehr spezifischen Bereichen allerdings und wenn die von privaten oder halböffentlichen Einrichtungen angebotenen Dienste den Anforderungen der Nutzer gerecht werden, können die Mitgliedstaaten der Kommission vorschlagen, dass sie diese Dienste über das Zugangstor zur Verfügung stellt, sofern diese Dienste alle in den Bedingungen dieser Verordnung erfüllen und sich nicht mit den über das Zugangstor bereits verfügbaren Hilfs- oder Problemlösungsdiensten überlappen.

(33)

Um den Nutzern beim Auffinden des jeweils angemessenen Dienstes behilflich zu sein, sollte die vorliegende Verordnung eine Suchmaschine für Hilfsdienste vorsehen, die die Nutzer automatisch zum richtigen Dienst führt.

(34)

Der Erfolg des Zugangstors hängt wesentlich von der Einhaltung bestimmter Mindestanforderungen an die Qualität ab, mit der die Verlässlichkeit der Informationen oder Dienste gewährleistet wird, da die Glaubwürdigkeit des Portals als Ganzes anderenfalls erheblich beeinträchtigt würde. Mit Ziel der Einhaltung der Anforderungen soll vorrangig gewährleistet werden, dass die Informationen oder Dienste in einer klaren und nutzerfreundlichen Weise präsentiert werden. Es ist Sache der Mitgliedstaaten, zu bestimmen, wie die Informationen den Nutzern in den jeweiligen Phasen des Verfahrens präsentiert werden, um dieses Ziel zu erreichen. So ist es für die Nutzer beispielsweise zwar hilfreich, über die allgemein verfügbaren Rechtsbehelfe für den Fall eines negativen Ausgangs des Verfahrens informiert zu sein, bevor sie ein Verfahren einleiten, es ist jedoch viel nutzerfreundlicher, solche spezifischen Informationen über die Schritte, die in einem solchen Fall unternommen werden können, am Ende des Verfahrens zur Verfügung zu stellen.

(35)

Für grenzüberschreitende Nutzer kann der Zugang zu Informationen deutlich verbessert werden, wenn die Informationen in einer Amtssprache der Union, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, abgefasst sind. Bei dieser Sprache dürfte es sich in den meisten Fällen um die Fremdsprache handeln, die unionsweit von Nutzern am häufigsten erlernt wird, aber in einigen Fällen, und insbesondere dann, wenn die Informationen auf lokaler Ebene von kleinen Gemeinschaften in Grenznähe eines Mitgliedstaats zur Verfügung gestellt werden, kann es sich bei der geeignetsten Sprache um die Erstsprache der grenzüberschreitenden Nutzer im benachbarten Mitgliedstaat handeln. Die Übersetzung aus der Amtssprache oder den Amtssprachen des betreffenden Mitgliedstaats in eine weitere Amtssprache der Union sollte die Informationen der ausgangssprachlichen Fassung(en) inhaltlich korrekt wiedergeben. Die Übersetzung kann auf die Informationen beschränkt werden, die die Nutzer benötigen, um die für ihre Situation geltenden grundsätzlichen Vorschriften und Anforderungen zu verstehen. Die Mitgliedstaaten sollten zwar darin bestärkt werden, möglichst viele Informationen in eine Amtssprache der Union zu übersetzen, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, der Umfang dieser Verordnung zur übersetzenden Informationen hängt jedoch von den hierzu zur Verfügung stehenden finanziellen Mitteln ab, vor allem jenen des Unionshaushalts. Die Kommission sollte die entsprechenden Vorkehrungen treffen, um für eine effiziente Bereitstellung von Übersetzungen an die Mitgliedstaaten auf deren Ersuchen zu sorgen. Die Koordinierungsgruppe für das Zugangstor sollte erörtern, in welche Amtssprache bzw. Amtssprachen der Union diese Informationen übersetzt werden sollten, und Leitlinien hierzu zur Verfügung stellen.

(36)

Gemäß der Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates (16) müssen die Mitgliedstaaten sicherstellen, dass die Websites ihrer öffentlichen Stellen gemäß den Grundsätzen der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit zugänglich sind und dass sie den in dieser Richtlinie festgelegten Anforderungen genügen. Die Kommission und die Mitgliedstaaten sollten die Einhaltung des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen, insbesondere der Artikel 9 und 21, gewährleisten, und um den Zugang zu Informationen durch Personen mit geistigen Behinderungen zu fördern, sollten Alternativen in leicht lesbarer Sprache möglichst weitgehend gemäß dem Grundsatz der Verhältnismäßigkeit zur Verfügung gestellt werden. Die Mitgliedstaaten haben sich durch die Ratifizierung und die Union durch den Abschluss (17) des Übereinkommens verpflichtet, angemessene Maßnahmen zu ergreifen, um für Menschen mit Behinderungen den gleichberechtigten Zugang zu neuen Informations- und Kommunikationstechnologien und -systemen zu gewährleisten, indem der Zugang zu Informationen durch Personen mit geistigen Behinderungen dadurch erleichtert wird, dass Alternativen in leicht lesbarer Sprache möglichst weit gehend und proportional zur Verfügung gestellt werden.

(37)

Obwohl die Richtlinie (EU) 2016/2102 nicht für Websites und mobile Anwendungen der Organe, Einrichtungen und sonstigen Stellen der Union gilt, sollte die Kommission sicherstellen, dass die gemeinsame Nutzerschnittstelle und in ihre Zuständigkeit fallende Webseiten, die über das Zugangstor verfügbar gemacht werden sollen, für Personen mit Behinderungen zugänglich sind, d. h. dass sie wahrnehmbar, bedienbar, verständlich und robust sein müssen. Wahrnehmbarkeit bedeutet, dass die Informationen und Komponenten der gemeinsamen Nutzerschnittstellen den Nutzern in einer Weise dargestellt werden müssen, dass sie sie wahrnehmen können; Bedienbarkeit bedeutet, dass die Nutzer die Komponenten der gemeinsamen Nutzerschnittstelle und die Navigation handhaben können müssen; Verständlichkeit bedeutet, dass die Informationen und die Handhabung der gemeinsamen Nutzerschnittstelle verständlich sein müssen, und Robustheit bedeutet, dass die Inhalte robust genug sein müssen, damit sie zuverlässig von einer Vielfalt von Benutzeragenten, einschließlich assistiver Technologien, interpretiert werden können. Die Kommission wird im Sinne der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit dazu angehalten, den einschlägigen harmonisierten Normen zu entsprechen.

(38)

Zur Erleichterung der Zahlung von Gebühren die im Rahmen eines Online-Verfahrens oder für die Erbringung von Hilfs- oder Problemlösungsdiensten anfallen, sollten grenzüberschreitende Nutzer in der Lage sein, Überweisungen oder Lastschriften gemäß der Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates (18) oder andere allgemein verwendete grenzüberschreitende Zahlungsmittel, einschließlich Debit- oder Kreditkarten, zu nutzen.

(39)

Die Nutzer sollten erfahren, wie viel Zeit ein Verfahren voraussichtlich in Anspruch nehmen kann. In diesem Zusammenhang sollten die Nutzer über einzuhaltende Fristen oder Regelungen zur stillschweigenden Zustimmung oder anderen Rechtswirkungen bei Schweigen der Verwaltung informiert werden oder, falls solche nicht anwendbar sind, zumindest über die durchschnittliche, geschätzte oder voraussichtliche Zeit, die das betreffende Verfahren in der Regel erfordert. Solche Schätzungen oder Angaben sollten es den Nutzern lediglich ermöglichen, ihre Aktivitäten oder anschließenden administrativen Schritte zu planen und sollten keine Rechtswirkung entfalten.

(40)

Die vorliegende Verordnung sollte auch die Überprüfung der von den Nutzern elektronisch vorgelegten Nachweise ermöglichen, wenn die ausstellende zuständige Behörde diese Nachweise ohne elektronisches Siegel oder Zertifizierung ausgestellt hat oder das in der vorliegenden Verordnung eingeführte technische Instrument oder ein anderes System zum direkten Austausch oder zur Überprüfung von Nachweisen zwischen zuständigen Behörden verschiedener Mitgliedstaaten nicht verfügbar ist. Für solche Fälle sollte die Verordnung einen wirksamen Mechanismus für die Verwaltungszusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten vorsehen, der auf dem Binnenmarktinformationssystem (IMI) beruht, das im Wege der Verordnung (EU) Nr. 1024/2012 des Europäischen Parlaments und des Rates eingerichtet wurde (19). In solchen Fällen sollte die Entscheidung einer zuständigen Behörde zur Nutzung des IMI freiwillig erfolgen, aber sobald diese Behörde einen Antrag auf Informationen oder Zusammenarbeit über das IMI übermittelt hat, sollte die ersuchte zuständige Behörde zur Zusammenarbeit und Antwort verpflichtet sein. Der Antrag kann über das IMI entweder an eine zuständige Behörde, die den Nachweis erstellt, oder an die zentrale Behörde, die die Mitgliedstaaten gemäß ihren eigenen Verwaltungsbestimmungen festlegen, gesendet werden. Um unnötige Doppelerfassungen zu vermeiden, und weil die Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates (20) einen Teil der Nachweise betrifft, die für die in dieser Verordnung geregelten Verfahren relevant sind, können die Bestimmungen für die Zusammenarbeit im Rahmen des IMI gemäß der Verordnung (EU) 2016/1191 auch für die Zwecke anderer Nachweise angewandt werden, die in Verfahren benötigt werden, die unter diese Verordnung fallen. Um die Einrichtungen und sonstigen Stellen der Union zu IMI-Akteuren zu machen, sollte die Verordnung (EU) Nr. 1024/2012 geändert werden.

(41)

Online-Dienste zuständiger Behörden sind von wesentlicher Bedeutung, um die Qualität und die Sicherheit der Dienste für Bürger sowie Unternehmen zu verbessern. Behörden in Mitgliedstaaten arbeiten zunehmend darauf hin, Daten wiederzuverwenden und dadurch darauf zu verzichten, Bürger sowie Unternehmen mehr als einmal um Vorlage derselben Information zu ersuchen. Die Wiederverwendung von Daten sollte auch für grenzüberschreitende Nutzer vereinfacht werden, um ihnen zusätzlichen Aufwand zu ersparen.

(42)

Um den rechtmäßigen grenzüberschreitenden Austausch von Nachweisen und Informationen durch die unionsweite Anwendung des Grundsatzes der einmaligen Erfassung zu ermöglichen, sollten bei der Anwendung dieser Verordnung und des Grundsatzes der einmaligen Erfassung alle anwendbaren Datenschutzvorschriften, einschließlich des Grundsatzes der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit, der Notwendigkeit, der Verhältnismäßigkeit und der Zweckbindung eingehalten werden. Ihre Umsetzung sollte auch vollumfänglich die Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes einhalten. und den Grundrechten von Einzelpersonen, einschließlich der Grundrechte, die sich auf Fairness und Transparenz beziehen, Rechnung tragen.

(43)

Die Mitgliedstaaten sollten sicherstellen, dass die Nutzer von Verfahren klare Informationen darüber erhalten, wie die sie betreffenden personenbezogenen Daten gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (21) und den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 (22) verarbeitet werden.

(44)

Um die Nutzung von Online-Verfahren weiter zu vereinfachen, sollte die vorliegende Verordnung gemäß dem Grundsatz der einmaligen Erfassung die Grundlage für die Schaffung und Verwendung eines vollständig funktionsfähigen, sicheren technischen Systems für den automatisierten grenzüberschreitenden Austausch von Nachweisen zwischen den am Verfahren beteiligten Akteuren schaffen, sofern dieser von Bürgern und Unternehmen ausdrücklich gewünscht wird. Umfasst der Austausch von Nachweisen personenbezogene Daten, so sollte der Antrag als ausdrücklich gelten, wenn er einen aus freien Stücken erteilten, spezifischen, faktengestützten und unzweideutigen Hinweis — entweder durch eine Erklärung oder durch eine bestätigende Handlung — auf den Wunsch der Person enthält, dass die einschlägigen personenbezogenen Daten ausgetauscht werden sollen. Ist der Nutzer nicht die von den Daten betroffene Person, so darf das Online-Verfahren seine Rechte gemäß der Verordnung (EU) 2016/679 nicht beeinträchtigen. Die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung sollte dazu führen, dass Bürger und Unternehmen Behörden dieselben Daten nicht mehr als einmal vorlegen müssen und dass diese Daten auf Wunsch des Nutzers auch für die Zwecke der grenzüberschreitenden Abwicklung von Online-Verfahren, an denen grenzüberschreitende Nutzer beteiligt sind, verwendet werden können. Die Verpflichtung, das technische System für den automatisierten Austausch von Nachweisen zwischen den verschiedenen Mitgliedstaaten zu nutzen, sollte für die zuständige ausstellende Behörden nur gelten, wenn die Behörden in ihrem Mitgliedstaat rechtmäßig Nachweise in einem elektronischen Format ausstellen, das einen automatisierten Austausch ermöglicht.

(45)

Jeder grenzüberschreitende Austausch von Nachweisen sollte auf eine geeignete Rechtsgrundlage gestützt sein, wie in den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU oder 2014/25/EU, oder — für die in Anhang II aufgeführten Verfahren — in anderen geltenden Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt.

(46)

Es ist angemessen, dass diese Verordnung als allgemeine Regel festlegt, dass der grenzüberschreitende automatisierte Austausch von Nachweisen auf ausdrücklichen Wunsch des Nutzers stattfindet. Diese Anforderung sollte allerdings nicht gelten, wenn die einschlägigen Rechtsvorschriften der Union oder der Mitgliedstaaten den automatisierten grenzüberschreitenden Datenaustausch ohne ausdrücklichen Wunsch des Nutzers ermöglichen.

(47)

Die Nutzung des durch diese Verordnung eingeführten technischen Systems sollte weiterhin freiwillig sein, und dem Nutzer sollte es weiterhin freistehen, Nachweise auf anderem Wege als dem vorgesehenen technischen System vorzulegen. Der Nutzer sollte die Möglichkeit haben, die Nachweise vorab einzusehen, und das Recht, sich in Fällen, in denen er nach Voreinsichtnahme in die auszutauschenden Nachweise feststellt, dass die Informationen nicht zutreffend, nicht aktuell oder für das jeweilige Verfahren überflüssig sind, zu entscheiden, nicht mit dem Austausch von Nachweisen fortzufahren. Die Daten, die vorab eingesehen werden, sollten nicht länger als für den technisch notwendigen Zeitraum gespeichert werden.

(48)

Das sichere technische System, das für den Austausch von Nachweisen gemäß der vorliegenden Verordnung eingerichtet werden sollte, sollte den anfordernden zuständigen Behörden die Gewissheit verschaffen, dass die Nachweise von der richtigen ausstellenden Behörde eingereicht wurden. Bevor die zuständige Behörde Informationen annimmt, die ein Nutzer im Rahmen eines Verfahrens bereitgestellt hat, sollte sie — wenn Anlass zu Zweifeln bestehen — die Möglichkeit haben, diese Informationen zu überprüfen und ihre Richtigkeit festzustellen.

(49)

Es gibt eine Reihe von Bausteinen, die grundlegende Kapazitäten bieten, die zur Einrichtung des technischen Systems genutzt werden können, beispielsweise die Bausteine der mit der Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates (23) eingeführten Fazilität „Connecting Europe“ (CEF), und die Bausteine zur elektronischen Zustellung (eDelivery) und zur elektronischen Identifizierung (eID), die Teile dieser Fazilität sind. Diese Bausteine bestehen aus technische Spezifikationen, Beispiel-Software und unterstützende Dienste und sollen die Interoperabilität zwischen den bestehenden Systemen der Informations- und Kommunikationstechnologie (IKT) in den verschiedenen Mitgliedstaaten sicherstellen, sodass Bürger, Unternehmen und Behörden überall in der Union Nutzen aus nahtlosen digitalen öffentlichen Diensten ziehen können.

(50)

Das auf Grundlage dieser Verordnung eingeführte technische System sollte neben anderen Systemen bestehen, die Mechanismen für die Zusammenarbeit zwischen Behörden zur Verfügung stellen, etwa das Binnenmarktinformationssystem, ohne andere Systeme, darunter auch das in der Verordnung (EG) Nr. 987/2009 genannte System, die Einheitliche Europäische Eigenerklärung gemäß der Richtlinie 2014/24/EU, der elektronische Austausch von Information der sozialen Sicherheit gemäß der Verordnung (EG) Nr. 987/2009, der Europäische Berufsausweis gemäß der Richtlinie 2005/36/EG, die Verknüpfung nationaler Register und die Vernetzung von Zentral-, Handels- und Gesellschaftsregistern gemäß der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates (24) und die Vernetzung von Insolvenzregistern gemäß der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates (25), zu beeinträchtigen.

(51)

Um einheitliche Bedingungen für die Umsetzung eines technischen Systems zum automatisierten Austausch von Nachweisen zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund deren sie insbesondere die technischen und operativen Spezifikationen eines Systems zur Verarbeitung von Anträgen von Nutzern auf den Austausch von Nachweisen und die Übertragung solcher Nachweise sowie Vorschriften, die zur Gewährleistung der Integrität und Vertraulichkeit der Übertragung erforderlich sind, festlegt. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden.

(52)

Im Hinblick auf die Gewährleistung eines hohen Sicherheitsniveaus für die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung durch das technische System sollte die Kommission beim Erlass von Durchführungsrechtsakten zur Festlegung der Spezifikationen für ein solches technisches System den von europäischen und internationalen Normungsorganisationen und -gremien, insbesondere dem Europäischen Komitee für Normung (CEN), dem Europäischen Institut für Telekommunikationsnormen (ETSI), der Internationalen Organisation für Normung (ISO) und der Internationalen Fernmeldeunion (ITU), festgelegten Normen und technischen Spezifikationen sowie den Sicherheitsstandards gemäß Artikel 32 der Verordnung (EU) 2016/679 und Artikel 22 der Verordnung (EU) 2018/1725 umfassend Rechnung tragen.

(53)

Die Kommission sollte den Europäischen Datenschutzbeauftragten konsultieren, wenn das erforderlich ist, um die Entwicklung, die Verfügbarkeit, die Wartung, die Überwachung, die Kontrolle und das Sicherheitsmanagement der Teile des technischen Systems, für die Kommission zuständig ist, sicherzustellen.

(54)

Die zuständigen Behörden und die Kommission sollten sicherstellen, dass die Informationen, Verfahren und Dienste für die sie verantwortlich sind den Sicherheitskriterien entsprechen. Die gemäß dieser Verordnung bestellten nationalen Koordinatoren und die Kommission sollten die Einhaltung der Qualitäts- und Sicherheitskriterien auf nationaler Ebene und auf Unionsebene in regelmäßigen Abständen überprüfen und auftretende Probleme angehen. Die nationalen Koordinatoren sollten die Kommission darüber hinaus bei der Überwachung des Funktionierens des technischen Systems, das den grenzüberschreitenden Austausch von Nachweisen ermöglicht, unterstützen. Die vorliegende Verordnung sollte der Kommission verschiedene Mittel an die Hand geben, um einer möglichen Verschlechterung der Qualität der über das Zugangstor angebotenen Dienste entgegenzuwirken; je nachdem, wie schwerwiegend und dauerhaft eine solche Verschlechterung ist, würde auch die Koordinierungsgruppe gegebenenfalls für das Zugangstor mit einbezogen werden. Die Kommission trägt dennoch die Gesamtverantwortung dafür, zu überwachen, dass die Bestimmungen der vorliegenden Verordnung eingehalten werden.

(55)

In der vorliegenden Verordnung sollten die Hauptfunktionen der technischen Instrumente spezifiziert werden, die die Funktionsweise des Zugangstors unterstützen, insbesondere die gemeinsame Nutzerschnittstelle, die Link-Ablage und die gemeinsame Suchmaschine für Hilfsdienste. Die gemeinsame Nutzerschnittstelle sollte sicherstellen, dass Nutzer auf Websites auf nationaler Ebene und auf Unionsebene problemlos Informationen, Verfahren und Hilfs- und Problemlösungsdienste finden können. Die Mitgliedstaaten und die Kommission sollten sich bemühen, Links zu einer einzigen Quelle der für das Zugangstor erforderlichen Informationen bereitzustellen, um Verwirrung unter den Nutzern aufgrund von unterschiedlichen oder sich ganz oder teilweise überschneidenden Quellen derselben Informationen zu vermeiden. Das sollte nicht die Möglichkeit ausschließen, eine Verknüpfung per Link mit den entsprechenden Informationen, die von lokalen oder regionalen zuständigen Behörden in Bezug auf verschiedene geografische Gebiete bereitzustellen. Es sollte auch nicht die Doppelerfassung von Informationen verhindern, wenn diese unvermeidbar oder gewünscht ist, zum Beispiel wenn Unionsrechte, -pflichten und -vorschriften auf nationalen Internetseiten zur Verbesserung der Benutzerfreundlichkeit wiederholt oder beschrieben werden. Um menschliches Eingreifen in die Aktualisierung der Links, die von der gemeinsamen Nutzerschnittstelle genutzt werden, so gering wie möglich zu halten, sollte eine direkte Verbindung zwischen den einschlägigen technischen Systemen der Mitgliedstaaten und der Linkablage eingerichtet werden, soweit das technisch möglich ist. Die gemeinsamen IKT-Unterstützungsinstrumente könnten das gemeinsame Datenmodell CPSV (Core Public Services Vocabulary, Grundwortschatz für öffentliche Dienste) verwenden, um die Interoperabilität mit den Katalogen und der Semantik des nationalen Dienstes zu erleichtern. Die Mitgliedstaaten sollten darin bestärkt werden, das CPSV zu nutzen, es steht ihnen aber frei, zu Lösungen auf nationaler Ebene zu greifen. Die in der Linkablage erfassten Informationen sollten in einem offenen, gängigem und maschinenlesbaren Datenformat öffentlich zugänglich gemacht werden, beispielsweise durch Anwendungsprogrammierschnittstellen (API), um ihre Wiederverwendung zu ermöglichen.

(56)

Mit dem Suchwerkzeug der gemeinsamen Nutzerschnittstelle sollten die Nutzer die Informationen finden können, die sie benötigen, sei es auf Internetseiten auf Unionsebene oder auf nationaler Ebene. Sie wird Nutzer auch insofern zu nützlichen Informationen führen, als sie das Verlinken bestehender und einander ergänzender Websites oder Webseiten, ihre bestmögliche Straffung und Bündelung und das Setzen von Links zwischen Webseiten und Websites auf Unionsebene und auf nationaler Ebene für den Zugang zu Online-Diensten und Online-Informationen unterstützt.

(57)

In dieser Verordnung sollten auch konkrete Qualitätsanforderungen an die gemeinsame Nutzerschnittstelle festgelegt werden. Die Kommission sollte dafür sorgen, dass die gemeinsame Nutzerschnittstelle diesen Anforderungen genügt und die Nutzerschnittstelle sollte insbesondere online über verschiedene Kanäle verfügbar sowie zugänglich und leicht zu bedienen sein.

(58)

Um einheitliche Bedingungen für die Umsetzung der technischen Lösungen zur Unterstützung des Zugangstors zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund derer sie gegebenenfalls die geltenden Normen und Anforderungen an die Interoperabilität zur Erleichterung der Auffindbarkeit von Informationen zu Vorschriften und Pflichten, zu Verfahren und zu Hilfs- und Problemlösungsdiensten unter der Verantwortung der Mitgliedstaaten und der Kommission im Einzelnen festlegt. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden.

(59)

In der vorliegenden Verordnung sollten auch die Zuständigkeiten für die Entwicklung, Verfügbarkeit, Wartung und Sicherheit der IKT-Anwendungen zur Unterstützung des Zugangstors klar zwischen der Kommission und den Mitgliedstaaten aufgeteilt werden. Im Rahmen der Wartungsaufgaben sollten die Kommission und die Mitgliedstaaten regelmäßig prüfen, ob diese IKT-Anwendungen reibungslos funktionieren.

(60)

Um das Potenzial der verschiedenen Informationsbereiche voll auszuschöpfen, müssen die Verfahren und Hilfs- und Problemlösungsdienste, die über das Zugangstor verfügbar gemacht werden sollen, sowie das Wissen der Zielgruppen um deren Existenz und Funktionsweise drastisch verbessert werden. Durch die Verfügbarkeit der Dienste über das Zugangstor dürfte es für die Nutzer deutlich einfacher werden, die von ihnen benötigten Informationen, Verfahren und Hilfs- und Problemlösungsdienste zu finden, die sie auch dann benötigen, wenn sie mit ihnen nicht vertraut sind. Außerdem bedarf es einer koordinierten Werbung, um zu gewährleisten, dass Bürger und Unternehmen überall in der Union von dem Zugangstor und den damit verbundenen Vorteilen erfahren. Derartige Öffentlichkeitsarbeit sollte die Optimierung der Suchmaschinen und andere Online-Sensibilisierungsmaßnahmen umfassen, da sie am kostenwirksamsten sind und das Potenzial haben, die größtmögliche Zielgruppe zu erreichen. Um größtmögliche Effizienz zu erzielen, sollten diese Werbeaktionen im Rahmen der Koordinierungsgruppe für das Zugangstor vorgenommen werden und die Mitgliedstaaten ihre Werbung derart anpassen, dass in allen einschlägigen Zusammenhängen auf eine gemeinsame Marke Bezug genommen wird und die Möglichkeit für eine Markenpartnerschaft zwischen dem Zugangstor und den nationalen Initiativen besteht.

(61)

Alle Organe, Einrichtungen und sonstigen Stellen der Union sollten dazu angehalten werden, das Zugangstor zu fördern, indem sie auf allen einschlägigen Websites, für die sie jeweils verantwortlich sind, sein Logo und Links zum Zugangstor anführen.

(62)

Der Name, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, lautet „Your Europe“. Die gemeinsame Nutzerschnittstelle sollte insbesondere auf einschlägigen Internetseiten der Union und der Mitgliedstaaten prominent platziert und leicht zu finden sein. Das Logo des Zugangstors sollte auf den einschlägigen Websites der Union und der Mitgliedstaaten abgebildet werden.

(63)

Um angemessene Informationen zu erhalten, anhand derer die Leistungsfähigkeit des Zugangstors gemessen und verbessert werden kann, sollten die zuständigen Behörden und die Kommission mit der vorliegenden Verordnung zur Erhebung und Analyse von Daten zur Nutzung der verschiedenen über das Zugangstor verfügbaren Informationsbereiche, Verfahren und Dienste verpflichtet werden. Die Erhebung statistischer Nutzerdaten, etwa Daten über die Anzahl der Besuche bestimmter Internetseiten, die Anzahl der Nutzer in einem Mitgliedstaat im Vergleich mit der Anzahl der Nutzern aus anderen Mitgliedstaaten, eingegebene Suchbegriffe, am häufigsten besuchte Internetseiten, Referral-Websites oder die Anzahl, den Ursprung und den Gegenstand von Hilfeersuchen, sollte die Funktionsweise des Zugangstors verbessern, indem sie die Ermittlung der Zielgruppe, die Entwicklung von Öffentlichkeitsarbeit und die Verbesserung der Qualität der angebotenen Dienste unterstützt. Bei der Erhebung solcher Daten sollte dem jährlichen von der Kommission durchgeführten eGovernment-Benchmarking Rechnung getragen werden, um Doppelarbeit zu vermeiden.

(64)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden., damit sie einheitliche Regeln für die Methode zur Erhebung und die Methode zum Austausch statistischer Nutzerdaten festlegen kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden.

(65)

Die Qualität des Zugangstors hängt von der Qualität der über das Zugangstor angebotenen Dienste der Union und der Mitgliedstaaten ab. Daher sollte die Qualität der über das Zugangstor verfügbaren Informationen, Verfahren, Hilfs- und Problemlösungsdienste auch regelmäßig überprüft werden, anhand eines Instruments für Rückmeldungen der Nutzer, durch das die Nutzer um eine Beurteilung bzw. Rückmeldung bezüglich der Abdeckung und Qualität der von ihnen in Anspruch genommenen Informationen, Verfahren, oder Hilfs- und Problemlösungsdienste ersucht werden. Diese Rückmeldungen sollten in einem gemeinsamen Instrument zusammengetragen, zu dem die Kommission, die zuständigen Behörden und die nationalen Koordinatoren Zugang haben sollten. Der Kommission sollten Durchführungsbefugnisse übertragen werden, damit sie einheitliche Bedingungen für die Durchführung der vorliegenden Verordnung in Bezug auf die gemeinsamen Funktionen der Instrumente für Rückmeldungen der Nutzer und die genauen Vereinbarungen zur Erhebung und gemeinsamen Nutzung der Nutzerrückmeldungen gewährleisten kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden. Die Kommission sollte online anonymisierte Gesamtübersichte über die Probleme, wesentliche Nutzerstatistiken und die wichtigsten Rückmeldungen der Nutzer veröffentlichen, die gemäß dieser Verordnung eingeholt wurden.

(66)

Außerdem sollte das Zugangstor ein Rückmeldeinstrument beinhalten, das Nutzer in die Lage versetzt, etwaige Probleme und Schwierigkeiten, auf die sie bei der Wahrnehmung ihrer Binnenmarktrechte gestoßen sind, freiwillig und anonym zu melden. Dieses Instrument ist lediglich als Ergänzung zu den Mechanismen zur Bearbeitung von Beschwerden zu verstehen, da Nutzer keine personalisierte Antwort erhalten können. Die eingegangenen Rückmeldungen sollten mit aggregierten Informationen der Hilfs- und Problemlösungsdienste über die von ihnen bearbeiteten Fälle kombiniert werden, um einen Überblick darüber zu erstellen, wie der Binnenmarkt von den Nutzern wahrgenommen wird, und um Problembereiche zu ermitteln, in denen sich durch mögliche künftige Maßnahmen das Funktionieren des Binnenmarkts verbessern ließe. Dieser Überblick sollte mit bestehenden Berichterstattungsinstrumenten, wie zum Beispiel dem Binnenmarktanzeiger, verlinkt werden.

(67)

Das Recht der Mitgliedstaaten, darüber zu entscheiden, wer die Rolle des nationalen Koordinators übernehmen sollte, sollte von dieser Verordnung unberührt sein. Die Mitgliedstaaten sollten in der Lage sein, die Funktionen und Zuständigkeiten ihrer nationalen Koordinatoren im Zusammenhang mit dem Zugangstor an ihre internen Verwaltungsstrukturen anzupassen. Die Mitgliedstaaten sollten in der Lage sein, zusätzliche nationale Koordinatoren zu ernennen, die die Aufgaben im Rahmen dieser Verordnung allein oder gemeinsam mit anderen, mit Verantwortung für einen Verwaltungsbereich oder eine geografische Region oder nach Maßgabe anderer Kriterien wahrnehmen. Die Mitgliedstaaten sollten die Kommission über den Namen des von ihnen für die Kontakte mit der Kommission ernannten nationalen Koordinators informieren.

(68)

Die Koordinierungsgruppe des Zugangstors soll aus nationalen Koordinatoren unter dem Vorsitz der Kommission eingerichtet werden, um die Anwendung der vorliegenden Verordnung zu erleichtern, indem insbesondere — wie in der vorliegenden Verordnung gefordert — bewährte Verfahren ausgetauscht und gemeinsam auf die einheitlichere Darstellung der Informationen hingearbeitet wird. Die Arbeit dieser Koordinierungsgruppe des Zugangstors sollte den Zielsetzungen im jährlichen Arbeitsprogramm, das ihr die Kommission zur Prüfung vorlegen sollte, Rechnung tragen. Das jährliche Arbeitsprogramm sollte in Form von Leitfäden oder Empfehlungen, die für die Mitgliedstaaten nicht verbindlich sind, erstellt werden. Auf Ersuchen des Europäischen Parlaments kann die Kommission beschließen, das Parlament einzuladen, Experten zu den Sitzungen der Koordinierungsgruppe zu entsenden.

(69)

In der vorliegenden Verordnung sollte geklärt werden, welche Teile des Zugangstors aus dem Unionshaushalt finanziert werden sollen und welche Teile in den Zuständigkeitsbereich der Mitgliedstaaten fallen. Die Kommission sollte die Mitgliedstaaten dabei unterstützen, festzustellen, welche IKT-Bausteine wiederverwendbar sind und welche Finanzmittel auf Unionsebene im Rahmen von Fonds und Programmen zur Verfügung stehen, die zur Deckung der Kosten für die auf nationaler Ebene zur Einhaltung dieser Verordnung erforderlichen Anpassungen und Entwicklungen im IKT-Bereich beitragen können. Die für die Durchführung dieser Verordnung erforderliche Mittelausstattung sollte mit dem geltenden mehrjährigen Finanzrahmen vereinbar sein.

(70)

Die Mitgliedstaaten werden darin bestärkt, auf zwischenstaatlicher Ebene ein höheres Maß an Koordinierung, Austausch und Zusammenarbeit zu erreichen, um ihre strategischen, operativen sowie forschungs- und entwicklungsbezogenen Kapazitäten im Bereich der Cybersicherheit zu erhöhen, insbesondere indem sie die in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (NIS) (27) genannte Sicherheit von Netz- und Informationssystemen umsetzen, und um die Sicherheit und Widerstandskraft ihrer öffentlichen Verwaltung und Dienste zu stärken. Die Mitgliedstaaten werden darin bestärkt, die Sicherheit der Transaktionen zu erhöhen und ein ausreichendes Maß an Vertrauen in elektronische Mittel sicherzustellen, indem sie den eIDAS-Rahmen gemäß Verordnung (EU) Nr. 910/2014 und insbesondere angemessene Sicherheitsniveaus umsetzen. Die Mitgliedstaaten können gemäß dem Unionsrecht Maßnahmen zum Schutz der Cybersicherheit und zur Verhütung von Identitätsbetrug oder anderen Formen von Betrug ergreifen.

(71)

Wenn die in der vorliegenden Verordnung vorgesehene Anwendung die Verarbeitung personenbezogener Daten umfasst, sollte sie in Übereinstimmung mit den Rechtsvorschriften der Union über den Schutz personenbezogener Daten insbesondere Verordnung (EU) 2016/679 und Verordnung (EU) 2018/1725 erfolgen. Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (28) sollte auch im Rahmen dieser Verordnung Anwendung finden. Wie in der Verordnung (EU) 2016/679 vorgesehen, können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, hinsichtlich der Verarbeitung von Gesundheitsdaten aufrechterhalten oder einführen, und sie können spezifischere Vorschriften über die Verarbeitung personenbezogener Daten von Beschäftigten im Beschäftigungskontext vorsehen.

(72)

Diese Verordnung sollte die Straffung der Verwaltungsregelungen für die vom Zugangstor abgedeckten Dienste fördern und erleichtern. Zu diesem Zweck sollte die Kommission die bestehenden Verwaltungsregelungen in enger Zusammenarbeit mit den Mitgliedstaaten überprüfen und gegebenenfalls anpassen, um Überschneidungen und Ineffizienz zu vermeiden.

(73)

Das Ziel dieser Verordnung besteht darin, sicherzustellen, dass Nutzer, die in anderen Mitgliedstaaten tätig sind, Online-Zugang zu umfassenden, verlässlichen, barrierefreien und verständlichen Informationen der Union und der Mitgliedstaaten über Rechte, Pflichten und Vorschriften, zu Online-Verfahren, die vollständig grenzüberschreitend abgeschlossen werden können, sowie zu Hilfs- oder Problemlösungsdiensten haben. Da dieses Ziel von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann und sich aufgrund ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsgrundsatz tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

(74)

Damit die Mitgliedstaaten und die Kommission die erforderlichen Instrumente zur Durchführung der vorliegenden Verordnung entwickeln und umsetzen können, sollten bestimmte Vorschriften erst zwei Jahre nach Inkrafttreten der vorliegenden Verordnung Anwendung finden. Den städtischen Behörden sollte bis zu vier Jahre Zeit nach Inkrafttreten dieser Verordnung gegeben werden, um Informationen über Vorschriften, Verfahren und Hilfs- und Problemlösungsdienste in ihrem Zuständigkeitsbereich zur Verfügung zu stellen. Die Bestimmungen dieser Verordnung über die Verfahren, die vollständig online bereitzustellen sind, sowie über den grenzüberschreitenden Zugang zu Online-Verfahren und das technische System für den grenzüberschreitenden automatisierten Austausch von Nachweisen gemäß dem Grundsatz der einmaligen Erfassung sollten spätestens fünf Jahre nach Inkrafttreten dieser Verordnung umgesetzt werden.

(75)

Die vorliegende Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, und sollte unter Wahrung dieser Rechte und Grundsätze durchgeführt werden.

(76)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (29) angehört und hat am 1. August 2017 eine Stellungnahme abgegeben (30) —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand

(1)   Mit dieser Verordnung werden Vorschriften festgelegt für

a)

die Einrichtung und den Betrieb eines einheitlichen digitalen Zugangstors, um Bürgern und Unternehmen einfachen Zugang zu hochwertigen Informationen, effizienten Verfahren und wirksamen Hilfs- und Problemlösungsdiensten im Zusammenhang mit Unions- und nationalen Vorschriften für Bürger und Unternehmen, die ihre Rechte aus dem Unionsrecht im Bereich Binnenmarkt im Sinne von Artikel 26 Absatz 2 AEUV ausüben oder ausüben wollen, zu verschaffen;

b)

die Inanspruchnahme von Verfahren durch grenzüberschreitende Nutzer und die Umsetzung des Grundsatzes der einmaligen Erfassung bei den in Anhang II dieser Verordnung aufgeführten Verfahren und den in den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU vorgesehenen Verfahren;

c)

die Berichterstattung über Hindernisse auf dem Binnenmarkt, beruhend auf der Einholung von Rückmeldungen der Nutzer und der Erhebung von Statistiken bei den Diensten, die von dem Zugangstor abgedeckt werden.

(2)   Widerspricht diese Verordnung einer Bestimmung eines anderen Rechtsaktes der Union, der bestimmte Aspekte des Gegenstands dieser Verordnung regelt, so hat die Bestimmung des anderen Rechtsaktes der Union Vorrang.

(3)   Diese Verordnung berührt nicht den Inhalt der Verfahren, die auf der Ebene der Union oder auf nationaler Ebene in irgendeinem der unter diese Verordnung fallenden Bereiche festgelegt sind, oder die Rechte, die im Rahmen dieser Verfahren gewährt werden. Ferner berührt diese Verordnung keine Maßnahmen, die gemäß dem Unionsrecht zur Gewährleistung der Cybersicherheit und zur Verhinderung von missbräuchlichem Verhalten ergriffen werden.

Artikel 2

Einrichtung des einheitlichen digitalen Zugangstors

(1)   Die Kommission und die Mitgliedstaaten richten gemäß dieser Verordnung ein einheitliches digitales Zugangstor (im Folgenden „Zugangstor“) ein. Das Zugangstor besteht aus einer von der Kommission verwalteten gemeinsamen Nutzerschnittstelle (im Folgenden „gemeinsame Nutzerschnittstelle“), die in das Portal „Ihr Europa“ integriert wird und Zugang zu einschlägigen Unions- und nationalen Websites bietet.

(2)   Das Zugangstor ermöglicht den Zugang zu:

a)

Informationen über Rechte, Pflichten und Vorschriften nach dem Unionsrecht und nach nationalem Recht, die für Bürger und Unternehmen gelten, die ihre Rechte aus dem Unionsrecht im Bereich Binnenmarkt in den in Anhang I angegebenen Bereichen ausüben oder ausüben wollen;

b)

Informationen über Online- und Offline-Verfahren und Links zu Online-Verfahren, einschließlich der Verfahren im Sinne des Anhangs II, auf der Ebene der Union oder auf nationaler Ebene, um die Bürger in die Lage zu versetzen, die Rechte im Zusammenhang mit dem Binnenmarkt in den in Anhang I angegebenen Bereichen, wahrzunehmen und die entsprechenden Pflichten und Vorschriften einzuhalten;

c)

Informationen über und Links zu den in Anhang III aufgeführten oder in Artikel 7 genannten Hilfs- und Problemlösungsdiensten, und an die Bürger und Unternehmen sich bei Fragen oder Problemen im Zusammenhang mit ihren Rechten, Pflichten, Vorschriften oder den in Buchstabe a oder b des vorliegenden Absatzes genannten Verfahren wenden können.

(3)   Die gemeinsame Nutzerschnittstelle ist in allen Amtssprachen der Union zugänglich.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:

1.

„Nutzer“ einen Bürger der Union, eine natürliche Person, die in einem Mitgliedstaat ansässig ist oder eine juristische Person mit Sitz in einem Mitgliedstaat, der bzw. die über das Zugangstor auf die in Artikel 2 Absatz 2 genannten Informationen, Verfahren oder Hilfs- oder Problemlösungsdienste zugreift;

2.

„grenzüberschreitender“ Nutzer einen Nutzer, der sich in einer Situation befindet, die nicht in jeder Hinsicht auf einen einzigen Mitgliedstaat begrenzt ist;

3.

„Verfahren“ eine Abfolge von Maßnahmen, die die Nutzer ergreifen müssen, um den Anforderungen zu entsprechen oder einen Beschluss einer zuständigen Behörde zu erwirken, um ihre Rechte nach Artikel 2 Absatz 2 Buchstabe a ausüben zu können;

4.

„zuständige Behörde“ jede Stelle oder Behörde eines Mitgliedstaats auf nationaler, regionaler oder lokaler Ebene mit bestimmten Zuständigkeiten für die unter diese Verordnung fallenden Informationen, Verfahren, Hilfs- und Problemlösungsdienste;

5.

„Nachweis“ alle Unterlagen oder Daten, einschließlich Text- oder Ton-, Bild- oder audiovisuellen Aufzeichnungen, unabhängig vom verwendeten Medium, die von einer zuständigen Behörde verlangt werden, um Sachverhalte oder die Einhaltung der in Artikel 2 Absatz 2 Buchstabe b genannten Verfahrensvorschriften nachzuweisen.

KAPITEL II

ZUGANGSTOR-DIENSTE

Artikel 4

Zugang zu Informationen

(1)   Die Mitgliedstaaten stellen sicher, dass die Nutzer auf ihren nationalen Internetseiten über einen einfachen Online-Zugang zu folgenden Informationen verfügen:

a)

Informationen über die in Artikel 2 Absatz 2 Buchstabe a genannten Rechte, Pflichten und Vorschriften, die aus dem nationalen Recht abgeleitet sind;

b)

Informationen über die in Artikel 2 Absatz 2 Buchstabe b genannten, auf nationaler Ebene eingerichteten Verfahren;

c)

Informationen über die in Artikel 2 Absatz 2 Buchstabe c genannten, auf nationaler Ebene bereitgestellten Hilfs- und Problemlösungsdienste.

(2)   Die Kommission stellt sicher, dass die Nutzer durch das Portal „Ihr Europa“ einen einfachen Online-Zugang zu folgenden Informationen verfügen:

a)

Informationen über die in Artikel 2 Absatz 2 Buchstabe a genannten Rechte, Pflichten und Vorschriften, die aus dem Unionsrecht abgeleitet sind;

b)

Informationen über die in Artikel 2 Absatz 2 Buchstabe b genannten, auf Unionsebene eingerichteten Verfahren;

c)

Informationen über die in Artikel 2 Absatz 2 Buchstabe c genannten, auf Unionsebene bereitgestellten Hilfs- und Problemlösungsdienste.

Artikel 5

Zugang zu Informationen, die nicht in Anhang I enthalten sind

(1)   Die Mitgliedstaaten und die Kommission können Links zu Informationen bereitstellen, die nicht in Anhang I aufgeführt sind und die von den zuständigen Behörden, der Kommission oder den Einrichtungen und sonstigen Stellen der Union angeboten werden, sofern diese Informationen in den Wirkungsbereich des Portals gemäß Artikel 1 Absatz 1 Buchstabe a fallen und den Qualitätsanforderungen des Artikels 9 entsprechen.

(2)   Die Links zu den Informationen gemäß Absatz 1 des vorliegenden Artikels werden gemäß Artikel 19 Absätze 2 und 3 bereitgestellt.

(3)   Bevor die Kommission die Links aktiviert prüft sie, ob die Bedingungen des Absatzes 1 erfüllt sind, und konsultiert die Koordinierungsgruppe für das Zugangstor.

Artikel 6

Verfahren, die vollständig online bereitzustellen sind

(1)   Jeder Mitgliedstaat stellt sicher, dass die Nutzer vollständigen Online-Zugang zu allen in Anhang II aufgeführten Verfahren haben und diese vollständig online abwickeln können, sofern das jeweilige Verfahren in dem betreffenden Mitgliedstaat eingerichtet worden ist.

(2)   Die in Absatz 1 genannten Verfahren gelten als vollständig online abzuwickeln, wenn

a)

die Identifizierung der Nutzer, die Bereitstellung von Informationen und die Vorlage von Nachweisen, die Signierung und die endgültige Einreichung elektronisch aus der Ferne, sie über einen Dienstkanal erfolgen können, der die Nutzer in die Lage versetzt, die Anforderungen im Zusammenhang mit dem Verfahren in nutzerfreundlicher und strukturierter Weise zu erfüllen;

b)

die Nutzer eine automatische Empfangsbestätigung erhalten, es sei denn, das Ergebnis des Verfahrens wird sofort übermittelt,

c)

das Ergebnis des Verfahrens elektronisch oder — soweit zur Einhaltung geltender Vorschriften des Rechts der Union oder des nationalen Rechts erforderlich — physisch übermittelt wird, und

d)

die Nutzer eine elektronische Benachrichtigung über den Abschluss des Verfahrens erhalten.

(3)   Wenn der angestrebte Zweck in begründeten Ausnahmefällen aus übergeordneten Gründen des öffentlichen Interesses in den Bereichen öffentliche Sicherheit, öffentliche Gesundheit oder Bekämpfung missbräuchlichen Verhaltens, nicht vollständig online erreicht werden kann, können die Mitgliedstaaten verlangen, dass der Nutzer für einzelne Verfahrensschritte persönlich bei der zuständigen Behörde vorstellig wird. In solchen Ausnahmefällen beschränken die Mitgliedstaaten diese physische Anwesenheit auf das unbedingt notwendige objektiv gerechtfertigte Maß und stellen sicher, dass andere Verfahrensschritte vollständig online abgewickelt werden können. Die Mitgliedstaaten stellen auch sicher, dass diese Anforderungen der physischen Anwesenheit nicht zu einer Diskriminierung grenzüberschreitender Nutzer führen.

(4)   Die Mitgliedstaaten übermitteln und erläutern in einer gemeinsamen, der Kommission und den anderen Mitgliedstaaten zugänglichen Ablage die Gründe, aus denen, und die Umstände unter denen die physische Anwesenheit für die in Absatz 3 genannten Verfahrensschritte erforderlich sein könnte sowie die Gründe, aus denen, und die Umstände unter denen eine physische Übermittlung gemäß Absatz 2 Buchstabe c erforderlich ist.

(5)   Dieser Artikel hindert die Mitgliedstaaten nicht daran, Nutzern die zusätzliche Möglichkeit zu bieten, auf die in Artikel 2 Absatz 2 Buchstabe b genannten Verfahren anders als online zuzugreifen und diese anders als online abzuwickeln, oder Nutzer direkt zu kontaktieren.

Artikel 7

Zugang zu Hilfs- und Problemlösungsdiensten

(1)   Die Mitgliedstaaten und die Kommission stellen sicher, dass die Nutzer, einschließlich der grenzüberschreitenden Nutzer, online über verschiedene Kanäle leicht auf die in Artikel 2 Absatz 2 Buchstabe c genannten Hilfs- und Problemlösungsdienste zugreifen können.

(2)   Die in Artikel 28 genannten nationalen Koordinatoren und die Kommission können gemäß Artikel 19 Absätze 2 und 3 Links zu Hilfs- und Problemlösungsdiensten bereitstellen, die von zuständigen Behörden, der Kommission oder von Einrichtungen und sonstigen Stellen der Union angeboten werden -und nicht in Anhang III aufgeführt sind, wenn diese Dienste den Qualitätsanforderungen der Artikel 11 und 16 entsprechen.

(3)   Falls zur Erfüllung des Nutzerbedarfs erforderlich, kann der nationale Koordinator der Kommission vorschlagen, dass Links zu Hilfs- oder Problemlösungsdiensten, die von privaten oder halböffentlichen Einrichtungen bereitgestellt werden, in das Zugangstor einbezogen werden, sofern diese Dienste folgenden Anforderungen entsprechen:

a)

sie bieten Informationen oder Hilfestellung in den Bereichen und für die Zwecke, die Gegenstand der vorliegenden Verordnung sind, und ergänzen die bereits in das Zugangstor einbezogenen Dienste;

b)

sie werden kostenlos oder zu einem für Kleinstunternehmen, gemeinnützige Organisationen und Bürger erschwinglichen Preis angeboten; und

c)

sie entsprechen den Anforderungen der Artikel 8, 11 und 16.

(4)   Hat der nationale Koordinator die Einbeziehung eines Links gemäß Absatz 3 des vorliegenden Artikels vorgeschlagen und einen solchen Link gemäß Artikel 19 Absatz 3 bereitgestellt, so prüft die Kommission, ob die Bedingungen des Absatzes 3 des vorliegenden Artikels von dem zu verlinkenden Dienst erfüllt werden, und wenn das zutrifft, aktiviert sie den Link.

Stellt die Kommission fest, dass die in Absatz 3 genannten Bedingungen von dem zu verlinkenden Dienst nicht erfüllt werden, unterrichtet sie den nationalen Koordinator über die Gründe für die Nichtaktivierung des Links.

Artikel 8

Qualitätsanforderungen an die Webzugänglichkeit

Die Kommission macht diejenigen ihrer Websites und Webseiten, über die sie Zugang zu den Informationen nach Artikel 4 Absatz 2 und zu den Hilfs- und Problemlösungsdiensten nach Artikel 7 gewährt, besser zugänglich, indem sie diese wahrnehmbar, bedienbar, verständlich und robust gestaltet.

KAPITEL III

QUALITÄTSANFORDERUNGEN

ABSCHNITT 1

Qualitätsanforderungen im Zusammenhang mit Informationen über Rechte, Pflichten und Vorschriften, über Verfahren und über Hilfs- und Problemlösungsdienste

Artikel 9

Qualität von Informationen über Rechte, Pflichten und Vorschriften

(1)   Sind die Mitgliedstaaten und die Kommission gemäß Artikel 4 für die Gewährleistung des Zugangs zu Informationen nach Artikel 2 Absatz 2 Buchstabe a zuständig, so stellen sie sicher, dass diese Informationen folgenden Anforderungen genügen:

a)

Sie müssen nutzerfreundlich sein, damit die Nutzer die Informationen leicht finden und verstehen können und in der Lage sind zu erkennen, welche Informationen für ihre jeweilige Situation relevant sind;

b)

Sie müssen genau und umfassend genug sein, um die Informationen abzudecken, die die Nutzer haben müssen, um ihre Rechte unter vollständiger Einhaltung der geltenden Vorschriften und Pflichten auszuüben;

c)

gegebenenfalls enthalten sie Verweise auf bzw. Links zu Rechtsvorschriften, technischen Spezifikationen und Leitfäden;

d)

sie enthalten die Bezeichnung der zuständigen Behörde oder Stelle, die für den Inhalt der Informationen verantwortlich ist;

e)

sie enthalten die Kontaktangaben von allen relevanten Hilfs- oder Problemlösungsdiensten, wie z. B. eine Telefonnummer, eine E-Mail-Adresse, ein Online-Kontaktformular oder andere häufig verwendete elektronische Kommunikationsmittel, das für die Art des angebotenen Dienstes und die Zielgruppe dieses Dienstes am besten geeignet ist;

f)

sie enthalten das Datum der letzten Aktualisierung der Informationen, falls vorhanden, oder wenn die Informationen nicht aktualisiert wurden, das Veröffentlichungsdatum der Informationen;

g)

sie sind gut strukturiert und so dargestellt, dass die Nutzer die benötigten Informationen schnell finden können;

h)

sie sind auf dem neuesten Stand; und

i)

sie sind in klarer und verständlicher Sprache abgefasst, die dem Bedarf der potenziellen Nutzer angepasst ist.

(2)   Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Informationen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.

Artikel 10

Qualität der Informationen über Verfahren

(1)   Zur Erfüllung der Anforderungen des Artikels 4 stellen die Mitgliedstaaten und die Kommission sicher, dass Nutzer, gegebenenfalls bevor sie sich vor der Einleitung des Verfahrens ausweisen müssen, Zugang zu einer hinreichend umfassenden, klaren und nutzerfreundlichen Erklärung folgender Elemente der in Artikel 2 Absatz 2 Buchstabe b genannten Verfahren haben:

a)

der relevanten Schritte des Verfahrens, die der Nutzer zu unternehmen hat, einschließlich etwaiger Ausnahmen gemäß Artikel 6 Absatz 3 von der Pflicht der Mitgliedstaaten, das Verfahren vollständig online bereitzustellen;

b)

der Bezeichnung der zuständigen Behörde, die für das Verfahren zuständig ist, einschließlich ihrer Kontaktdaten;

c)

der für das Verfahren zulässigen Mittel zur Authentifizierung, Identifizierung und Unterzeichnung;

d)

der Art und des Formats der vorzulegenden Nachweise;

e)

der Rechtsbehelfe, die im Falle von Streitigkeiten mit den zuständigen Behörden im Allgemeinen zur Verfügung stehen;

f)

der anfallenden Gebühren und der Online-Zahlungsmethoden;

g)

etwaiger Fristen, die vom Nutzer oder von der zuständigen Behörde einzuhalten sind, und wenn es keine Fristen gibt, der durchschnittlichen, geschätzten oder voraussichtlichen Zeit, die die zuständige Behörde zur Abwicklung des Verfahrens benötigt;

h)

etwaiger Vorschriften über oder Rechtsfolgen für die Nutzer, die sich aus einer nicht erfolgten Antwort der zuständigen Behörde ergeben, einschließlich Reglungen zur Genehmigungsfiktion oder andere Verschweigensregelungen;

i)

jeder zusätzlichen Sprache, in der das Verfahren abgewickelt werden kann.

(2)   Liegen keine Regelungen zur Genehmigungsfiktion oder sonstige Verschweigensregelungen oder ähnliche Regelungen vor, so unterrichten die zuständigen Behörden die Nutzer gegebenenfalls über etwaige Verzögerungen und Fristverlängerungen oder die sich daraus ergebenden Folgen.

(3)   Wenn die in Absatz 1 genannte Erklärung den nicht grenzüberschreitenden Nutzern bereits zur Verfügung steht, so kann sie für die Zwecke dieser Verordnung verwendet bzw. wiederverwendet werden, sofern sie gegebenenfalls auch die Situation der grenzüberschreitenden Nutzer berücksichtigt.

(4)   Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Erklärungen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.

Artikel 11

Qualität der Informationen über Hilfs- und Problemlösungsdienste

(1)   Zur Erfüllung der Anforderungen des Artikels 4 stellen die Mitgliedstaaten und die Kommission sicher, dass die Nutzer, bevor sie einen Antrag auf Erbringung eines Dienstes nach Artikel 2 Absatz 2 Buchstabe c stellen, Zugang zu einer klaren und nutzerfreundlichen Erklärung folgender Elemente haben:

a)

Art, Zweck und erwarteter Ergebnisse des angebotenen Dienstes;

b)

Kontaktangaben der für den Dienst zuständigen Stellen, wie z. B. eine Telefonnummer, eine E-Mail-Adresse, ein Online-Formular oder ein anderes häufig verwendetes elektronisches Kommunikationsmittel, das für die Art des angebotenen Dienstes und die Zielgruppe dieses Dienstes am besten geeignet ist;

c)

gegebenenfalls anfallende Gebühren und die Online-Zahlungsmethoden;

d)

etwaige geltende Fristen, die einzuhalten sind, und wenn es keine Fristen gibt, die durchschnittlichen oder die für die Erbringung des Dienstes voraussichtlich erforderliche Zeit;

e)

jede zusätzliche Sprache, in der die Anfrage gestellt werden kann und die für anschließende Kontakte verwendet werden kann.

(2)   Die Mitgliedstaaten stellen die in Absatz 1 des vorliegenden Artikels genannten Erklärungen gemäß Artikel 12 in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.

Artikel 12

Übersetzung der Informationen

(1)   Stellt ein Mitgliedstaat die in den Artikeln 9, 10 und 11 sowie die in Artikel 13 Absatz 2 Buchstabe a genannten Informationen, Erklärungen und Anweisungen nicht in einer Amtssprache der Union zur Verfügung, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, so beantragt der Mitgliedstaat bei der Kommission Übersetzungen in diese Sprache im Rahmen der verfügbaren Haushaltsmittel der Union gemäß Artikel 32 Absatz 1 Buchstabe c.

(2)   Die Mitgliedstaaten stellen sicher, dass die gemäß Absatz 1 des vorliegenden Artikels zur Übersetzung eingereichten Texte mindestens die grundlegenden Informationen in allen in Anhang I genannten Bereichen abdecken sowie, falls ausreichende Haushaltsmittel der Union verfügbar sind, alle weiteren Informationen, Erläuterungen und Anweisungen gemäß den Artikeln 9, 10 und 11 sowie Artikel 13 Absatz 2 Buchstabe a, unter Berücksichtigung der dringendsten Bedürfnisse der grenzüberschreitenden Nutzer. Die Mitgliedstaaten stellen die Links zu diesen übersetzten Informationen in der in Artikel 19 genannten Linkablage bereit.

(3)   Die in Absatz 1 genannte Sprache ist die Amtssprache der Union, die von den Nutzern in der gesamten Union am häufigsten als Fremdsprache erlernt wird. Wenn die zu übersetzenden Informationen, Erläuterungen oder Anweisungen voraussichtlich von überwiegendem Interesse für grenzüberschreitende Nutzer aus einem anderen Mitgliedstaat sind, kann die in Absatz 1 genannte Sprache ausnahmsweise die Amtssprache der Union sein, die von diesen grenzüberschreitenden Nutzern als Erstsprache genutzt wird.

(4)   Beantragt ein Mitgliedstaat eine Übersetzung in eine Amtssprache der Union, die nicht die von den Nutzern in der gesamten Union am häufigsten erlernte Fremdsprache ist, so begründet er seinen Antrag. Stellt die Kommission fest, dass die in Absatz 3 genannten Bedingungen für die Wahl einer solchen anderen Sprache nicht erfüllt sind, kann sie den Antrag ablehnen und setzt den Mitgliedstaat unter Angabe der Gründe in Kenntnis.

ABSCHNITT 2

Anforderungen an Online-Verfahren

Artikel 13

Grenzüberschreitender Zugang zu Online-Verfahren

(1)   Die Mitgliedstaaten stellen sicher, dass ein auf nationaler Ebene festgelegtes Verfahren nach Artikel 2 Absatz 2 Buchstabe b, auf das nicht grenzüberschreitende Nutzer online zugreifen und das sie online abwickeln können, auch grenzüberschreitenden Nutzern auf nichtdiskriminierende Art mit Hilfe derselben oder einer alternativen technischen Lösung online zugänglich ist und von diesen online abgewickelt werden kann.

(2)   Die Mitgliedstaaten stellen sicher, dass für die in Absatz 1 dieses Artikels genannten Verfahren mindestens die folgenden Anforderungen erfüllt werden:

a)

Die Nutzer können auf die Anweisungen zur Abwicklung des Verfahrens in einer Amtssprache der Union zugreifen, die gemäß Artikel 12 von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird.

b)

Grenzüberschreitenden Nutzern ist es möglich, die geforderten Informationen einzureichen, auch wenn die Struktur dieser Informationen von ähnlichen Informationen in dem betreffenden Mitgliedstaat abweicht.

c)

Den grenzüberschreitenden Nutzern ist es möglich, sich in allen Fällen, in denen das auch für nicht grenzüberschreitende Nutzer möglich ist, gemäß der Verordnung (EU) Nr. 910/2014 elektronisch auszuweisen und zu authentifizieren, Unterlagen zu unterzeichnen oder mit einem Siegel zu versehen.

d)

Den grenzüberschreitenden Nutzern ist es möglich, in allen Fällen, in denen das auch für nicht grenzüberschreitende Nutzer möglich ist, die Nachweise für die Erfüllung der geltenden Anforderungen in elektronischem Format zu erbringen und das Ergebnis der Verfahren in elektronischem Format zu erhalten.

e)

Wenn zur Abwicklung eines Verfahrens eine Zahlung erforderlich ist, können die Nutzer alle Gebühren online über weithin verfügbare grenzüberschreitende Zahlungsdienste ohne Diskriminierung aufgrund des Niederlassungsorts des Zahlungsdienstleisters, des Ausstellungsorts des Zahlungsinstruments oder des Standorts des Zahlungskontos in der Union bezahlen.

(3)   Erfordert das Verfahren keine elektronische Identifizierung oder Authentifizierung im Sinne von Absatz 2 Buchstabe c und dürfen die zuständigen Behörden gemäß den geltenden nationalen Rechtsvorschriften oder Verwaltungsgepflogenheiten digitalisierte Kopien nicht- elektronischer Identitätsnachweise, etwa von Personalausweisen oder Pässen, bei nicht grenzüberschreitenden Nutzern zulassen, so lassen diese Behörden solche digitalisierten Kopien auch bei grenzüberschreitenden Nutzern zu.

Artikel 14

Technisches System für den grenzüberschreitenden automatisierten Austausch von Nachweisen und Anwendung des Grundsatzes der einmaligen Erfassung („Once Only Principle“)

(1)   Zum Zwecke des Austauschs von Nachweisen für die in Anhang II dieser Verordnung aufgeführten Online-Verfahren sowie für die Verfahren nach den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU richtet die Kommission in Zusammenarbeit mit den Mitgliedstaaten ein technisches System für den automatisierten Austausch von Nachweisen zwischen zuständigen Behörden in verschiedenen Mitgliedstaaten (im Folgenden „technisches System“) ein.

(2)   Wenn die zuständigen Behörden in ihrem eigenen Mitgliedstaat rechtmäßig Nachweise, die für die in Absatz 1 genannten Online-Verfahren von Belang sind, in einem elektronischen Format ausstellen, das einen automatisierten Austausch ermöglicht,, stellen sie diese Nachweise auch den anfordernden zuständigen Behörden aus anderen Mitgliedstaaten in einem elektronischen Format zur Verfügung, das einen automatisierten Austausch ermöglicht.

(3)   Das technische System muss insbesondere

a)

auf ausdrückliches Ersuchen des Nutzers die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen,

b)

die Verarbeitung von Anträgen auf Ausstellung von Nachweisen ermöglichen, die zugänglich gemacht oder ausgetauscht werden sollen,

c)

die Übermittlung von Nachweisen zwischen den zuständigen Behörden zulassen,

d)

die Verarbeitung der Nachweise durch die anfordernde zuständige Behörde zulassen,

e)

die Vertraulichkeit und Integrität der Nachweise sicherstellen,

f)

dem Nutzer die Möglichkeit bieten, die von der anfordernden zuständigen Behörde zu verwendenden Nachweise vorab einzusehen und zu entscheiden, ob er mit dem Austausch von Nachweisen fortfährt oder nicht,

g)

ein angemessenes Maß an Interoperabilität mit anderen einschlägigen Systemen sicherstellen,

h)

ein hohes Maß an Sicherheit für die Übermittlung und Verarbeitung von Nachweisen sicherstellen,

i)

sicherstellen, dass Nachweise nicht über das für den Austausch von Nachweisen technisch notwendige Maß hinaus und auch dann nur solange verarbeitet werden, wie es der Zweck erfordert.

(4)   Die Verwendung des technischen Systems ist für den Nutzer nicht verbindlich und ist nur auf sein ausdrückliches Ersuchen gestattet, sofern in den Rechtsvorschriften der Union oder der einzelnen Mitgliedstaaten nicht anders vorgesehen. Dem Nutzer wird gestattet, die Nachweise auf andere Weise als über das technische System und unmittelbar an die anfordernde zuständige Behörde zu übermitteln.

(5)   Die Möglichkeit, den Nachweis gemäß Absatz 3 Buchstabe f des vorliegenden Artikels vorab einzusehen, ist nicht erforderlich bei Verfahren, bei denen der automatisierte grenzüberschreitende Datenaustausch ohne eine solche Vorschau gemäß den gelten Rechtsvorschriften der Union oder der Mitgliedstaaten erlaubt ist. Diese Möglichkeit einer Vorschau von Nachweisen berührt nicht die Pflicht, die Informationen gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 mitzuteilen/zu übermitteln.

(6)   Die Mitgliedstaaten binden das voll funktionsfähige technische System in die in Absatz 1 genannten Verfahren ein.

(7)   Die für die Online-Verfahren nach Absatz 1 zuständigen Behörden fordern — auf das freiwillig, für den konkreten Fall, nach Aufklärung und unmissverständlich bekundete ausdrückliche Ersuchen des betroffenen Nutzers — über das technische System Nachweise unmittelbar bei den zuständigen Behörden an, die in anderen Mitgliedstaaten Nachweise ausstellen. Die in Absatz 2 genannten ausstellenden zuständigen Behörden stellen diese Nachweise gemäß Absatz 3 Buchstabe e über dasselbe System bereit.

(8)   Die der anfordernden zuständigen Behörde bereitgestellten Nachweise müssen auf das beschränkt sein, was angefordert wurde, und dürfen von dieser Behörde nur für die Zwecke des Verfahrens benutzt werden, für das die Nachweise ausgetauscht wurden. Die über das technische System ausgetauschten Nachweise gelten für die Zwecke der anfordernden zuständigen Behörde als echt.

(9)   Die Kommission erlässt bis zum 12. Juni 2021 Durchführungsrechtsakte, um die technischen und operativen Spezifikationen des — für die Durchführung dieses Artikels erforderlichen — technischen Systems festzulegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.

(10)   Die Absätze 1 bis 8 gelten nicht für auf Unionsebene festgelegte Verfahren, die unterschiedliche Mechanismen für den Austausch von Nachweisen vorsehen, es sei denn das für die Umsetzung dieses Artikels erforderliche technische System ist gemäß den Vorschriften der Rechtsakte der Union, mit denen diese Verfahren festgelegt wurden, in sie eingebunden.

(11)   Die Kommission und jeder Mitgliedstaat sind für die Entwicklung, die Verfügbarkeit, die Wartung, die Kontrolle, die Überwachung und das Sicherheitsmanagement ihrer jeweiligen Teile des technischen Systems verantwortlich.

Artikel 15

Überprüfung von Nachweisen zwischen den Mitgliedstaaten

Wenn das technische System oder andere für den Austausch oder die Überprüfung von Nachweisen zwischen den Mitgliedstaaten geeignete Systeme nicht verfügbar oder nicht anwendbar sind oder wenn der Nutzer nicht um die Verwendung des technischen Systems ersucht, arbeiten die zuständigen Behörden bei Bedarf über das Binnenmarkt-Informationssystem (IMI) zusammen, wenn das erforderlich ist, um die Echtheit der Nachweise zu überprüfen, die einer von ihnen für die Zwecke eines Online-Verfahrens vom Nutzer in elektronischem Format vorgelegt wurden.

ABSCHNITT 3

Qualitätsanforderungen an Hilfs- und Problemlösungsdienste

Artikel 16

Qualitätsanforderungen an Hilfs- und Problemlösungsdienste

Die zuständigen Behörden und die Kommission stellen im Rahmen ihrer jeweiligen Zuständigkeiten sicher, dass die in Anhang III aufgeführten Hilfe- und Problemlösungsdienste und diejenigen Dienste, die gemäß Artikel 7 Absätze 2, 3 und 4 in das Zugangstor einbezogen wurden, folgenden Qualitätsanforderungen entsprechen:

a)

Sie werden innerhalb einer angemessenen Frist unter Berücksichtigung der Komplexität des Ersuchens erbracht.

b)

Im Falle einer Fristverlängerung werden die Nutzer vorab über die Gründe hierfür und über die neue Frist informiert.

c)

Ist zur Erbringung eines Dienstes eine Zahlung erforderlich, ist es Nutzern möglich, alle Gebühren ohne Diskriminierung aufgrund des Niederlassungsorts des Zahlungsdienstleisters, des Ausstellungsorts des Zahlungsinstruments oder des Standorts des Zahlungskontos in der Union online über weithin verfügbare grenzüberschreitende Zahlungsdienste zu bezahlen.

ABSCHNITT 4

Qualitätsüberwachung

Artikel 17

Qualitätsüberwachung

(1)   Die in Artikel 28 genannten nationalen Koordinatoren und die Kommission überwachen im Rahmen ihrer jeweiligen Zuständigkeiten regelmäßig die Einhaltung der Qualitätsanforderungen der Artikel 8 bis 13 und 16 durch die über das Zugangstor bereitgestellten Informationen, Verfahren und Hilfs- und Problemlösungsdienste. Die Überwachung wird anhand der nach den Artikeln 24 und 25 gesammelten Daten durchgeführt.

(2)   Im Falle einer Verschlechterung der Qualität der in Absatz 1 genannten, von den zuständigen Behörden bereitgestellten Informationen, Verfahren und Hilfs- und Problemlösungsdienste ergreift die Kommission unter Berücksichtigung der Schwere und des Fortbestehens der Verschlechterung mindestens eine der folgenden Maßnahmen:

a)

Sie unterrichtet den entsprechenden nationalen Koordinator und ersucht ihn um Abhilfemaßnahmen.

b)

Sie stellt in der Koordinierungsgruppe für das Zugangstor empfohlene Maßnahmen zur Verbesserung der Einhaltung der Qualitätsanforderungen zur Diskussion.

c)

Sie sendet ein Schreiben mit Empfehlungen an den betreffenden Mitgliedstaat.

d)

Sie nimmt die Information, das Verfahren oder den Hilfs- oder Problemlösungsdienst vorübergehend aus dem Zugangstor.

(3)   Erfüllt ein Hilfs- oder Problemlösungsdienst, zu dem gemäß Artikel 7 Absatz 3 Links zur Verfügung gestellt werden, durchweg nicht die Anforderungen der Artikel 11 und 16 oder entspricht er nicht mehr dem Bedarf der Nutzer, der aus den gemäß den Artikeln 24 und 25 erhobenen Daten hervorgeht, kann die Kommission nach Rücksprache mit dem zuständigen nationalen Koordinator und erforderlichenfalls der Koordinierungsgruppe für das Zugangstor diesen Dienst von dem Zugangstor trennen.

KAPITEL IV

TECHNISCHE LÖSUNGEN

Artikel 18

Gemeinsame Nutzerschnittstelle

(1)   Die Kommission stellt in enger Zusammenarbeit mit den Mitgliedstaaten eine in das Portal „Ihr Europa“ integrierte gemeinsame Nutzerschnittstelle zur Verfügung, um das reibungslose Funktionieren des Zugangstors zu gewährleisten.

(2)   Die gemeinsame Nutzerschnittstelle ermöglicht den Zugang zu den Informationen, Verfahren und Hilfs- oder Problemlösungsdiensten mithilfe von Links zu den entsprechenden Websites oder Webseiten auf Unions- oder nationaler Ebene, die in der in Artikel 19 genannten Linkablage enthalten sind.

(3)   Die Mitgliedstaaten und die Kommission, die entsprechend ihren jeweiligen Rollen und Zuständigkeiten gemäß Artikel 4 tätig werden, stellen sicher, dass die Informationen über Vorschriften und Pflichten, über Verfahren und über Hilfs- und Problemlösungsdienste so organisiert und gekennzeichnet sind, dass sie über die gemeinsame Nutzerschnittstelle besser auffindbar sind.

(4)   Die Kommission stellt sicher, dass die gemeinsame Nutzerschnittstelle die nachstehenden Qualitätsanforderungen erfüllt:

a)

Sie ist leicht zu nutzen.

b)

Sie ist online über verschiedene elektronische Geräte zugänglich.

c)

Sie ist für verschiedene Internetbrowser entwickelt und optimiert.

d)

Sie erfüllt folgende Anforderungen für einen barrierefreien Internetzugang: Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit.

(5)   Die Kommission kann Durchführungsrechtsakte erlassen, in denen die Anforderungen an die Interoperabilität zur Verbesserung der Auffindbarkeit von Informationen über Vorschriften und Pflichten, über Verfahren und über Hilfs- und Problemlösungsdienste mit Hilfe der gemeinsamen Nutzerschnittstelle festgelegt sind. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 19

Linkablage

(1)   Die Kommission richtet in enger Zusammenarbeit mit den Mitgliedstaaten eine elektronische Linkablage zu den in Artikel 2 Absatz 2 genannten Informationen, Verfahren und Hilfs- und Problemlösungsdiensten ein, die die Verbindung zwischen solchen Diensten und der gemeinsamen Nutzerschnittstelle ermöglichen, und unterhält diese Ablage.

(2)   Die Kommission stattet die Linkablage mit Links zu den Informationen, Verfahren und Hilfs- und Problemlösungsdiensten aus, die auf den auf Unionsebene verwalteten Internetseiten zur Verfügung stehen, und stellt sicher, dass diese Links korrekt und aktuell sind.

(3)   Die nationalen Koordinatoren statten die Linkablage mit Links zu den Informationen, Verfahren und Hilfs- und Problemlösungsdiensten aus, die auf den von den zuständigen Behörden oder privaten oder halböffentlichen Einrichtungen gemäß Artikel 7 Absatz 3 verwalteten Internetseiten zur Verfügung stehen, und stellen sicher, dass diese Links korrekt und aktuell sind.

(4)   Soweit technisch möglich, kann die Ausstattung mit Links gemäß Absatz 3 zwischen den einschlägigen Systemen der Mitgliedstaaten und der Linkablage automatisiert erfolgen.

(5)   Die Kommission stellt die in der Linkablage enthaltenen Informationen in einem offenen und maschinenlesbaren Format öffentlich zur Verfügung.

(6)   Die Kommission und die nationalen Koordinatoren stellen sicher, dass es bei den über das Zugangstor angebotenen Links zu Informationen, Verfahren und Hilfs- oder Problemlösungsdiensten nicht zu unnötigen teilweisen oder vollständigen Überschneidungen und Überlagerungen kommt, die Nutzer wahrscheinlich verwirren würden.

(7)   Wenn die Bereitstellung von Informationen gemäß Artikel 4 in anderen Bestimmungen des Unionsrechts festgelegt ist, können die Kommission und die nationalen Koordinatoren Links zu diesen Informationen zur Verfügung stellen, um den Anforderungen des genannten Artikels zu entsprechen.

Artikel 20

Gemeinsame Suchmaschine für Hilfsdienste

(1)   Um den Zugang zu den in Anhang III aufgeführten oder in Artikel 7 Absätze 2 und 3 genannten Hilfs- und Problemlösungsdiensten zu erleichtern, stellen die zuständigen Behörden und die Kommission sicher, dass die Nutzer über eine über das Zugangstor verfügbare gemeinsame Suchmaschine für Hilfs- und Problemlösungsdienste (im Folgenden „gemeinsame Suchmaschine für Hilfsdienste“) auf sie zugreifen können.

(2)   Die Kommission entwickelt und verwaltet die gemeinsame Suchmaschine für Hilfsdienste und beschließt die Struktur und das Format, in dem die Beschreibungen und Kontaktangaben der Hilfs- und Problemlösungsdienste bereitgestellt werden müssen, um das reibungslose Funktionieren der gemeinsamen Suchmaschine für Hilfsdienste sicherzustellen.

(3)   Die nationalen Koordinatoren stellen die in Absatz 2 genannten Beschreibungen und Kontaktangaben der Kommission zur Verfügung.

Artikel 21

Zuständigkeiten für die IKT-Anwendungen zur Unterstützung des Zugangstors

(1)   Die Kommission ist verantwortlich für die Entwicklung, Verfügbarkeit, Überwachung, Aktualisierung, Wartung, Sicherheit und Bereitstellung folgender IKT-Anwendungen und Internetseiten:

a)

das in Artikel 2 Absatz 1 genannte Portal „Ihr Europa“,

b)

die in Artikel 18 Absatz 1 genannte gemeinsame Nutzerschnittstelle, einschließlich der Suchmaschine oder aller anderen IKT-Instrumente, die die Durchsuchbarkeit von Online-Informationen und -Diensten ermöglichen,

c)

die in Artikel 19 Absatz 1 genannte Linkablage,

d)

die in Artikel 20 Absatz 1 genannte gemeinsame Suchmaschine für Hilfsdienste,

e)

die in Artikel 25 Absatz 1 und Artikel 26 Absatz 1 Buchstabe a genannten Instrumente für Rückmeldungen der Nutzer.

Die Kommission arbeitet in enger Zusammenarbeit mit den Mitgliedstaaten an der Entwicklung der IKT-Anwendungen.

(2)   Die Mitgliedstaaten sind verantwortlich für die Entwicklung, Verfügbarkeit, Überwachung, Aktualisierung, Wartung und Sicherheit der IKT-Anwendungen im Zusammenhang mit den von ihnen verwalteten und mit der gemeinsamen Nutzerschnittstelle verbundenen nationalen Websites und Webseiten.

KAPITEL V

ÖFFENTLICHKEITSARBEIT

Artikel 22

Name, Logo und Qualitätssiegel

(1)   Der Name, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, lautet „Your Europe“.

Das Logo, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, wird von der Kommission in enger Zusammenarbeit mit der Koordinierungsgruppe für das Zugangstor festgelegt, und zwar spätestens bis zum 12. Juni 2019.

Das Logo des Zugangstors und ein Link zu dem Zugangstor werden auf den mit dem Zugangstor verbundenen einschlägigen Websites auf nationaler und auf Unionsebene sichtbar und verfügbar gemacht.

(2)   Als Nachweis der Erfüllung der Qualitätsanforderungen der Artikel 9, 10 und 11 dienen der Name und das Logo des Zugangstors auch als Qualitätssiegel. Das Logo des Zugangstors wird jedoch ausschließlich als Qualitätssiegel von Webseiten und Websites, die in der in Artikel 19 genannten Linkablage enthalten sind, verwendet.

Artikel 23

Öffentlichkeitsarbeit

(1)   Die Mitgliedstaaten und die Kommission fördern die Bekanntheit des Zugangstors und seine Nutzung bei Bürgern und Unternehmen und gewährleisten, dass das Zugangstor und seine Informationen, Verfahren und Hilfsdienste für die Öffentlichkeit sichtbar sind und über Suchmaschinen, die für die Öffentlichkeit zugänglich sind, leicht gefunden werden können.

(2)   Die Mitgliedstaaten und die Kommission koordinieren ihre Öffentlichkeitsarbeit nach Absatz 1 und nehmen bei derartigen Maßnahmen gegebenenfalls mit Angabe anderer Markennamen Bezug auf das Zugangstor und verwenden sein Logo.

(3)   Die Mitgliedstaaten und die Kommission stellen sicher, dass das Zugangstor über die verbundenen Websites, für die sie verantwortlich sind, leicht zu finden ist und dass eindeutige Links zur gemeinsamen Nutzerschnittstelle auf allen einschlägigen Websites auf nationaler und Unionsebene verfügbar sind.

(4)   Die nationalen Koordinatoren machen das Zugangstor bei den zuständigen nationalen Behörden bekannt.

KAPITEL VI

EINHOLUNG VON RÜCKMELDUNGEN DER NUTZER UND ERHEBUNG VON STATISTIKEN

Artikel 24

Nutzerstatistiken

(1)   Die zuständigen Behörden und die Kommission stellen sicher, dass Statistiken über die Aufrufe des Zugangstors und der mit dem Zugangstor verknüpften Internetseiten durch Nutzer — unter Wahrung von deren Anonymität- erhoben werden, um die Funktionsweise des Zugangstors zu verbessern.

(2)   Die zuständigen Behörden, die Anbieter von Hilfs- und Problemlösungsdiensten nach Artikel 7 Absatz 3 und die Kommission erheben in aggregierter Form die Anzahl, den Ursprung und den Gegenstand von Anfragen nach Hilfs- und Problemlösungsdiensten sowie deren Antwortzeiten und tauschen sie aus.

(3)   Die Statistiken, die gemäß den Absätzen 1 und 2 über Informationen, Verfahren und Hilfs- und Problemlösungsdienste, die mit dem Zugangstor verknüpft sind, erhoben werden, enthalten folgende Datenkategorien:

a)

Daten zur Anzahl, Herkunft und Art der Nutzer des Zugangstors,

b)

Daten zu Nutzerpräferenzen und Nutzerpfaden,

c)

Daten zur Benutzerfreundlichkeit, Auffindbarkeit und Qualität der Informationen, Verfahren und Hilfs- und Problemlösungsdienste.

Diese Daten werden der Öffentlichkeit in einem offenen und weithin verwendeten maschinenlesbaren Format zur Verfügung gestellt.

(4)   Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der Erhebungs- und Austauschmethode für Nutzerstatistiken nach den Absätzen 1, 2 und 3 des vorliegenden Artikels. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 25

Rückmeldungen der Nutzer zu den Diensten des Zugangstors

(1)   Um Informationen über ihre Zufriedenheit mit den im Zugangstor bereitgestellten Diensten und Informationen unmittelbar von den Nutzern einzuholen, stellt die Kommission den Nutzern über das Zugangstor ein benutzerfreundliches Instrument für Rückmeldungen zur Verfügung, das es ihnen ermöglicht, unmittelbar nach der Nutzung eines der in Artikel 2 Absatz 2 genannten Dienste anonym zur Qualität und Verfügbarkeit der über das Zugangstor erbrachten Dienste und der darin bereitgestellten Informationen sowie zur gemeinsamen Nutzerschnittstelle Stellung zu nehmen.

(2)   Die zuständigen Behörden und die Kommission gewährleisten den Nutzern den Zugang zu dem in Absatz 1 genannten Instrument auf allen Internetseiten, die Teil des Zugangstors sind.

(3)   Die Kommission, die zuständigen Behörden und die nationalen Koordinatoren haben unmittelbaren Zugang zu den Rückmeldungen, die über das in Absatz 1 genannte Instrument eingeholt werden, um auf alle angesprochenen Probleme einzugehen.

(4)   Die zuständigen Behörden sind nicht verpflichtet, den Nutzern auf ihren Internetseiten, die Teil des Zugangstors sind, Zugang zu dem in Absatz 1 genannten Instrument für Nutzer-Rückmeldungen zu geben, wenn bereits ein anderes Instrument für Nutzer -Rückmeldungen mit ähnlichen Funktionen, wie das in Absatz 1 genannte Instrument für Rückmeldungen, auf ihren Internetseiten zur Überwachung der Qualität der Dienste zur Verfügung steht. Die zuständigen Behörden sammeln die über ihr eigenes Instrument eingeholten Rückmeldungen der Nutzer und stellen diese der Kommission und den nationalen Koordinatoren der anderen Mitgliedstaaten zur Verfügung.

(5)   Die Kommission erlässt Durchführungsrechtsakte zur Festlegung der Vorschriften für die Einholung und den Austausch der Nutzer- Rückmeldungen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 37 Absatz 2 genannten Prüfverfahren erlassen.

Artikel 26

Bericht über die Funktionsweise des Binnenmarkts

(1)   Die Kommission

a)

stellt für Nutzer des Zugangstors ein benutzerfreundliches Instrument bereit, damit sie jegliche Hindernisse, auf die sie bei der Ausübung ihrer Binnenmarktrechte gestoßen sind, anonym melden und dazu Rückmeldung geben können,

b)

holt bei den Hilfs- und Problemlösungsdiensten, die Teil des Zugangstors sind, aggregierte Informationen über den Gegenstand von Anfragen und Antworten ein.

(2)   Die Kommission, die zuständigen Behörden und die nationalen Koordinatoren haben unmittelbaren Zugang zu den gemäß Absatz 1 Buchstabe a eingeholten Rückmeldungen.

(3)   Die Mitgliedstaaten und die Kommission analysieren und untersuchen die von den Nutzern gemäß diesem Artikel angesprochenen Probleme und gehen wo immer möglich mit geeigneten Mitteln auf sie ein.

Artikel 27

Online-Gesamtübersichten

Die Kommission veröffentlicht online anonymisierte Gesamtübersichten über die Probleme, die sich aus den nach Artikel 26 Absatz 1 eingeholten Informationen, den in Artikel 24 genannten wesentlichen Nutzerstatistiken und den in Artikel 25 genannten wichtigsten Rückmeldungen der Nutzer ergeben.

KAPITEL VII

VERWALTUNG DES ZUGANGSTORS

Artikel 28

Nationale Koordinatoren

(1)   Jeder Mitgliedstaat ernennt einen nationalen Koordinator. Neben ihren Pflichten gemäß den Artikeln 7, 17, 19, 20, 23 und 25 üben die nationalen Koordinatoren folgende Funktionen aus:

a)

Sie dienen als Kontaktstelle für ihre jeweiligen Verwaltungen für alle Fragen im Zusammenhang mit dem Zugangstor.

b)

Sie fördern die einheitliche Anwendung der Artikel 9 bis 16 durch ihre jeweiligen zuständigen Behörden.

c)

Sie stellen sicher, dass die in Artikel 17 Absatz 2 Buchstabe c genannten Empfehlungen korrekt umgesetzt werden.

(2)   Jeder Mitgliedstaat kann entsprechend seiner internen Verwaltungsstruktur einen oder mehrere Koordinatoren zur Erfüllung der in Absatz 1 aufgeführten Aufgaben ernennen. Ein nationaler Koordinator je Mitgliedstaat ist für die Kontakte mit der Kommission in allen Fragen im Zusammenhang mit dem Zugangstor verantwortlich.

(3)   Jeder Mitgliedstaat teilt den anderen Mitgliedstaaten und der Kommission den Namen und die Kontaktangaben seines nationalen Koordinators mit.

Artikel 29

Koordinierungsgruppe

Es wird eine Koordinierungsgruppe (im Folgenden „Koordinierungsgruppe für das Zugangstor“) eingerichtet. Sie besteht aus einem nationalen Koordinator aus jedem Mitgliedstaat unter Vorsitz eines Vertreters der Kommission. Sie gibt sich eine Geschäftsordnung. Die Sekretariatsgeschäfte werden von der Kommission geführt.

Artikel 30

Aufgaben der Koordinierungsgruppe für das Zugangstor

(1)   Die Koordinierungsgruppe für das Zugangstor unterstützt die Ausführung dieser Verordnung. Insbesondere

a)

erleichtert sie den Austausch über bewährte Verfahren und ihre regelmäßige Aktualisierung,

b)

fördert sie die Akzeptanz von vollständig online abzuwickelnden Verfahren zusätzlich zu den in Anhang II der vorliegenden Verordnung aufgeführten Verfahren und von Online-Systemen für die Authentifizierung, die Identifizierung und für Signaturen, insbesondere gemäß der Verordnung (EU) Nr. 910/2014,

c)

erörtert sie Verbesserungen der benutzerfreundlichen Darstellung von Informationen in den in Anhang I aufgeführten Bereichen, vor allem auf der Grundlage der gemäß den Artikeln 24 und 25 erhobenen Daten,

d)

unterstützt sie die Kommission bei der Entwicklung gemeinsamer IKT-Lösungen für das Zugangstor,

e)

erörtert sie den Entwurf des jährlichen Arbeitsprogramms,

f)

unterstützt sie die Kommission bei der Überwachung der Durchführung des jährlichen Arbeitsprogramms,

g)

erörtert sie zusätzliche Informationen, die gemäß Artikel 5 zur Verfügung gestellt werden, um andere Mitgliedstaaten darin zu bestärken, den Nutzern bei Bedarf ähnliche Informationen zur Verfügung zu stellen,

h)

unterstützt sie die Kommission gemäß Artikel 17 bei der Überwachung der Erfüllung der Anforderungen der Artikel 8 bis 16,

i)

informiert sie über die Umsetzung von Artikel 6 Absatz 1,

j)

erörtert sie Maßnahmen und empfiehlt den zuständigen Behörden und der Kommission, um unnötige Überschneidungen bei den über das Zugangstor verfügbaren Diensten zu vermeiden oder zu beseitigen,

k)

gibt sie Stellungnahmen zu Verfahren oder Maßnahmen ab, um wirkungsvoll auf Probleme mit der Qualität der Dienste, die von Nutzern zur Sprache gebracht wurden, einzugehen oder Vorschläge zu deren Verbesserung zu machen,

l)

erörtert sie die Umsetzung der Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes im Rahmen dieser Verordnung,

m)

erörtert sie Probleme im Zusammenhang mit der Einholung der Rückmeldungen der Nutzer und der Erhebung von Statistiken gemäß den Artikeln 24 und 25, damit die von der Union und auf nationaler Ebene angebotenen Dienste stetig verbessert werden,

n)

erörtert sie Fragen im Zusammenhang mit den Qualitätsanforderungen der über das Zugangstor angebotenen Dienste,

o)

tauscht sie sich über bewährte Verfahren aus und unterstützt die Kommission bei der Organisation, Struktur und Darstellung der in Artikel 2 Absatz 2 genannten Dienste, damit für das reibungslose Funktionieren der gemeinsamen Nutzerschnittstelle gesorgt ist,

p)

erleichtert sie die Entwicklung und Umsetzung der koordinierten Öffentlichkeitsarbeit,

q)

arbeitet sie mit den Verwaltungsstellen oder Netzwerken von Informations-, Hilfs- oder Problemlösungsdiensten zusammen,

r)

stellt sie Leitfäden zu der zusätzlichen Amtssprache bzw. den zusätzlichen Amtssprachen der Union für den Gebrauch durch die zuständigen Behörden gemäß Artikel 9 Absatz 2, Artikel 10 Absatz 4, Artikel 11 Absatz 2 und Artikel 13 Absatz 2 Buchstabe a zur Verfügung.

(2)   Die Kommission kann die Koordinierungsgruppe für das Zugangstor zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung konsultieren.

Artikel 31

Jährliches Arbeitsprogramm

(1)   Die Kommission verabschiedet das jährliche Arbeitsprogramm, in dem insbesondere Folgendes festgelegt ist:

a)

Maßnahmen zur Verbesserung der Darstellung von bestimmten Informationen in den in Anhang I aufgeführten Bereichen und Maßnahmen zur Erleichterung der raschen Erfüllung der Anforderung, Informationen bereitzustellen, durch die zuständigen Behörden auf allen Ebenen, auch auf Kommunalebene,

b)

Maßnahmen zur Erleichterung der Einhaltung der Artikel 6 und 13,

c)

Maßnahmen zur Sicherstellung der konsequenten Erfüllung der Anforderungen der Artikel 9 bis 12,

d)

Tätigkeiten im Zusammenhang mit der Öffentlichkeitsarbeit für das Zugangstor gemäß Artikel 23.

(2)   Bei der Erstellung des Entwurfs des jährlichen Arbeitsprogramms berücksichtigt die Kommission die gemäß den Artikeln 24 und 25 erstellten Nutzerstatistiken und eingeholten Rückmeldungen der Nutzer sowie etwaige Vorschläge der Mitgliedstaaten. Vor der Verabschiedung legt die Kommission den Entwurf des jährlichen Arbeitsprogramms der Koordinierungsgruppe für das Zugangstor zur Erörterung vor.

KAPITEL VIII

SCHLUSSBESTIMMUNGEN

Artikel 32

Kosten

(1)   Der Gesamthaushalt der Europäischen Union deckt folgende Kosten ab:

a)

Entwicklung und Wartung der IKT-Instrumente zur Unterstützung der Ausführung dieser Verordnung auf Unionsebene,

b)

Öffentlichkeitsarbeit für das Zugangstor auf Unionsebene,

c)

Übersetzung der Informationen, Erklärungen und Anweisungen gemäß Artikel 12 unter Einhaltung einer jährlichen Höchstmenge je Mitgliedstaat, unbeschadet einer möglichen Neuzuweisung, soweit erforderlich, um die vollständige Verwendung der verfügbaren Haushaltsmittel zu ermöglichen.

(2)   Die Kosten im Zusammenhang mit nationalen Internetportalen, Informationsplattformen, Hilfsdiensten und Verfahren auf Ebene der Mitgliedstaaten werden aus den jeweiligen Haushalten der Mitgliedstaaten finanziert, sofern in Rechtsvorschriften der Union nicht anders vorgesehen.

Artikel 33

Schutz personenbezogener Daten

Die Verarbeitung personenbezogener Daten durch die zuständigen Behörden im Rahmen dieser Verordnung erfolgt gemäß der Verordnung (EU) 2016/679. Die Verarbeitung personenbezogener Daten durch die Kommission im Rahmen der vorliegenden Verordnung erfolgt gemäß der Verordnung (EU) 2018/1725.

Artikel 34

Zusammenarbeit mit anderen Informations- und Hilfsnetzen

(1)   Nach Rücksprache mit den Mitgliedstaaten entscheidet die Kommission, welche bestehenden informellen Verwaltungsregelungen für die in Anhang III aufgeführten Hilfs- oder Problemlösungsdienste oder für die in Anhang I angegebenen Informationsbereiche in die Zuständigkeit der Koordinierungsgruppe für das Zugangstor fallen.

(2)   Sind die Informations- und Hilfsdienste oder -netze durch einen verbindlichen Rechtsakt der Union für einen der in Anhang I aufgeführten Informationsbereiche geschaffen worden, so koordiniert die Kommission die Arbeit der Koordinierungsgruppe für das Zugangstor und der Verwaltungsgremien solcher Dienste oder Netze zum Zweck der Erzielung von Synergieeffekten und zur Vermeidung von Überschneidungen.

Artikel 35

Binnenmarkt-Informationssystem

(1)   Für die Zwecke und nach Maßgabe von Artikel 6 Absatz 4 und Artikel 15 wird das mit der Verordnung (EU) Nr. 1024/2012 geschaffene Binnenmarkt-Informationssystem (IMI) genutzt.

(2)   Die Kommission kann beschließen, das IMI als die in Artikel 19 Absatz 1 genannte elektronische Linkablage zu nutzen.

Artikel 36

Berichterstattung und Überprüfung

Spätestens am 12. Dezember 2022 und danach alle zwei Jahre überprüft die Kommission die Anwendung dieser Verordnung und legt dem Europäischen Parlament und dem Rat einen Bewertungsbericht über die Funktionsweise des Zugangstors und die Funktionsweise des Binnenmarktes auf der Grundlage der nach den Artikeln 24, 25 und 26 erhobenen Statistiken und eingeholten Rückmeldungen vor. In der Überprüfung wird insbesondere der Geltungsbereich von Artikel 14 überprüft, unter Berücksichtigung der technologischen, marktbezogenen und rechtlichen Entwicklungen im Zusammenhang mit dem Austausch von Nachweisen zwischen den zuständigen Behörden.

Artikel 37

Ausschussverfahren

(1)   Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

Artikel 38

Änderung der Verordnung (EU) Nr. 1024/2012

Die Verordnung (EU) Nr. 1024/2012 wird wie folgt geändert:

1.

Artikel 1 erhält folgende Fassung:

„Artikel 1

Gegenstand

In dieser Verordnung sind Vorschriften für die Nutzung eines Binnenmarkt-Informationssystems (‚Internal Market Information System‘, im Folgenden ‚IMI‘) für die Zwecke der Verwaltungszusammenarbeit zwischen den IMI-Akteuren, einschließlich der Verarbeitung personenbezogener Daten, festgelegt.“

2.

Artikel 3 Absatz 1 erhält folgende Fassung:

„(1)   Das IMI dient dem Austausch von Informationen, auch personenbezogener Daten, zwischen den IMI-Akteuren und der Verarbeitung dieser Informationen zu einem der folgenden Zwecke:

a)

Verwaltungszusammenarbeit gemäß den im Anhang aufgeführten Rechtsakten,

b)

Verwaltungszusammenarbeit, die Gegenstand eines Pilotprojekts gemäß Artikel 4 ist.“

3.

Artikel 5 Absatz 2 wird wie folgt geändert:

a)

Buchstabe a erhält folgende Fassung:

„a)

‚IMI‘ bedeutet das von der Kommission bereitgestellte elektronische Instrument zur Erleichterung der Verwaltungszusammenarbeit zwischen den IMI-Akteuren;“

b)

Buchstabe b erhält folgende Fassung:

„b)

‚Verwaltungszusammenarbeit‘ bedeutet die Zusammenarbeit zwischen den IMI-Akteuren in Form eines Austauschs und der Verarbeitung von Informationen zum Zwecke einer besseren Anwendung des Unionsrechts;“

c)

Buchstabe g erhält folgende Fassung:

„g)

‚IMI-Akteure‘ bedeutet die zuständigen Behörden, die IMI-Koordinatoren, die Kommission sowie die Einrichtungen und sonstigen Stellen der Union;“

4.

In Artikel 8 Absatz 1 wird folgender Buchstabe angefügt:

„f)

sie sorgt für die Koordinierung mit Einrichtungen und sonstigen Stellen der Union und gewährt diesen Zugang zum IMI.“

5.

Artikel 9 Absatz 4 erhält folgende Fassung:

„(4)   Die Mitgliedstaaten, die Kommission und die Einrichtungen und sonstigen Stellen der Union treffen geeignete Vorkehrungen, um sicherzustellen, dass IMI-Nutzer ausschließlich nach dem Grundsatz ‚Kenntnis nur, wenn nötig‘ und nur für diejenigen Binnenmarktbereiche, für die ihnen gemäß Absatz 3 Zugangsrechte gewährt wurden, auf die im Rahmen des IMI verarbeiteten personenbezogenen Daten zugreifen dürfen.“

6.

Artikel 21 wird wie folgt geändert:

a)

Absatz 2 erhält folgende Fassung:

„(2)   Der Europäische Datenschutzbeauftragte überwacht und stellt sicher, dass die Tätigkeiten der Kommission oder der Einrichtungen und sonstigen Stellen der Union im Bereich der Verarbeitung personenbezogener Daten — in ihrer Funktion als IMI-Akteure — nach Maßgabe dieser Verordnung durchgeführt werden. Die Aufgaben und Befugnisse nach den Artikeln 57 und 58 der Verordnung (EU) 2018/1725 (*1) gelten entsprechend.

(*1)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).“"

b)

Absatz 3 erhält folgende Fassung:

„(3)   Die nationalen Kontrollstellen und der Europäische Datenschutzbeauftragte kooperieren im Rahmen ihrer jeweiligen Befugnisse miteinander, um die koordinierte Überwachung des IMI und seiner Nutzung durch die IMI-Akteure gemäß Artikel 62 der Verordnung (EU) 2018/1725 sicherzustellen.“

c)

Absatz 4 wird gestrichen.

7.

Artikel 29 Absatz 1 wird gestrichen.

8.

Im Anhang werden folgende Nummern hinzugefügt:

„11.

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (*2) (Datenschutz-Grundverordnung): Artikel 56, Artikel 60 bis 66 und Artikel 70 Absatz 1.

12.

Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 2. Oktober 2018 über die Einrichtung eines einheitlichen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr. 1024/2012 (*3): Artikel 6 Absatz 4, Artikel 15 und Artikel 19.

(*2)  ABl. L 119 vom 4.5.2016, S. 1."

(*3)  ABl. L 295 vom 21.11.2018, S. 39.“"

Artikel 39

Inkrafttreten

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 2, Artikel 4, Artikel 7 bis12, Artikel 16 Artikel 17, Artikel 18 Absätze 1 bis 4, Artikel 19, Artikel 20, Artikel 24 Absätze 1, 2 und 3, Artikel 25 Absätze 1 bis 4, Artikel 26 und Artikel 27 gelten ab dem 12. Dezember 2020.

Artikel 6, Artikel 13, Artikel 14 Absätze 1 bis 8 und 10 und Artikel 15 gelten ab dem 12. Dezember 2023.

Ungeachtet des Datums der Anwendung der Artikel 2, 9, 10 und 11 stellen die Kommunalbehörden die in diesen Artikeln genannten Informationen, Erklärungen und Anweisungen spätestens bis zum 12. Dezember 2022 zur Verfügung.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Straßburg am 2. Oktober 2018.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Die Präsidentin

J. BOGNER-STRAUSS


(1)  ABl. C 81 vom 2.3.2018, S. 88.

(2)  Standpunkt des Europäischen Parlaments vom 13. September 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 27. September 2018.

(3)  Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).

(4)  Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung von Verfahren im Zusammenhang mit der Anwendung bestimmter nationaler technischer Vorschriften für Produkte, die in einem anderen Mitgliedstaat rechtmäßig in den Verkehr gebracht worden sind, und zur Aufhebung der Entscheidung Nr. 3052/95/EG (ABl. L 218 vom 13.8.2008, S. 21).

(5)  Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates vom 9. März 2011 zur Festlegung harmonisierter Bedingungen für die Vermarktung von Bauprodukten und zur Aufhebung der Richtlinie 89/106/EWG des Rates (ABl. L 88 vom 4.4.2011, S. 5).

(6)  Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (ABl. L 255 vom 30.9.2005, S. 22).

(7)  Empfehlung 2013/461/EU der Kommission vom 17. September 2013 zu den Grundsätzen für SOLVIT (ABl. L 249 vom 19.9.2013, S. 10).

(8)  Richtlinie 2014/24/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die öffentliche Auftragsvergabe und zur Aufhebung der Richtlinie 2004/18/EG (ABl. L 94 vom 28.3.2014, S. 65).

(9)  Richtlinie 2014/25/EU des Europäischen Parlaments und des Rates vom 26. Februar 2014 über die Vergabe von Aufträgen durch Auftraggeber im Bereich der Wasser-, Energie- und Verkehrsversorgung sowie der Postdienste und zur Aufhebung der Richtlinie 2004/17/EG (ABl. L 94 vom 28.3.2014, S. 243).

(10)  Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates vom 13. April 2016 über ein Europäisches Netz der Arbeitsvermittlungen (EURES), den Zugang von Arbeitnehmern zu mobilitätsfördernden Diensten und die weitere Integration der Arbeitsmärkte und zur Änderung der Verordnungen (EU) Nr. 492/2011 und (EU) Nr. 1296/2013 (ABl. L 107 vom 22.4.2016, S. 1).

(11)  Entscheidung 2001/470/EG des Rates vom 28. Mai 2001 über die Einrichtung eines Europäischen Justiziellen Netzes für Zivil- und Handelssachen (ABl. L 174 vom 27.6.2001, S. 25).

(12)  Richtlinie 2014/67/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 zur Durchsetzung der Richtlinie 96/71/EG über die Entsendung von Arbeitnehmern im Rahmen der Erbringung von Dienstleistungen und zur Änderung der Verordnung (EU) Nr. 1024/2012 über die Verwaltungszusammenarbeit mit Hilfe des Binnenmarkt-Informationssystems („IMI-Verordnung“) (ABl. L 159 vom 28.5.2014, S. 11).

(13)  Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73).

(14)  Verordnung (EG) Nr. 883/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Koordinierung der Systeme der sozialen Sicherheit (ABl. L 166 vom 30.4.2004, S. 1).

(15)  Verordnung (EG) Nr. 987/2009 des Europäischen Parlaments und des Rates vom 16. September 2009 zur Festlegung der Modalitäten für die Durchführung der Verordnung (EG) Nr. 883/2004 über die Koordinierung der Systeme der sozialen Sicherheit (ABl. L 284 vom 30.10.2009, S. 1).

(16)  Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates vom 26. Oktober 2016 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (ABl. L 327 vom 2.12.2016, S. 1).

(17)  Beschluss 2010/48/EG des Rates vom 26. November 2009 über den Abschluss des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen durch die Europäische Gemeinschaft (ABl. L 23 vom 27.1.2010, S. 35).

(18)  Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates vom 14. März 2012 zur Festlegung der technischen Vorschriften und der Geschäftsanforderungen für Überweisungen und Lastschriften in Euro und zur Änderung der Verordnung (EG) Nr. 924/2009 (ABl. L 94 vom 30.3.2012, S. 22).

(19)  Verordnung(EU) Nr. 1024/2012 des Europäischen Parlaments und des Rates vom 25. Oktober 2012 über die Verwaltungszusammenarbeit mit Hilfe des Binnenmarkt-Informationssystems und zur Aufhebung der Entscheidung 2008/49/EG der Kommission (IMI-Verordnung) (ABl. L 316 vom 14.11.2012, S. 1).

(20)  Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates vom 6. Juli 2016 zur Förderung der Freizügigkeit von Bürgern durch die Vereinfachung der Anforderungen an die Vorlage bestimmter öffentlicher Urkunden innerhalb der Europäischen Union und zur Änderung der Verordnung (EU) Nr. 1024/2012, ABl. L 200 vom 26.7.2016, S. 1.

(21)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(22)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (siehe Seite 39 dieses Amtsblatts).

(23)  Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 zur Schaffung der Fazilität „Connecting Europe“, zur Änderung der Verordnung (EU) Nr. 913/2010 und zur Aufhebung der Verordnungen (EG) Nr. 680/2007 und (EG) Nr. 67/2010 (ABl. L 348 vom 20.12.2013, S. 129).

(24)  Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts (ABl. L 169 vom 30.6.2017, S. 46).

(25)  Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über Insolvenzverfahren (ABl. L 141 vom 5.6.2015, S. 19).

(26)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(27)  Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1).

(28)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(29)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(30)  ABl. C 340 vom 11.10.2017, S. 6.


ANHANG I

Liste der in Artikel 2 Absatz 2 Buchstabe a genannten Informationsbereiche, die für Bürger und Unternehmen relevant sind, die ihre Binnenmarktrechte ausüben

Informationsbereiche im Zusammenhang mit Bürgern

Bereich

INFORMATIONEN ZU RECHTEN, PFLICHTEN UND VORSCHRIFTEN AUS DEM UNIONSRECHT UND DEM NATIONALEN RECHT

A.

Reisen innerhalb der Union

1.

Dokumente, die von Unionsbürgern, ihren Familienmitgliedern, die keine Unionsbürger sind, allein reisenden Minderjährigen und Nicht-Unionsbürgern bei grenzüberschreitenden Reisen innerhalb der Union verlangt werden (Personalausweis, Visum, Pass)

2.

Rechte und Pflichten von Flug-, Zug-, Schiffs- und Busreisenden in und aus der Union und von Personen, die Pauschalreisen oder verbundene Reiseleistungen in Anspruch nehmen

3.

Hilfeleistung bei eingeschränkter Mobilität bei Reisen in und aus der Union

4.

Mitnahme von Tieren, Pflanzen, Alkohol, Tabak, Zigaretten und anderen Waren bei Reisen in der Union

5.

Anrufe und Versand und Empfang von elektronischen Nachrichten und elektronischen Daten innerhalb der Union

B.

Arbeit und Ruhestand innerhalb der Union

1.

Arbeitssuche in einem anderen Mitgliedstaat

2.

Aufnahme einer Beschäftigung in einem anderen Mitgliedstaat

3.

Anerkennung von Qualifikationen zum Zwecke der Beschäftigung in einem anderen Mitgliedstaat

4.

Besteuerung in einem anderen Mitgliedstaat

5.

Haftungs- und Pflichtversicherungsbestimmungen im Zusammenhang mit der Niederlassung oder Beschäftigung in einem anderen Mitgliedstaat

6.

Gesetzlich oder durch Rechtsverordnung geregelte Beschäftigungsbedingungen — auch für entsandte Arbeitnehmer — (einschließlich Informationen über Arbeitsstunden, bezahlten Urlaub, Urlaubsansprüche, Rechte und Pflichten bei Überstunden, Gesundheitskontrollen, Beendigung von Verträgen, Kündigung oder Entlassungen)

7.

Gleichbehandlung (Vorschriften zum Verbot von Diskriminierung am Arbeitsplatz, über gleiche Entlohnung für Männer und Frauen und über gleiche Entlohnung für Beschäftigte mit befristeten oder unbefristeten Arbeitsverträgen)

8.

Gesundheits- und Sicherheitsvorschriften im Zusammenhang mit verschiedenen Arten von Tätigkeiten

9.

Rechte und Pflichten im Bereich der sozialen Sicherheit in der Union, auch im Zusammenhang mit Renten

C.

Fahrzeuge in der Union

1.

Vorübergehende oder dauerhafte Mitnahme eines Kraftfahrzeugs in einen anderen Mitgliedstaat

2.

Erwerb und Verlängerung eines Führerscheins

3.

Abschluss einer Kfz-Pflichtversicherung

4.

Kauf und Verkauf eines Kraftfahrzeugs in einem anderen Mitgliedstaat

5.

Nationale Verkehrsvorschriften und Anforderungen an Fahrer, einschließlich allgemeiner Vorschriften für die Nutzung der nationalen Straßenverkehrsinfrastruktur: zeitabhängige Gebühren (Vignette), entfernungsabhängige Gebühren (Maut), Emissionsplaketten

D.

Wohnsitz in einem anderen Mitgliedstaat

1.

Vorübergehender oder dauerhafter Umzug in einen anderen Mitgliedstaat

2.

Kauf und Verkauf von Immobilien, einschließlich aller Bedingungen und Pflichten im Zusammenhang mit der Besteuerung, dem Eigentum oder der Nutzung von Immobilien (auch als Zweitwohnsitz)

3.

Teilnahme an Kommunalwahlen und Wahlen zum Europäischen Parlament

4.

Anforderungen in Bezug auf Aufenthaltskarten für Unionsbürger und ihre Familienmitglieder, einschließlich Familienmitglieder, die keine Unionsbürger sind

5.

Voraussetzungen für die Einbürgerung von Staatsangehörigen eines anderen Mitgliedstaats

6.

Vorschriften für den Todesfall, einschließlich solcher über die Überführung der sterblichen Überreste in einen anderen Mitgliedstaat

E.

Bildung oder Praktikum in einem anderen Mitgliedstaat

1.

Bildungswesen in einem anderen Mitgliedstaat, einschließlich der frühkindlichen Betreuung, Bildung und Erziehung, der Primar- und Sekundarschulbildung, der Hochschulbildung und der Erwachsenenbildung

2.

Freiwilligendienst in einem anderen Mitgliedstaat

3.

Praktika in einem anderen Mitgliedstaat

4.

Forschungstätigkeit in einem anderen Mitgliedstaat als Teil eines Bildungsprogramms

F.

Medizinische Versorgung

1.

Medizinische Behandlung in einem anderen Mitgliedstaat

2.

Kauf von verordneten Arzneimitteln in einem anderen Mitgliedstaat als dem, in dem die Verordnung ausgestellt wurde, online oder vor Ort

3.

Krankenversicherungsbestimmungen für kurze oder längere Aufenthalte in einem anderen Mitgliedstaat und Antrag auf Ausstellung einer Europäischen Krankenversicherungskarte

4.

Allgemeine Informationen über Zugangsrechte zu verfügbaren öffentlichen Präventionsmaßnahmen im Gesundheitsbereich und über die Pflichten zur Teilnahme an diesen Maßnahmen

5.

Dienste, die über die nationalen Notrufnummern (einschließlich 112 und 116) zur Verfügung gestellt werden

6.

Rechte und Voraussetzungen für den Einzug in eine stationäre Pflegeeinrichtung

G.

Bürger- und Familienrechte

1.

Geburt, Sorgerecht für Minderjährige, elterliche Pflichten, Vorschriften für Leihmutterschaft und Adoption, einschließlich Stiefkindadoption, Unterhaltspflichten für Kinder bei grenzüberschreitenden familiären Gegebenheiten

2.

Leben in einer binationalen Partnerschaft, auch einer gleichgeschlechtlichen Partnerschaft (Eheschließung, zivile/eingetragene Partnerschaft, Trennung, Scheidung, Güterrecht, Rechte von Lebenspartnern)

3.

Vorschriften für die Anerkennung der Geschlechtszugehörigkeit

4.

Erbansprüche und -pflichten in einem anderen Mitgliedstaat, einschließlich Steuervorschriften

5.

Rechte und Vorschriften für Fälle der grenzüberschreitenden Kindesentführung durch einen Elternteil

H.

Verbraucherrechte

1.

Kauf von Waren, digitalen Inhalten oder entgeltliche Inanspruchnahme von Dienstleistungen aus einem anderen Mitgliedstaat (auch Finanzdienstleistungen), online oder vor Ort

2.

Besitz eines Bankkontos in einem anderen Mitgliedstaat

3.

Inanspruchnahme von öffentlichen Dienstleistungen, z. B. Gas-, Strom-, Wasserversorgung, Beseitigung von Haushaltsabfällen, Telekommunikationsdienstleistungen und Internet

4.

Zahlungen, einschließlich Überweisungen, Verzögerungen bei grenzüberschreitenden Zahlungen

5.

Verbraucherrechte und Garantien im Zusammenhang mit dem Kauf von Waren und Dienstleistungen, einschließlich Verfahren für die Beilegung von Verbraucherrechtsstreitigkeiten und die Verbraucherentschädigung

6.

Sicherheit von Verbraucherprodukten

7.

Mieten eines Kraftfahrzeugs

I.

Schutz personenbezogener Daten

1.

Ausübung der Rechte der Betroffenen im Zusammenhang mit dem Schutz personenbezogener Daten

Informationsbereiche im Zusammenhang mit Unternehmen

Bereich

INFORMATIONEN ZU RECHTEN, PFLICHTEN UND VORSCHRIFTEN

J.

Gründung, Führung und Schließung eines Unternehmens

1.

Eintragung, Änderung der Rechtsform oder Schließung eines Unternehmens (Registrierungsverfahren und Rechtsformen für geschäftliche Tätigkeiten)

2.

Verlagerung eines Unternehmens in einen anderen Mitgliedstaat

3.

Rechte des geistigen Eigentums (Antrag auf Erteilung eines Patents, Anmeldung einer Marke, einer Zeichnung oder eines Gebrauchsmusters, Erwerb einer Lizenz für die Vervielfältigung)

4.

Fairness und Transparenz von Geschäftspraktiken, einschließlich Verbraucherrechte und Garantien im Zusammenhang mit dem Verkauf von Waren und Dienstleistungen

5.

Angebot von Online-Verfahren für grenzüberschreitende Zahlungen beim Online-Verkauf von Waren und Dienstleistungen

6.

Rechte und Pflichten aufgrund des Vertragsrechts, einschließlich Verzugszinsen

7.

Insolvenzverfahren und Liquidation von Unternehmen

8.

Kreditversicherung

9.

Unternehmensfusionen oder Verkauf eines Unternehmens

10.

Zivilrechtliche Haftung der Direktoren eines Unternehmens

11.

Vorschriften und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten

K.

Arbeitnehmer

1.

Gesetzlich oder durch Rechtsverordnung geregelte Beschäftigungsbedingungen einschließlich Arbeitsstunden, bezahlter Urlaub, Urlaubsansprüche, Rechte und Pflichten in Bezug auf Überstunden, Gesundheitskontrollen, Beendigung von Verträgen, Kündigung oder Entlassungen)

2.

Rechte und Pflichten im Bereich der sozialen Sicherheit in der Union (Registrierung als Arbeitgeber, Registrierung von Beschäftigten, Mitteilung über das Ende eines Vertrags eines Beschäftigten, Zahlung von Sozialbeiträgen, Rechte und Pflichten im Zusammenhang mit Renten)

3.

Beschäftigung von Arbeitnehmern in anderen Mitgliedstaaten (Entsendung von Arbeitnehmern, Vorschriften über den freien Dienstleistungsverkehr, Wohnsitzanforderungen für Arbeitnehmer)

4.

Gleichbehandlung (Vorschriften gegen Diskriminierung am Arbeitsplatz, Vorschriften zur gleichen Entlohnung für Männer und Frauen, gleiche Entlohnung für Beschäftigte mit befristeten oder mit unbefristeten Arbeitsverträgen)

5.

Vorschriften für die Arbeitnehmervertretung

L.

Steuern

1.

Mehrwertsteuer: Informationen über die allgemeinen Vorschriften, Sätze und Ausnahmeregelungen, MwSt.-Registrierung und -Zahlung, MwSt.-Erstattung

2.

Verbrauchsteuern: Informationen über die allgemeinen Vorschriften, Sätze und Ausnahmeregelungen, Verbrauchsteuerregistrierung und -zahlung, Verbrauchsteuererstattung

3.

Zölle und andere Steuern und Abgaben, die auf Einfuhren erhoben werden

4.

Zollverfahren für Einfuhren und Ausfuhren gemäß dem Zollkodex der Union

5.

Sonstige Steuern: Zahlung, Sätze, Steuererklärungen

M.

Waren

1.

Erlangung der CE-Kennzeichnung

2.

Vorschriften für und Anforderungen an Erzeugnisse

3.

Feststellung der geltenden Normen, technischen Spezifikationen und Zertifizierung der Produkte

4.

Gegenseitige Anerkennung von Produkten, die keinen Unionsspezifikationen unterliegen

5.

Anforderungen in Bezug auf die Einstufung, Kennzeichnung und Verpackung von gefährlichen Chemikalien

6.

Verkäufe im Fernabsatz und außerhalb von Geschäftsräumen: Informationen, die Verbrauchern vorab zu erteilen sind, schriftliche Vertragsbestätigung, Rücktritt von einem Vertrag, Lieferung der Waren, sonstige spezifische Verpflichtungen

7.

Fehlerhafte Produkte: Verbraucherrechte und Garantien, Verantwortlichkeiten nach dem Verkauf, Abhilfemöglichkeiten für eine geschädigte Partei

8.

Zertifizierung, Gütezeichen (EMAS, Energieeffizienzkennzeichnung, Ökodesign, EU-Umweltzeichen)

9.

Recycling und Abfallentsorgung

N.

Dienstleistungen

1.

Erlangung von Lizenzen, Genehmigungen oder Zulassungen im Hinblick auf die Gründung und Führung eines Unternehmens

2.

Unterrichtung der Behörden über grenzüberschreitende Tätigkeiten

3.

Anerkennung beruflicher Qualifikationen, einschließlich beruflicher Bildung

O.

Finanzierung eines Unternehmens

1.

Zugang zu Finanzmitteln auf Unionsebene, einschließlich Finanzierungsprogramme der Union und Finanzhilfen für Unternehmen

2.

Zugang zu Finanzmitteln auf nationaler Ebene

3.

Initiativen für Unternehmer (Austauschmaßnahmen für neue Unternehmer, Mentoring-Programme usw.)

P.

Öffentliche Aufträge

1.

Teilnahme an öffentlichen Ausschreibungen: Regeln und Verfahren

2.

Online-Abgabe eines Gebots auf eine öffentliche Ausschreibung

3.

Meldung von Unregelmäßigkeiten im Zusammenhang mit dem Ausschreibungsverfahren

Q.

Gesundheit und Sicherheit am Arbeitsplatz

1.

Gesundheits- und Sicherheitsvorschriften im Zusammenhang mit verschiedenen Arten von Tätigkeiten, einschließlich der Risikovermeidung, Information und Ausbildung


ANHANG II

Verfahren nach Artikel 6 Absatz 1

Lebensereignisse

Verfahren

Erwartete Ergebnisse, gegebenenfalls vorbehaltlich einer Bewertung des Antrags durch die zuständige Behörde gemäß nationalen Rechtsvorschriften

Geburt

Beantragung des Nachweises über die Eintragung in das Geburtenregister

Nachweis über die Eintragung in das Geburtenregister oder Geburtsurkunde

Wohnsitz

Beantragung eines Wohnsitznachweises

Bestätigung der Meldung an der aktuellen Adresse

Studium

Beantragung einer Studienfinanzierung für ein Hochschulstudium, z. B. Studienbeihilfen oder -darlehen, bei einer öffentlichen Stelle oder Einrichtung

Entscheidung über den Antrag auf Studienfinanzierung oder Empfangsbestätigung

Einreichung eines ersten Antrags auf Zulassung zu einer öffentlichen Hochschuleinrichtung

Bestätigung des Eingangs des Antrags

Beantragung der Anerkennung von akademischen Diplomen, Prüfungszeugnissen oder sonstigen Nachweisen über Studien oder Kurse

Entscheidung über den Antrag auf Anerkennung

Arbeit

Antrag auf Bestimmung des anwendbaren Rechts gemäß Titel II der Verordnung (EG) Nr. 883/2004 (1)

Beschluss über das anwendbare Recht

Mitteilung einer Änderung der persönlichen oder beruflichen Situation des Empfängers von Sozialversicherungsleistungen, die für solche Leistungen relevant ist

Bestätigung des Eingangs der Mitteilung solcher Änderungen

Antrag auf Ausstellung einer Europäischen Krankenversicherungskarte (EHIC)

Europäische Krankenversicherungskarte (EHIC)

Einreichung einer Einkommensteuererklärung

Bestätigung des Eingangs der Erklärung

Umzug

Meldung einer Adressänderung

Bestätigung der Abmeldung von der früheren Adresse und der Anmeldung an der neuen Adresse

Zulassung eines aus einem Mitgliedstaat stammenden oder bereits in einem EU-Mitgliedstaat zugelassenen Kraftfahrzeugs in Standardverfahren (2)

Nachweis über die Zulassung eines Kraftfahrzeugs

Beantragung von Plaketten für die Nutzung der nationalen Straßenverkehrsinfrastruktur: von einer öffentlichen Stelle oder Einrichtung ausgestellte zeitabhängige Gebühren (Vignette), entfernungsabhängige Gebühren (Maut),

Erhalt des Mautaufklebers oder der Vignette oder anderer Zahlungsbeleg

Beantragung von Emissionsplaketten, die von einer öffentlichen Stelle oder Einrichtung ausgestellt werden

Erhalt der Emissionsplakette oder anderer Zahlungsbeleg

Ruhestand

Beantragung von Ruhestands- und Vorruhestandsleistungen aus obligatorischen Systemen

Bestätigung des Eingangs des Antrags oder Beschluss über den Antrag auf Ruhestands- oder Vorruhestandsleistungen

Ersuchen um Informationen über die Daten im Zusammenhang mit Ruhestandsleistungen aus obligatorischen Systemen

Erklärung über die persönlichen Ruhestandsdaten

Gründung, Führung und Schließung eines Unternehmens

Meldung einer Geschäftstätigkeit, Zulassung zur Ausübung einer Geschäftstätigkeit, Änderung einer Geschäftstätigkeit und Einstellung einer Geschäftstätigkeit ausgenommen Insolvenz- oder Liquidationsverfahren, ausgenommen der erstmaligen Eintragung einer Geschäftstätigkeit in das Unternehmens-Register, und ausgenommen Eintragungen im Rahmen des Verfahren zur Gründung von — oder späteren Anmeldungen oder Einreichungen von Meldungen von — Gesellschaften oder Unternehmen im Sinne von Artikel 54 Absatz 2 AEUV

Bestätigung des Eingangs der Meldung oder Änderung einer Geschäftstätigkeit oder des Antrags auf Genehmigung der Geschäftstätigkeit

Registrierung eines Arbeitgebers (einer natürlichen Person) bei obligatorischen Versorgungs- und Versicherungssystemen

Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer

Registrierung von Beschäftigten bei obligatorischen Versorgungs- und Versicherungssystemen

Bestätigung der Registrierung oder Sozialversicherungs-Kennnummer

Einreichung einer Körperschaftsteuererklärung

Bestätigung des Eingangs der Erklärung

Meldung an die Sozialversicherungssysteme bei Beendigung des Vertrags mit einem Beschäftigten, ausgenommen bei Verfahren zur kollektiven Beendigung von Arbeitnehmerverträgen

Bestätigung des Eingangs der Meldung

Zahlung von Sozialbeiträgen für Beschäftigte

Empfangs- oder andere Art der Bestätigung der Zahlung der Sozialbeiträge für Beschäftigte


(1)  Verordnung (EG) Nr. 883/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Koordinierung der Systeme der sozialen Sicherheit (ABl. L 166 vom 30.4.2004, S. 1).

(2)  Das gilt für folgende Fahrzeuge: a) Kraftfahrzeuge oder Anhänger nach Artikel 3 der Richtlinie 2007/46/EG des Europäischen Parlaments und des Rates (ABl. L 263 vom 9.10.2007, S. 1) und b) zwei- oder dreirädrige Kraftfahrzeuge mit oder ohne Doppelrad, die für die Teilnahme am Straßenverkehr bestimmt sind, nach Artikel 1 der Verordnung (EU) Nr. 168/2013 des Europäischen Parlaments und des Rates (ABl. L 60 vom 2.3.2013, S. 52).


ANHANG III

Liste der in Artikel 2 Absatz 2 Buchstabe c genannten Hilfs- und Problemlösungsdienste

1.

Einheitliche Ansprechpartner (1)

2.

Produktinfostellen (2)

3.

Produktinformationsstellen für das Bauwesen (3)

4.

Nationale Beratungszentren für Berufsqualifikationen (4)

5.

Nationale Kontaktstellen für die grenzüberschreitende Gesundheitsversorgung (5)

6.

Europäisches Netz der Arbeitsvermittlungen (EURES) (6)

7.

Online-Streitbeilegung (7)


(1)  Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates vom 12. Dezember 2006 über Dienstleistungen im Binnenmarkt (ABl. L 376 vom 27.12.2006, S. 36).

(2)  Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 zur Festlegung von Verfahren im Zusammenhang mit der Anwendung bestimmter nationaler technischer Vorschriften für Produkte, die in einem anderen Mitgliedstaat rechtmäßig in den Verkehr gebracht worden sind, und zur Aufhebung der Entscheidung Nr. 3052/95/EG (ABl. L 218 vom 13.8.2008, S. 21).

(3)  Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates vom 9. März 2011 zur Festlegung harmonisierter Bedingungen für die Vermarktung von Bauprodukten und zur Aufhebung der Richtlinie 89/106/EWG des Rates (ABl. L 88 vom 4.4.2011, S. 5).

(4)  Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates vom 7. September 2005 über die Anerkennung von Berufsqualifikationen (ABl. L 255 vom 30.9.2005, S. 22).

(5)  Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(6)  Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates vom 13. April 2016 über ein Europäisches Netz der Arbeitsvermittlungen (EURES), den Zugang von Arbeitnehmern zu mobilitätsfördernden Diensten und die weitere Integration der Arbeitsmärkte und zur Änderung der Verordnungen (EU) Nr. 492/2011 und (EU) Nr. 1296/2013 (ABl. L 107 vom 22.4.2016, S. 1).

(7)  Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten und zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2009/22/EG (Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten) (ABl. L 165 vom 18.6.2013, S. 1).


21.11.2018   

DE

Amtsblatt der Europäischen Union

L 295/39


VERORDNUNG (EU) 2018/1725 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 23. Oktober 2018

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

gemäß dem ordentlichen Gesetzgebungsverfahren (2),

in Erwägung nachstehender Gründe:

(1)

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dieses Recht ist zudem in Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorgesehen.

(2)

In der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (3) sind auf dem Rechtsweg durchsetzbare Rechte für natürliche Personen vorgesehen, es werden die Verpflichtungen der in den Organen und Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festgelegt und es wird der Europäische Datenschutzbeauftragte als unabhängige Aufsichtsbehörde eingerichtet, die für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zuständig ist. Die Verordnung gilt jedoch nicht für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten der Organe und Einrichtungen der Union, die nicht in den Anwendungsbereich des Unionsrechts fallen.

(3)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) und die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) wurden am 27. April 2016 angenommen. Während die Verordnung allgemeine Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union enthält, sind in der Richtlinie besondere Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geregelt.

(4)

Die Verordnung (EU) 2016/679 sieht die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass sie parallel mit der Verordnung (EU) 2016/679 angewandt werden kann.

(5)

Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union sollten die Datenschutzbestimmungen für die Organe, Einrichtungen und sonstigen Stellen der Union so weit wie möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen werden. Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof“) einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte.

(6)

Personen, deren personenbezogene Daten in irgendeinem Kontext von den Organen oder Einrichtungen der Union verarbeitet werden, z. B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind, sollten geschützt werden. Die vorliegende Verordnung sollte nicht für die Verarbeitung der personenbezogenen Daten Verstorbener gelten. Die vorliegende Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(7)

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

(8)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch alle Organe, Einrichtungen und sonstigen Stellen der Union gelten. Sie sollte für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

(9)

In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, auf der der Vertrag von Lissabon angenommen wurde, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Ein gesondertes Kapitel der vorliegenden Verordnung mit allgemeinen Bestimmungen sollte daher für die Verarbeitung von operativen personenbezogenen Daten gelten, etwa für personenbezogene Daten, die zum Zweck strafrechtlicher Ermittlungen von Einrichtungen oder sonstigen Stellen der Union, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen, verarbeitet werden.

(10)

Die Richtlinie (EU) 2016/680 enthält harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeitet werden. Um sicherzustellen, dass natürliche Personen auf der Grundlage von auf dem Rechtsweg durchsetzbaren Rechten in der gesamten Union das gleiche Maß an Schutz genießen, und um zu verhindern, dass der Austausch personenbezogener Daten zwischen Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, und den zuständigen Behörden durch Unterschiede behindert wird, sollten die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von diesen Einrichtungen oder sonstigen Stellen der Union verarbeitet werden, im Einklang mit der Richtlinie (EU) 2016/680 stehen.

(11)

Die allgemeinen Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollten unbeschadet der besonderen Vorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union, deren Tätigkeit durch den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV geregelt ist, gelten. Derartige besondere Vorschriften sollten als lex specialis in Bezug auf die Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten betrachtet werden (lex specialis derogat legi generali). Um die Zersplitterung des Rechtsrahmens zu verringern, sollten die besonderen Datenschutzvorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, mit den Grundsätzen, die dem Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten zugrunde liegen, sowie mit den Vorschriften der vorliegenden Verordnung über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen im Einklang stehen.

(12)

Das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollte für Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten, und zwar unabhängig davon, ob Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten ihre Haupt- oder ihre Nebenaufgabe ist. Es sollte jedoch nicht für Europol und die Europäische Staatsanwaltschaft gelten, bevor die Rechtsakte zur Gründung von Europol und der Europäischen Staatsanwaltschaft dahingehend geändert werden, dass das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten in seiner angepassten Fassung auch für sie gilt.

(13)

Die Kommission sollte die vorliegende Verordnung und insbesondere ihr Kapitel über die Verarbeitung operativer personenbezogener Daten überprüfen. Die Kommission sollte zudem die anderen auf der Grundlage der Verträge erlassenen Rechtsakte überprüfen, die für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten. Nach dieser Überprüfung sollte die Kommission sachdienliche Gesetzgebungsvorschläge, gegebenenfalls auch zu notwendigen Anpassungen des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten, im Hinblick auf dessen Anwendung auf Europol und die Europäische Staatsanwaltschaft machen können, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sichergestellt wird. Diese Änderungen sollten Vorschriften über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen berücksichtigen.

(14)

Die vorliegende Verordnung sollte auch für die Verarbeitung von verwaltungstechnischen personenbezogenen Daten, wie etwa Personaldaten, durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten.

(15)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union (EUV) fallen, gelten. Die vorliegende Verordnung sollte nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV zur Umsetzung der gemeinsamen Sicherheits- und Verteidigungspolitik gelten. Gegebenenfalls sollten entsprechende Vorschläge zur weiteren Regulierung der Verarbeitung personenbezogener Daten im Bereich der gemeinsamen Sicherheits- und Verteidigungspolitik vorgelegt werden.

(16)

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung derartiger anonymer Daten, auch für statistische oder für Forschungszwecke.

(17)

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.

(18)

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet, die von ihren Geräten, Software-Anwendungen und -Tools oder Protokollen geliefert werden. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

(19)

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben werden soll, erfolgen. Darüber hinaus sollte die betroffene Person das Recht haben, ihre Einwilligung jederzeit zu widerrufen, wobei die Verarbeitungsvorgänge, die aufgrund der Einwilligung vor dem Widerruf erfolgt sind, weiterhin als rechtmäßig gelten sollen. Um sicherzustellen, dass die Einwilligung freiwillig erfolgt, sollte in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, diese keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.

(20)

Jede Verarbeitung personenbezogener Daten sollte rechtmäßige und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können, und dass die Daten während der Übermittlung nicht unbefugt offengelegt werden.

(21)

Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Organe und Einrichtungen der Union bei der Übermittlung personenbezogener Daten innerhalb desselben Organs oder derselben Einrichtung der Union, wenn der Empfänger nicht zum Verantwortlichen gehört, bzw. bei der Übermittlung an andere Organe und Einrichtungen der Union prüfen, ob diese personenbezogenen Daten für die rechtmäßige Erfüllung der Aufgaben im Zuständigkeitsbereich des Empfängers erforderlich sind. Insbesondere sollte der Verantwortliche im Falle eines Antrags des Empfängers auf Übermittlung personenbezogener Daten das Vorliegen einschlägiger Gründe für die rechtmäßige Verarbeitung personenbezogener Daten sowie die Zuständigkeit des Empfängers überprüfen. Der Verantwortliche sollte auch die Notwendigkeit der Übermittlung dieser Daten vorläufig bewerten. Bestehen Zweifel an der Notwendigkeit, sollte der Verantwortliche weitere Auskünfte vom Empfänger einholen. Der Empfänger sollte sicherstellen, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.

(22)

Die Verarbeitung personenbezogener Daten sollte nur dann rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung ihrer öffentlichen Gewalt durch die Organe und Einrichtungen der Union oder für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, oder wenn eine andere zulässige Rechtsgrundlage gemäß der vorliegenden Verordnung besteht, wie etwa die Einwilligung der betroffenen Person, die Tatsache, dass die Verarbeitung von personenbezogenen Daten für die Umsetzung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder auf Antrag der betroffenen Person für Maßnahmen vor Abschluss eines Vertrags erforderlich ist. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und die Arbeitsweise dieser Organe und Einrichtungen erforderlich ist. Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

(23)

Das Unionsrecht, auf das in dieser Verordnung Bezug genommen wird, sollte klar und präzise sein und seine Anwendung sollte für diejenigen, die ihm unterliegen, im Einklang mit den Anforderungen der Charta und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorhersehbar sein.

(24)

Die internen Vorschriften, auf die in dieser Verordnung Bezug genommen wird, sollten klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein. Sie sollten auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union im Rahmen ihrer Zuständigkeiten und in Bezug auf Angelegenheiten, die ihre Tätigkeit betreffen, erlassen werden. Sie sollten im Amtsblatt der Europäischen Union veröffentlicht werden. Die Anwendung dieser Vorschriften sollte für die ihnen unterliegenden Personen vorhersehbar sein und mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. Interne Vorschriften können auch in Form von Beschlüssen erlassen werden, insbesondere wenn dies durch Organe der Union geschieht.

(25)

Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine weitere Verarbeitung als vereinbar und rechtmäßig erachtet wird. Die weitere Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollten als vereinbare und rechtmäßige Verarbeitungsvorgänge gelten. Die im Unionsrecht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine weitere Verarbeitung dienen. Um festzustellen, ob ein Zweck der weiteren Verarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten weiteren Verarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte weitere Verarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten weiteren Verarbeitungsvorgang geeignete Schutzmaßnahmen angewendet werden.

(26)

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollte mit Hilfe von Schutzmaßnahmen sichergestellt werden, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Nach der Richtlinie 93/13/EWG des Rates (6) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person zumindest wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

(27)

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein derartiger besonderer Schutz sollte insbesondere die Erstellung von Persönlichkeitsprofilen und die Erhebung von personenbezogenen Daten von Kindern bei Diensten, die Kindern auf Websites der Organe und Einrichtungen der Union direkt angeboten werden, betreffen, wie beispielsweise interpersonelle Kommunikationsdienste oder Online-Ticketverkauf, sofern die Verarbeitung personenbezogener Daten mit Einwilligung erfolgt.

(28)

Wünschen in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, die Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union, sollten sie nachweisen, dass die Übermittlung der Daten an diese Empfänger für die Wahrnehmung ihrer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihnen übertragen wurde. Andernfalls sollten diese Empfänger nachweisen, dass die Übermittlung für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche sollte prüfen, ob die begründete Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten. In diesen Fällen sollte der Verantwortliche die unterschiedlichen Interessen gegeneinander abwägen, um einzuschätzen, ob die gewünschte Übermittlung von Daten verhältnismäßig ist. Dieser im öffentlichen Interesse liegende bestimmte Zweck kann etwa in Bezug zur Transparenz der Organe und Einrichtungen der Union stehen. Erfolgt die Übermittlung auf eigene Veranlassung der Organe und Einrichtungen der Union, so sollten diese unter Beachtung des Grundsatzes der Transparenz und der Grundsätze guter Verwaltungspraxis nachweisen, dass die Übermittlung erforderlich ist. Die in der vorliegenden Verordnung festgelegten Anforderungen für die Übermittlung von Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, sollten als Ergänzung zu den Voraussetzungen für die rechtmäßige Verarbeitung verstanden werden.

(29)

Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten nur verarbeitet werden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt sind. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Zusätzlich zu den speziellen Anforderungen an die Verarbeitung sensibler Daten sollten die allgemeinen Grundsätze und anderen Bestimmungen der vorliegenden Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.

(30)

Besondere Kategorien personenbezogener Daten, die einen verbesserten Schutz benötigen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Die vorliegende Verordnung sollte daher die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere in Fällen, in denen die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Unionsrecht sollten angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden.

(31)

Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und gesonderten Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates (7) ausgelegt werden und alle Elemente im Zusammenhang mit Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, sich auf diesen Gesundheitszustand auswirkende Faktoren, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die Ausgaben für die Gesundheitsversorgung und ihre Finanzierung und schließlich die Ursachen der Mortalität umfassen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass derartige personenbezogene Daten zu anderen Zwecken verarbeitet werden.

(32)

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch ein Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen.

(33)

Bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollten geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der vorliegenden Verordnung vorgesehen sein. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Schutzmaßnahmen bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Organe und Einrichtungen der Union sollten im Unionsrecht, gegebenenfalls auch in internen Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen.

(34)

Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Verfahren, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats, zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.

(35)

Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

(36)

Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig gegenüber einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten gegenüber diesem Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.

(37)

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, damit sie über die Rechtmäßigkeit der Verarbeitung informiert ist und diese überprüfen kann. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welchen Grundsätzen die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

(38)

Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten gegen die vorliegende Verordnung oder gegen das Unionsrecht, das für den Verantwortlichen gilt, verstößt. Eine betroffene Person sollte Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. in anderer Weise verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffene Person ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt hat oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen die vorliegende Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Risiken nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

(39)

Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

(40)

Verfahren zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.

(41)

Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung ihm übertragener öffentlicher Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Bezieht sich ein bestimmter Satz personenbezogener Daten auf mehr als eine betroffene Person, so sollte das Recht auf Erhalt der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts nach der vorliegenden Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden.

(42)

Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

(43)

Die betroffene Person sollte das Recht haben, keiner Entscheidung oder Maßnahme zur Bewertung von sie betreffenden personenbezogenen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat, wie etwa Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das Profiling, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der personenbezogenen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten in Bezug auf Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies eine rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat.

Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht ausdrücklich zulässig ist. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Schutzmaßnahmen verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder einer Verarbeitung kommt, die eine solche Wirkung hat. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.

(44)

In auf der Grundlage der Verträge erlassenen Rechtsakten oder in von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften können Beschränkungen hinsichtlich bestimmter Grundsätze und des Rechts auf Unterrichtung, Zugang zu und Berichtigung oder Löschung von personenbezogenen Daten, des Rechts auf Datenübertragbarkeit, Vertraulichkeit elektronischer Kommunikationsdaten sowie gegebenenfalls Mitteilung über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen sein, soweit dies in einer demokratischen Gesellschaft zur Aufrechterhaltung der öffentlichen Sicherheit und zur Verhütung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung notwendig und verhältnismäßig ist. Dies umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit, den Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, den Schutz der inneren Sicherheit der Organe und Einrichtungen der Union und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, vor allem die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaats und das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses oder der Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherung, öffentliche Gesundheit und humanitäre Hilfe.

(45)

Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der vorliegenden Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

(46)

Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Beeinträchtigungen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Auffassungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

(47)

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

(48)

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen der vorliegenden Verordnung erfüllt werden. Um die Einhaltung der Vorschriften der vorliegenden Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

(49)

Die Verordnung (EU) 2016/679 sieht vor, dass die Verantwortlichen die Erfüllung der Anforderungen durch die Einhaltung genehmigter Zertifizierungsverfahren nachweisen können. In gleicher Weise sollten auch die Organe und Einrichtungen der Union die Einhaltung der Vorschriften der vorliegenden Verordnung dadurch nachweisen können, dass sie eine Zertifizierung gemäß Artikel 42 der Verordnung (EU) 2016/679 erlangen.

(50)

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und der Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuweisung der Verantwortlichkeiten durch die vorliegende Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.

(51)

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, sollte auf Grundlage eines Vertrags oder — im Fall von Organen und Einrichtungen der Union, die als Auftragsverarbeiter handeln — aufgrund eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter sollten entscheiden können, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber vom Datenschutzbeauftragten angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(52)

Zum Nachweis der Einhaltung der vorliegenden Verordnung sollten die Verantwortlichen ein Verzeichnis der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter ein Verzeichnis der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen. Die Organe und Einrichtungen der Union sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten und diesem auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Den Organen und Einrichtungen der Union sollte es möglich sein, ein zentrales Register einzurichten, in dem sie ihre Verarbeitungstätigkeiten verzeichnen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Aus Gründen der Transparenz sollte es ihnen zudem möglich sei, dieses Register öffentlich zugänglich zu machen.

(53)

Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die vorliegende Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

(54)

Die Organe und Einrichtungen der Union sollten die Vertraulichkeit der elektronischen Kommunikation nach Artikel 7 der Charta sicherstellen. Insbesondere sollten die Organe und Einrichtungen der Union die Sicherheit ihrer elektronischen Kommunikationsnetze sicherstellen. Sie sollten die sich auf die Endeinrichtungen der Nutzer beziehenden Informationen bei deren Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützen. Sie sollten auch die in den Nutzerverzeichnissen gespeicherten personenbezogenen Daten schützen.

(55)

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, den Europäischen Datenschutzbeauftragten von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen ohne unangemessene weitere Verzögerung bereitgestellt werden. Ist eine derartige Verzögerung gerechtfertigt, sollten weniger sensible oder weniger konkrete Informationen über die Verletzung so schnell wie möglich offengelegt werden, anstatt mit der Benachrichtigung zu warten, bis die Ursache behoben wurde.

(56)

Der Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person führt, damit diese die erforderlichen Vorkehrungen treffen kann. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit dem Europäischen Datenschutzbeauftragen und nach Maßgabe der von ihm oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen.

(57)

Gemäß der Verordnung (EG) Nr. 45/2001 ist der Verantwortliche generell verpflichtet, dem Datenschutzbeauftragten die Verarbeitung personenbezogener Daten zu melden. Der Datenschutzbeauftragte hat ein Register über die gemeldeten Verarbeitungsvorgänge zu führen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Zusätzlich zu dieser allgemeinen Pflicht sollten wirksame Verfahren und Mechanismen eingerichtet werden, um Verarbeitungsvorgänge zu überwachen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Derartige Verfahren sollten insbesondere auch dann eingerichtet werden, wenn Arten von Verarbeitungsvorgängen zur Anwendung kommen, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Schutzmaßnahmen und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen.

(58)

Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Verfahren zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte der Europäische Datenschutzbeauftragte vor Beginn der Verarbeitung konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Der Europäische Datenschutzbeauftragte sollte das Ersuchen um Konsultation innerhalb einer bestimmten Frist beantworten. Allerdings kann der Europäische Datenschutzbeauftragte, auch wenn er nicht innerhalb dieser Frist reagiert hat, entsprechend seinen in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses sollte es möglich sein, dem Europäischen Datenschutzbeauftragten das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung zu unterbreiten; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen.

(59)

Der Europäische Datenschutzbeauftragte sollte über administrative Maßnahmen unterrichtet und zu von den Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften konsultiert werden, wenn sie die Verarbeitung personenbezogener Daten vorsehen, Bedingungen für Beschränkungen der Rechte betroffener Personen festlegen oder angemessene Schutzmaßnahmen für die Rechte betroffener Personen bieten, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, insbesondere im Hinblick auf die Eindämmung der Risiken für die betroffene Person.

(60)

Mit der Verordnung (EU) 2016/679 wurde der Europäische Datenschutzausschuss als unabhängige Einrichtung der Union mit eigener Rechtspersönlichkeit eingesetzt. Der Ausschuss soll zu einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in der gesamten Union beitragen, unter anderem indem er die Kommission berät. Gleichzeitig sollte der Europäische Datenschutzbeauftragte seine Aufsichts- und Beratungsaufgaben gegenüber allen Organen und Einrichtungen der Union weiterhin wahrnehmen — sowohl von sich aus als auch auf Antrag. Bei der Ausarbeitung von Vorschlägen oder Empfehlungen sollte sich die Kommission darum bemühen, den Europäischen Datenschutzbeauftragten anzuhören, damit in der gesamten Union einheitliche Datenschutzvorschriften gewährleistet sind. Eine Konsultation durch die Kommission nach Annahme eines Rechtsakts oder bei der Ausarbeitung delegierter Rechtsakte und Durchführungsrechtsakte im Sinne der Artikel 289, 290 und 291 AEUV und nach der Annahme von Empfehlungen und Vorschlägen für Übereinkünfte mit Drittländern und internationalen Organisationen nach Artikel 218 AEUV sollte verbindlich vorgeschrieben werden, wenn sich diese auf das Recht auf Schutz personenbezogener Daten auswirken. In diesen Fällen sollte die Kommission verpflichtet sein, den Europäischen Datenschutzbeauftragten zu konsultieren, es sei denn, die Verordnung (EU) 2016/679 sieht eine obligatorische Konsultation des Europäischen Datenschutzausschusses vor — beispielsweise zu Angemessenheitsbeschlüssen oder delegierten Rechtsakten in Bezug auf standardisierte Bildsymbole und die Anforderungen für Zertifizierungsverfahren. Ist der betreffende Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, so sollte es der Kommission zudem möglich sein, den Europäischen Datenschutzausschuss zu konsultieren. In diesen Fällen sollte der Europäische Datenschutzbeauftragte als Mitglied des Europäischen Datenschutzausschusses seine Arbeit mit Letztgenanntem im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Der Europäische Datenschutzbeauftragte und gegebenenfalls der Europäische Datenschutzausschuss sollten ihre schriftliche Empfehlung binnen acht Wochen vorlegen. Diese Frist sollte in dringenden Fällen oder soweit anderweitig angemessen, zum Beispiel, wenn die Kommission delegierte Rechtsakte und Durchführungsrechtsakte ausarbeitet, kürzer sein.

(61)

Gemäß Artikel 75 der Verordnung (EU) 2016/679 sollte das Sekretariat des Europäischen Datenschutzausschusses vom Europäischen Datenschutzbeauftragten gestellt werden.

(62)

In allen Organen und Einrichtungen der Union sollte ein Datenschutzbeauftragter für die Anwendung der Bestimmungen dieser Verordnung Sorge tragen und die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung ihrer Pflichten beraten. Dieser Beauftragte sollte über das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen, das sich insbesondere nach den vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten richten sollte. Diese Datenschutzbeauftragten sollten ihren Auftrag und ihre Aufgaben auf unabhängige Weise wahrnehmen können.

(63)

Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte bei der Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen gewährleistet werden. Dieselben Garantien sollten auch dann gelten, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung der vorliegenden Verordnung und unter Achtung der in der Charta verankerten Grundrechte und Grundfreiheiten zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden.

(64)

Die Kommission kann nach Artikel 45 der Verordnung (EU) 2016/679 oder Artikel 36 der Richtlinie (EU) 2016/680 feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. In derartigen Fällen dürfen personenbezogene Daten durch ein Organ oder eine Einrichtung der Union ohne weitere Genehmigung an dieses Drittland oder diese internationale Organisation übermittelt werden.

(65)

Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Maßnahmen für den Schutz der betroffenen Person vorsehen. Diese geeigneten Schutzmaßnahmen können darin bestehen, dass auf von der Kommission oder von dem Europäischen Datenschutzbeauftragten festgelegte Standarddatenschutzklauseln oder vom Europäischen Datenschutzbeauftragten genehmigte Vertragsklauseln zurückgegriffen wird. Ist der Auftragsverarbeiter kein Organ und keine Einrichtung der Union, so können auch die für internationale Datenübermittlungen nach der Verordnung (EU) 2016/679 geltenden verbindlichen internen Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsverfahren geeignete Schutzmaßnahmen darstellen. Diese Schutzmaßnahmen sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen, einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Organen und Einrichtungen der Union an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung —, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung des Europäischen Datenschutzbeauftragten sollte erlangt werden, wenn die Schutzmaßnahmen in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind.

(66)

Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder dem Europäischen Datenschutzbeauftragten festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch sie daran hindern, ihnen weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder dem Europäischen Datenschutzbeauftragten erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Datenschutzklauseln ergänzen, zusätzliche Schutzmaßnahmen zu bieten.

(67)

Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten durch die Organe und Einrichtungen der Union unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Union gestützt sind. Die Anwendung dieser Gesetze, Vorschriften und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch die vorliegende Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht anerkannt ist.

(68)

Datenübermittlungen sollten in bestimmten Situationen unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen, es sei denn, sie ist nach dem Unionsrecht zulässig; ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.

(69)

Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Organen und Einrichtungen der Union und Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden und Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständig sind, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung bzw. Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden.

(70)

In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin in den Genuss ihrer Grundrechte kommen und die Schutzmaßnahmen für sie gelten.

(71)

Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere nicht gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen schützen können. Ebenso kann es vorkommen, dass nationale Aufsichtsbehörden und der Europäische Datenschutzbeauftragte Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb ihres Zuständigkeitsbereichs haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher sollte eine engere Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden gefördert werden, damit sie Informationen mit den entsprechenden Stellen in anderen Ländern austauschen können.

(72)

Die mit der Verordnung (EG) Nr. 45/2001 erfolgte Einrichtung des Amtes des Europäischen Datenschutzbeauftragten, der befugt ist, seine Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Mit der vorliegenden Verordnung sollte seine Rolle und Unabhängigkeit weiter gestärkt und präzisiert werden. Der Europäische Datenschutzbeauftragte sollte eine Person sein, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über die für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Erfahrung und Sachkunde verfügt, zum Beispiel, weil sie einer der nach Artikel 51 der Verordnung (EU) 2016/679 errichteten Aufsichtsbehörden angehört hat.

(73)

Damit in der gesamten Union eine einheitliche Überwachung und Durchsetzung der Datenschutzvorschriften gewährleistet ist, sollte der Europäische Datenschutzbeauftragte dieselben Aufgaben und wirksamen Befugnisse wie die nationalen Aufsichtsbehörden haben, darunter — insbesondere im Fall von Beschwerden natürlicher Personen — Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse sowie Genehmigungs- und Beratungsbefugnisse, die Befugnis, Verstöße gegen diese Verordnung dem Gerichtshof zur Kenntnis zu bringen, und die Befugnis, Gerichtsverfahren im Einklang mit dem Primärrecht anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Um überflüssige Kosten und übermäßige Unannehmlichkeiten mit gegebenenfalls nachteiligen Auswirkungen für die betroffenen Personen zu vermeiden, sollte jede Maßnahme des Europäischen Datenschutzbeauftragten im Hinblick auf die Einhaltung dieser Verordnung geeignet, erforderlich und angemessen sein, wobei die Umstände des jeweiligen Einzelfalls und das Recht jeder Person, gehört zu werden, bevor die betreffende individuelle Maßnahme getroffen wird, zu berücksichtigen sind. Jede rechtsverbindliche Maßnahme des Europäischen Datenschutzbeauftragten sollte schriftlich erlassen werden, und sie sollte klar und eindeutig sein; das Datum, an dem die Maßnahme erlassen wurde, sollte angegeben werden und die Maßnahme sollte vom Europäischen Datenschutzbeauftragten unterzeichnet sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten.

(74)

Damit die Unabhängigkeit des Gerichtshofs bei der Ausübung seiner gerichtlichen Aufgaben einschließlich seiner Beschlussfassung unangetastet bleibt, sollte die Aufsichtskompetenz des Europäischen Datenschutzbeauftragten nicht die Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit erfassen. Für diese Verarbeitungsvorgänge sollte der Gerichtshof gemäß Artikel 8 Absatz 3 der Charta eine unabhängige Aufsicht einrichten, beispielsweise durch ein internes Verfahren.

(75)

Die Entscheidungen des Europäischen Datenschutzbeauftragten über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann der Europäische Datenschutzbeauftragte Berichte über besondere Themen veröffentlichen.

(76)

Der Europäische Datenschutzbeauftragte sollte die Bestimmungen der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (9) einhalten.

(77)

Die nationalen Aufsichtsbehörden überwachen die Anwendung der Verordnung (EU) 2016/679 und tragen zu ihrer einheitlichen Anwendung in der gesamten Union bei, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Um die einheitliche Anwendung der in den Mitgliedstaaten anwendbaren Datenschutzvorschriften und der für die Organe und Einrichtungen der Union anwendbaren Datenschutzvorschriften zu verbessern, sollte der Europäische Datenschutzbeauftragte mit den nationalen Aufsichtsbehörden wirksam zusammenarbeiten.

(78)

In bestimmten Fällen ist im Unionsrecht ein Modell für eine koordinierte Aufsicht vorgesehen, bei dem die Aufsicht auf den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden aufgeteilt ist. Der Europäische Datenschutzbeauftragte fungiert auch als Aufsichtsbehörde von Europol und für diese Zwecke wurde ein spezielles Modell für die Zusammenarbeit mit den nationalen Aufsichtsbehörden im Wege eines Beirats für die Zusammenarbeit, dem auch eine Beratungsfunktion zukommt, geschaffen. Zur besseren wirksamen Aufsicht und Durchsetzung des materiellen Datenschutzrechts sollte in der Union ein einheitliches, kohärentes Modell für eine koordinierte Aufsicht eingeführt werden. Die Kommission sollte daher erforderlichenfalls Gesetzgebungsvorschläge im Hinblick auf die Änderung von Unionsrechtsakten, die ein Modell für eine koordinierte Aufsicht vorsehen, unterbreiten, um diese an das in dieser Verordnung festgelegte Modell für eine koordinierte Aufsicht anzupassen. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht in allen Bereichen zu gewährleisten.

(79)

Jede betroffene Person sollte das Recht haben, bei dem Europäischen Datenschutzbeauftragten eine Beschwerde einzureichen und im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof einzulegen, wenn sich die betroffene Person in ihren Rechten nach dieser Verordnung verletzt sieht oder wenn der Europäische Datenschutzbeauftragte auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Der Europäische Datenschutzbeauftragte sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollte eine weitere Abstimmung mit einer nationalen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Der Europäische Datenschutzbeauftragte sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(80)

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, sollte — vorbehaltlich der in den Verträgen vorgesehenen Voraussetzungen — Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben.

(81)

Um die Aufsichtsfunktion des Europäischen Datenschutzbeauftragten und die wirksame Durchsetzung der vorliegenden Verordnung zu erleichtern, sollte der Europäische Datenschutzbeauftragte als letztes Mittel die Befugnis haben, Geldbußen zu verhängen. Mit diesen Geldbußen sollten keine Einzelpersonen, sondern vielmehr die Organe oder Einrichtungen der Union für Verstöße gegen diese Verordnung sanktioniert werden, um künftigen Verstößen gegen die vorliegende Verordnung vorzubeugen und eine Kultur des Schutzes personenbezogener Daten innerhalb der Organe und Einrichtungen der Union zu fördern. In der vorliegenden Verordnung sollten die mit Geldbußen zu ahndenden Verstöße sowie die Obergrenzen der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden. Der Europäische Datenschutzbeauftragte sollte die Höhe der Geldbuße in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und der Art, Schwere und Dauer des Verstoßes, seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festsetzen. Wenn er eine Geldbuße gegen ein Organ oder eine Einrichtung der Union verhängt, sollte der Europäische Datenschutzbeauftragte die Verhältnismäßigkeit der Höhe der Geldbuße prüfen. Das Verwaltungsverfahren für das Verhängen von Geldbußen gegen die Organe und Einrichtungen der Union sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts in der Auslegung des Gerichtshofs erfolgen.

(82)

Betroffene Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach Unionsrecht oder nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Diese Einrichtungen, Organisationen oder Vereinigungen sollten ferner das Recht haben, einen gerichtlichen Rechtsbehelf im Namen der betroffenen Person einzulegen oder das Recht auf Schadenersatz im Namen der betroffenen Person in Anspruch zu nehmen.

(83)

Verstoßen Beamte oder sonstige Bedienstete der Union gegen die Verpflichtungen gemäß der vorliegenden Verordnung, so sollte dies für sie disziplinarische oder anderweitige Maßnahmen nach sich ziehen, die im Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (10) (im Folgenden „Statut“) festgelegt sind.

(84)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (11) ausgeübt werden. Das Prüfverfahren sollte für die Festlegung von Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, für die Annahme einer Liste der Verarbeitungsvorgänge, die eine vorherige Konsultation des Europäischen Datenschutzbeauftragten durch den Verantwortlichen für eine Verarbeitung personenbezogener Daten zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfordert, und für die Festlegung von Standardvertragsklauseln, die geeignete Schutzmaßnahmen für internationale Datenübermittlungen vorsehen, angewendet werden.

(85)

Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (12) enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken.

(86)

Die Verordnung Nr. 45/2001/EG und der Beschluss 1247/2002/EG des Europäischen Parlaments, des Rates und der Kommission (13) sollten aufgehoben werden. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss sollten als Bezugnahmen auf die vorliegende Verordnung gelten.

(87)

Um die uneingeschränkte Unabhängigkeit der Mitglieder der unabhängigen Aufsichtsbehörde zu gewährleisten, sollte die Amtszeit des derzeitigen Europäischen Datenschutzbeauftragten und des derzeitigen stellvertretenden Datenschutzbeauftragten von der vorliegenden Verordnung unberührt bleiben. Der derzeitige stellvertretende Datenschutzbeauftragte sollte sein Amt bis zum Ende seiner Amtszeit ausüben, es sei denn, eine der in der vorliegenden Verordnung vorgesehenen Bedingungen für ein vorzeitiges Ende der Amtszeit des Europäischen Datenschutzbeauftragten tritt ein. Die entsprechenden Bestimmungen der vorliegenden Verordnung sollten für den stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit gelten.

(88)

Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 EUV nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(89)

Der Europäische Datenschutzbeauftragte wurde nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat seine Stellungnahme am 15. März 2017 (14) abgegeben —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1

Gegenstand und Ziele

(1)   Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union sowie Vorschriften zum freien Verkehr personenbezogener Daten untereinander oder mit sonstigen Empfängern, die in der Union niedergelassen sind.

(2)   Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3)   Der Europäische Datenschutzbeauftragte überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Union.

Artikel 2

Anwendungsbereich

(1)   Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Union.

(2)   Nur Artikel 3 und Kapitel IX dieser Verordnung gelten für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen.

(3)   Diese Verordnung gilt solange nicht für die Verarbeitung operativer personenbezogener Daten durch Europol und die Europäische Staatsanwaltschaft, bis die Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates (15) und die Verordnung (EU) 2017/1939 (16) des Rates im Einklang mit Artikel 98 der vorliegenden Verordnung angepasst sind.

(4)   Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV.

(5)   Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Artikel 3

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck:

1.

„personenbezogene Daten“ alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2.

„operative personenbezogene Daten“ alle personenbezogene Daten, die von Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, verarbeitet werden, um die in den Rechtsakten zur Gründung dieser Einrichtungen oder sonstigen Stellen festgelegten Ziele und Aufgaben zu erfüllen;

3.

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

4.

„Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

5.

„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

6.

„Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

7.

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

8.

„Verantwortlicher“ das Organ oder die Einrichtung der Union oder die Generaldirektion oder sonstige Organisationseinheit, das beziehungsweise die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt; sind die Zwecke und Mittel dieser Verarbeitung durch einen besonderen Rechtsakt der Union bestimmt, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien für seine Benennung nach dem Unionsrecht vorgesehen werden;

9.

„Verantwortliche, die nicht Organe oder Einrichtungen der Union sind“ Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 sowie Verantwortliche im Sinne des Artikels 3 Nummer 8 der Richtlinie (EU) 2016/680;

10.

„Organe und Einrichtungen der Union“ die Organe, Einrichtungen und sonstigen Stellen der Union, die durch den EUV, den AEUV oder den Euratom-Vertrag oder auf deren Grundlage geschaffen wurden,

11.

„zuständige Behörde“ eine staatliche Stelle in einem Mitgliedstaat, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, zuständig ist;

12.

„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

13.

„Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

14.

„Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

15.

„Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

16.

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

17.

„genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;

18.

„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;

19.

„Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;

20.

„Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (17);

21.

„internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde;

22.

„nationale Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 der Verordnung (EU) 2016/679 oder gemäß Artikel 41 der Richtlinie (EU) 2016/680 eingerichtete unabhängige staatliche Stelle;

23.

„Nutzer“ jede natürliche Person, die ein Netz oder eine Endeinrichtung nutzt, das beziehungsweise die unter der Kontrolle eines Organs oder einer Einrichtung der Union betrieben wird;

24.

„Verzeichnis“ ein öffentlich zugängliches Nutzerverzeichnis oder ein internes Nutzerverzeichnis in gedruckter oder elektronischer Form, das innerhalb eines Organs oder einer Einrichtung der Union zugänglich ist oder das von Organen und Einrichtungen der Union gemeinsam genutzt wird;

25.

„elektronisches Kommunikationsnetz“ ein Übertragungssystem, das auf einer permanenten Infrastruktur oder einer zentralen Verwaltungskapazität beruhen kann, sowie gegebenenfalls Vermittlungs- und Leitwegeinrichtungen sowie anderweitige Ressourcen — einschließlich der nicht aktiven Netzbestandteile —, die die Übertragung von Signalen über Kabel, Funk, optische oder andere elektromagnetische Einrichtungen ermöglichen, einschließlich Satellitennetze, feste (leitungs- und paketvermittelte, einschließlich des Internets) und mobile terrestrische Netze, Stromleitungssysteme, soweit sie zur Signalübertragung genutzt werden, Netze für Hör- und Fernsehfunk sowie Kabelfernsehnetze, unabhängig von der Art der übertragenen Informationen;

26.

„Endeinrichtung“ eine Endeinrichtung im Sinne des Artikels 1 Nummer 1 der Richtlinie 2008/63/EG (18) der Kommission.

KAPITEL II

ALLGEMEINE GRUNDSÄTZE

Artikel 4

Grundsätze für die Verarbeitung personenbezogener Daten

(1)   Personenbezogene Daten müssen

a)

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“),

b)

für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 13 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“),

c)

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“),

d)

sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“),

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 13 verarbeitet werden („Speicherbegrenzung“),

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

(2)   Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Artikel 5

Rechtmäßigkeit der Verarbeitung

(1)   Die Verarbeitung ist nur rechtmäßig, wenn und soweit mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Organ oder der Einrichtung der Union übertragen wurde,

b)

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,

c)

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen,

d)

die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben,

e)

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

(2)   Die Rechtsgrundlage für eine Verarbeitung gemäß Absatz 1 Buchstaben a und b wird im Unionsrecht festgelegt.

Artikel 6

Verarbeitung zu einem anderen kompatiblen Zweck

Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf Unionsrecht, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 25 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, kompatibel ist — unter anderem

a)

jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b)

den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c)

die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 10 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten nach Artikel 11 verarbeitet werden,

d)

die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e)

das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.

Artikel 7

Bedingungen für die Einwilligung

(1)   Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2)   Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.

(3)   Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

(4)   Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

Artikel 8

Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

(1)   Gilt Artikel 5 Absatz 1 Buchstabe d bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das 13. Lebensjahr vollendet hat. Hat das Kind noch nicht das 13. Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

(2)   Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

(3)   Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.

Artikel 9

Übermittlungen personenbezogener Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind

(1)   Unbeschadet der Artikel 4 bis 6 und 10 werden personenbezogene Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, nur übermittelt, wenn

a)

der Empfänger nachweist, dass die Daten für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Empfänger übertragen wurde, oder

b)

wenn der Empfänger nachweist, dass die Übermittlung der Daten für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche in Fällen, in denen Gründe für die Annahme vorliegen, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten, nachweist, dass die Übermittlung der personenbezogenen Daten für diesen Zweck verhältnismäßig ist, nachdem er die unterschiedlichen widerstreitenden Interessen nachweislich gegeneinander abgewogen hat.

(2)   Veranlasst der Verantwortliche die Übermittlung nach diesem Artikel, so weist er anhand der Kriterien nach Absatz 1 Buchstabe a oder b nach, dass die Übermittlung personenbezogener Daten erforderlich und angemessen in Bezug auf den Übermittlungszweck ist.

(3)   Die Organe und Einrichtungen der Union müssen das Recht auf Schutz personenbezogener Daten mit dem Recht auf Zugang zu Dokumenten nach dem Unionsrecht in Einklang bringen.

Artikel 10

Verarbeitung besonderer Kategorien personenbezogener Daten

(1)   Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person sind untersagt.

(2)   Absatz 1 gilt nicht in folgenden Fällen:

a)

die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b)

die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

c)

die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

d)

die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Gewinnerzielungsabsicht, die in ein Organ oder eine Einrichtung der Union integriert ist, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder dieser Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e)

die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f)

die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen des Gerichtshofs im Rahmen seiner justiziellen Tätigkeit erforderlich,

g)

die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz achtet und angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h)

die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i)

die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j)

die Verarbeitung ist auf der Grundlage des Unionsrechts, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich.

(3)   Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder von einer anderen Person, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Artikel 11

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 5 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist.

Artikel 12

Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

(1)   Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, ausschließlich zum Zweck der Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.

(2)   Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 17 bis 22 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.

Artikel 13

Garantien in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.

KAPITEL III

RECHTE DER BETROFFENEN PERSON

ABSCHNITT 1

Transparenz und Modalitäten

Artikel 14

Transparente Informationen, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1)   Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 15 und 16 und alle Mitteilungen gemäß den Artikeln 17 bis 24 und Artikel 35, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an ein Kind richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2)   Der Verantwortliche ermöglicht der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 17 bis 24. In den in Artikel 12 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte nach den Artikeln 17 bis 24 tätig zu werden, wenn er nachweist, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3)   Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 17 bis 24 getroffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Zahl der Anträge erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen nach Möglichkeit in elektronischer Form zu übermitteln, sofern die betroffene Person nichts anderes angibt.

(4)   Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, Beschwerde beim Europäischen Datenschutzbeauftragten und einen gerichtlichen Rechtsbehelf einzulegen.

(5)   Informationen gemäß den Artikeln 15 und 16 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 17 bis 24 und Artikel 35 werden unentgeltlich zur Verfügung gestellt. Bei offensichtlich unbegründeten oder — insbesondere im Fall von häufiger Wiederholung -exzessiven Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offensichtlich unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

(6)   Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 17 bis 23 stellt, so kann er unbeschadet des Artikels 12 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

(7)   Die Informationen, die den betroffenen Personen gemäß den Artikeln 15 und 16 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so müssen sie maschinenlesbar sein.

(8)   Erlässt die Kommission nach Artikel 12 Absatz 8 der Verordnung (EU) 2016/679 delegierte Rechtsakte, in denen sie die durch Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung standardisierter Bildsymbole festlegt, so stellen die Organe und Einrichtungen der Union gegebenenfalls die Informationen gemäß den Artikeln 15 und 16 der vorliegenden Verordnung in Kombination mit diesen standardisierten Bildsymbolen bereit.

ABSCHNITT 2

Informationspflicht und Recht auf Auskunft über personenbezogene Daten

Artikel 15

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1)   Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten sämtliche folgenden Informationen mit:

a)

den Namen und die Kontaktdaten des Verantwortlichen,

b)

die Kontaktdaten des Datenschutzbeauftragten,

c)

die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,

d)

gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

e)

gegebenenfalls die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder — im Falle von Übermittlungen nach Artikel 48 — einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind.

(2)   Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten die folgenden weiteren Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a)

die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

b)

das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,

c)

wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,

d)

das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten,

e)

ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,

f)

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3)   Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Absatz 2 zur Verfügung.

(4)   Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Artikel 16

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

(1)   Wurden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person folgende Informationen mit:

a)

den Namen und die Kontaktdaten des Verantwortlichen,

b)

die Kontaktdaten des Datenschutzbeauftragten,

c)

die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,

d)

die Kategorien personenbezogener Daten, die verarbeitet werden,

e)

gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,

f)

gegebenenfalls die Absicht des Verantwortlichen, die personenbezogene Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 48 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

(2)   Zusätzlich zu den Informationen nach Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden weiteren Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

a)

die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

b)

das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung in Bezug auf die betroffene Person, oder gegebenenfalls eines Widerspruchrechts gegen die sowie des Rechts auf Datenübertragbarkeit,

c)

wenn die Verarbeitung auf Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,

d)

das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten,

e)

aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen,

f)

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3)   Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2:

a)

unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,

b)

falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie oder

c)

falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.

(4)   Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(5)   Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit

a)

die betroffene Person bereits über die Informationen verfügt,

b)

die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke oder soweit die Verpflichtung gemäß Absatz 1 voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt,

c)

die Erlangung oder Offenlegung durch Unionsrecht, die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

d)

die personenbezogenen Daten gemäß dem Unionsrecht dem Berufsgeheimnis, einschließlich einer gesetzlichen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

(6)   In den in Absatz 5 Buchstabe b genannten Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen Person, etwa indem der die Informationen öffentlich zugänglich macht.

Artikel 17

Auskunftsrecht der betroffenen Person

(1)   Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über die personenbezogenen Daten und auf folgende Informationen:

a)

die Verarbeitungszwecke,

b)

die Kategorien personenbezogener Daten, die verarbeitet werden,

c)

die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen,

d)

falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

e)

das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; n,

f)

das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten

g)

wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten,

h)

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 24 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2)   Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Schutzmaßnahmen gemäß Artikel 48 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3)   Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4)   Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

ABSCHNITT 3

Berichtigung und Löschung

Artikel 18

Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

Artikel 19

Recht auf Löschung („Recht auf Vergessenwerden“)

(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a)

die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,

b)

die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung nach Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,

c)

die betroffene Person legt gemäß Artikel 23 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor,

d)

die personenbezogenen Daten wurden unrechtmäßig verarbeitet,

e)

die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt,

f)

die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

(2)   Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technik und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um die Verantwortlichen oder die Verantwortlichen, die nicht Organe und Einrichtungen der Union sind, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(3)   Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

a)

zur Ausübung des Rechts auf freie Meinungsäußerung und Information,

b)

zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,

c)

aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 10 Absatz 2 Buchstaben h und i sowie Absatz 3,

d)

für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

e)

zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Artikel 20

Recht auf Einschränkung der Verarbeitung

(1)   Die betroffene Person hat das Recht, bei dem Verantwortlichen eine Einschränkung der Verarbeitung zu erwirken, wenn eine der folgenden Voraussetzungen gegeben ist:

a)

die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit einschließlich der Vollständigkeit der personenbezogenen Daten zu überprüfen,

b)

die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten,

c)

der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,

d)

die betroffene Person hat Widerspruch gegen die Verarbeitung nach Artikel 23 Absatz 1 eingelegt und es ist noch nicht geklärt, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2)   Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.

(3)   Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.

(4)   In automatisierten Dateisystemen erfolgt die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel. Die Tatsache, dass personenbezogene Daten eingeschränkt sind, wird in dem System auf eine Weise angegeben, die deutlich macht, dass die personenbezogenen Daten nicht genutzt werden dürfen.

Artikel 21

Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, eine Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 18, Artikel 19 Absatz 1 und Artikel 20 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Artikel 22

Recht auf Datenübertragbarkeit

(1)   Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

a)

die Verarbeitung auf einer Einwilligung gemäß Artikel 5 Absatz 1 Buchstabe d oder Artikel 10 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 5 Absatz 1 Buchstabe c beruht und

b)

die Verarbeitung mittels automatisierter Verfahren erfolgt.

(2)   Bei der Ausübung ihres Rechts auf Datenübertragbarkeit nach Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen, oder Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, übermittelt werden, soweit dies technisch machbar ist.

(3)   Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 19 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

(4)   Das Recht gemäß Absatz 1 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

ABSCHNITT 4

Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Artikel 23

Widerspruchsrecht

(1)   Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 5 Absatz 1 Buchstabe a erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(2)   Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Recht nach Absatz 1 hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.

(3)   Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person unbeschadet der Artikel 36 und 37 ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.

(4)   Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Artikel 24

Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling

(1)   Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(2)   Absatz 1 gilt nicht, wenn die Entscheidung

a)

für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b)

aufgrund von Unionsrecht zulässig ist, das auch angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthält, oder

c)

mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

(3)   In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

(4)   Entscheidungen nach Absatz 2 des vorliegenden Artikels dürfen nicht auf besonderen Kategorien personenbezogener Daten gemäß Artikel 10 Absatz 1 beruhen, sofern nicht Artikel 10 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

ABSCHNITT 5

Beschränkungen

Artikel 25

Beschränkungen

(1)   Die Anwendung der Artikel 14 bis 22, 35 und 36 sowie des Artikels 4, insofern dessen Bestimmungen den in den Artikeln 14 bis 22 vorgesehenen Rechten und Pflichten entsprechen, kann durch auf der Grundlage der Verträge erlassene Rechtsakte beziehungsweise in Angelegenheiten, die die Tätigkeit der Organe und Einrichtungen der Union betreffen, durch von diesen festgelegte interne Vorschriften beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

a)

die nationale Sicherheit, die öffentliche Sicherheit oder die Landesverteidigung der Mitgliedstaaten,

b)

die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit,

c)

sonstige wichtige Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder ein wichtiges wirtschaftliches oder finanzielles Interesse der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit,

d)

die innere Sicherheit der Organe und Einrichtungen der Union einschließlich ihrer elektronischen Kommunikationsnetze,

e)

der Schutz der Unabhängigkeit der Justiz und der Schutz von Gerichtsverfahren,

f)

die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe,

g)

Kontroll-, Überwachungs-, und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a bis c genannten Fällen verbunden sind,

h)

der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen,

i)

die Durchsetzung zivilrechtlicher Ansprüche.

(2)   Jeder Rechtsakt bzw. jede interne Vorschrift gemäß Absatz 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten in Bezug auf:

a)

die Zwecke der Verarbeitung oder die Verarbeitungskategorien;

b)

die Kategorien personenbezogener Daten;

c)

den Umfang der vorgenommenen Beschränkungen;

d)

die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;

e)

die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen;

f)

die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien und

g)

die Risiken für die Rechte und Freiheiten der betroffenen Personen.

(3)   In Bezug auf die Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken kann Unionsrecht, einschließlich interner Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, vorbehaltlich der in Artikel 13 genannten Bedingungen und Garantien insoweit Ausnahmeregelungen von den in den Artikeln 17, 18, 20 und 23 genannten Rechten vorsehen, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke notwendig sind.

(4)   In Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivierungszwecke kann Unionsrecht, einschließlich interner Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, vorbehaltlich der in Artikel 13 genannten Bedingungen und Garantien insoweit Ausnahmeregelungen von den in den Artikeln 17, 18, 20, 21, 22 und 23 genannten Rechten vorsehen, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmeregelungen für die Erfüllung dieser Zwecke notwendig sind.

(5)   Die in den Absätzen 1, 3 und 4 genannten internen Vorschriften müssen klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein, auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union erlassen und im Amtsblatt der Europäischen Union veröffentlicht werden.

(6)   Findet eine Beschränkung gemäß Absatz 1 Anwendung, ist die betroffene Person gemäß dem Unionsrecht über die wesentlichen Gründe für diese Beschränkung und über ihr Beschwerderecht beim Europäischen Datenschutzbeauftragten zu unterrichten.

(7)   Wird eine Beschränkung gemäß Absatz 1 angewandt, um der betroffenen Person die Auskunft zu verweigern, so teilt der Europäische Datenschutzbeauftragte bei der Prüfung der Beschwerde der betroffenen Person nur mit, ob die Daten ordnungsgemäß verarbeitet wurden und, falls dies nicht der Fall ist, ob notwendige Korrekturen vorgenommen wurden.

(8)   Die Unterrichtung nach den Absätzen 6 und 7 des vorliegenden Artikels sowie in Artikel 45 Absatz 2 kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Absatz 1 des vorliegenden Artikels angewendeten Beschränkung zunichtemachen würde.

KAPITEL IV

VERANTWORTLICHER UND AUFTRAGSVERARBEITER

ABSCHNITT 1

Allgemeine Pflichten

Artikel 26

Verantwortung des Verantwortlichen

(1)   Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

(2)   Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

(3)   Die Einhaltung genehmigter Zertifizierungsverfahren gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.

Artikel 27

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1)   Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, zum Beispiel Pseudonymisierung, die dafür ausgelegt sind, die Datenschutzgrundsätze, wie etwa Datenminimierung, wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2)   Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl natürlicher Personen zugänglich gemacht werden.

(3)   Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 genannten Anforderungen nachzuweisen.

Artikel 28

Gemeinsam Verantwortliche

(1)   Legen zwei oder mehr Verantwortliche oder ein oder mehrere Verantwortliche zusammen mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung für die Einhaltung ihrer Datenschutzpflichten hat, insbesondere was die Wahrnehmung der Rechte der betroffenen Person und ihre jeweiligen Informationspflichten nach den Artikeln 15 und 16 angeht, sofern und soweit die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die gemeinsam Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für betroffene Personen angegeben werden.

(2)   Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3)   Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Artikel 29

Auftragsverarbeiter

(1)   Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2)   Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3)   Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)

die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation — sofern er nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet,

b)

gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,

c)

alle gemäß Artikel 33 erforderlichen Maßnahmen ergreift,

d)

die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält,

e)

angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen,

f)

unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 33 bis 41 genannten Pflichten unterstützt,

g)

nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,

h)

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen —, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

(4)   Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin in vollem Umfang für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

(5)   Wenn es sich bei einem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, kann die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 Absatz 5 der Verordnung (EU) 2016/679 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016/679 herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.

(6)   Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer Zertifizierung sind, die einem Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, gemäß Artikel 42 der Verordnung (EU) 2016/679 erteilt wurde.

(7)   Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 96 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

(8)   Der Europäische Datenschutzbeauftragte kann Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 genannten Angelegenheiten festlegen.

(9)   Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(10)   Unbeschadet der Artikel 65 und 66 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 30

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Artikel 31

Verzeichnis von Verarbeitungstätigkeiten

(1)   Jeder Verantwortliche führt ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a)

den Namen und die Kontaktdaten des Verantwortlichen, des Datenschutzbeauftragten und gegebenenfalls des Auftragsverarbeiters und des gemeinsam mit ihm Verantwortlichen,

b)

die Zwecke der Verarbeitung,

c)

eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

d)

die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Mitgliedstaaten, Drittländern oder internationalen Organisationen,

e)

gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,

f)

wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,

g)

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.

(2)   Jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

a)

den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie des Datenschutzbeauftragten,

b)

die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,

c)

gegebenenfalls Übermittlungen von personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie die Dokumentierung geeigneter Garantien,

d)

wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Artikel 33.

(3)   Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

(4)   Die Organe und Einrichtungen der Union stellen das Verzeichnis auf Anfrage dem Europäischen Datenschutzbeauftragten zur Verfügung.

(5)   Die Organe und Einrichtungen der Union führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Sie machen das Register öffentlich zugänglich.

Artikel 32

Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten

Die Organe und Einrichtungen der Union arbeiten auf Anfrage mit dem Europäischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zusammen.

ABSCHNITT 2

Sicherheit personenbezogener Daten

Artikel 33

Sicherheit der Verarbeitung

(1)   Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a)

die Pseudonymisierung und Verschlüsselung personenbezogener Daten,

b)

die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,

c)

die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,

d)

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2)   Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3)   Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht zur Verarbeitung verpflichtet.

(4)   Die Einhaltung eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 der Verordnung (EU) 2016/679 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der in Absatz 1 genannten Anforderungen nachzuweisen.

Artikel 34

Meldung von Verletzungen des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten

(1)   Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese dem Europäischen Datenschutzbeauftragten, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung beim Europäischen Datenschutzbeauftragten nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2)   Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(3)   Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:

a)

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,

b)

den Namen und die Kontaktdaten des Datenschutzbeauftragten,

c)

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,

d)

eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4)   Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(5)   Der Verantwortliche unterrichtet den Datenschutzbeauftragten über die Verletzung des Schutzes personenbezogener Daten.

(6)   Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss dem Europäischen Datenschutzbeauftragten die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Artikel 35

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

(2)   Die in Absatz 1 des vorliegenden Artikels genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 34 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.

(3)   Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a)

der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,

b)

der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,

c)

dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4)   Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Europäische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder er kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

ABSCHNITT 3

Vertraulichkeit der elektronischen Kommunikation

Artikel 36

Vertraulichkeit der elektronischen Kommunikation

Die Organe und Einrichtungen der Union gewährleisten die Vertraulichkeit der elektronischen Kommunikation, insbesondere durch Sicherung ihrer elektronischen Kommunikationsnetze.

Artikel 37

Schutz von Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden

Die Organe und Einrichtungen der Union schützen die Informationen, die an Endeinrichtungen der Nutzer übertragen werden, dort gespeichert werden, sich darauf beziehen, dort verarbeitet werden oder daraus erhoben werden, beim Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen im Einklang mit Artikel 5 Absatz 3 der Richtlinie 2002/58/EG.

Artikel 38

Nutzerverzeichnisse

(1)   Personenbezogene Daten in Nutzerverzeichnissen und der Zugang zu solchen Verzeichnissen sind auf das für die besonderen Zwecke des Nutzerverzeichnisses unbedingt erforderliche Maß zu beschränken.

(2)   Die Organe und Einrichtungen der Union treffen die erforderlichen Maßnahmen, um zu verhindern, dass die in diesen Verzeichnissen enthaltenen personenbezogenen Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.

ABSCHNITT 4

Datenschutz-Folgenabschätzung und vorherige Konsultation

Artikel 39

Datenschutz-Folgenabschätzung

(1)   Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2)   Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.

(3)   Eine Datenschutz-Folgenabschätzung nach Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a)

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen,

b)

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 10 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 11 oder

c)

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4)   Der Europäische Datenschutzbeauftragte erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.

(5)   Der Europäische Datenschutzbeauftragte kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

(6)   Vor Festlegung der in den Absätzen 4 und 5 des vorliegenden Artikels genannten Listen fordert der Europäische Datenschutzbeauftragte den durch Artikel 68 der Verordnung (EU) 2016/679 eingerichteten Europäischen Datenschutzausschuss auf, diese Listen gemäß Artikel 70 Absatz 1 Buchstabe e der genannten Verordnung zu prüfen, wenn sie sich auf Verarbeitungsvorgänge eines Verantwortlichen beziehen, der gemeinsam mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, tätig ist.

(7)   Die Folgenabschätzung enthält zumindest Folgendes:

a)

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

b)

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke,

c)

eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d)

die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8)   Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 der Verordnung (EU) 2016/679 durch die zuständigen Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9)   Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10)   Falls die Verarbeitung gemäß Artikel 5 Absatz 1 Buchstabe a oder b auf einem auf der Grundlage der Verträge erlassenen Rechtsakt beruht, in dem der konkrete Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge geregelt sind, und bereits im Rahmen der allgemeinen Folgenabschätzung vor Erlass dieses Rechtsakts eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 6 des vorliegenden Artikels nicht, sofern in dem genannten Rechtsakt nichts anderes bestimmt ist.

(11)   Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Artikel 40

Vorherige Konsultation

(1)   Der Verantwortliche konsultiert vor der Verarbeitung den Europäischen Datenschutzbeauftragten, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 39 hervorgeht, dass die Verarbeitung ohne Garantien, Sicherheitsvorkehrungen und Verfahren zur Risikominderung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte, und das Risiko nach Auffassung des Verantwortlichen nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel gemindert werden kann. Der Verantwortliche holt den Rat des Datenschutzbeauftragten zur Notwendigkeit einer vorherigen Konsultation ein.

(2)   Falls der Europäische Datenschutzbeauftragte der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet der Europäische Datenschutzbeauftragte dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann seine in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden. Der Europäische Datenschutzbeauftragte unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Ersuchens um Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis der Europäische Datenschutzbeauftragte die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.

(3)   Der Verantwortliche stellt dem Europäischen Datenschutzbeauftragten bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:

a)

gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,

b)

die Zwecke und die Mittel der beabsichtigten Verarbeitung,

c)

die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien,

d)

die Kontaktdaten des Datenschutzbeauftragten,

e)

die Datenschutz-Folgenabschätzung gemäß Artikel 39 und

f)

alle sonstigen vom Europäischen Datenschutzbeauftragten angeforderten Informationen.

(4)   Die Kommission kann im Wege eines Durchführungsrechtsakts eine Liste der Fälle festlegen, in denen die Verantwortlichen den Europäischen Datenschutzbeauftragten zu einer Verarbeitung zur Erfüllung einer vom Verantwortlichen im öffentlichen Interesse wahrgenommenen Aufgabe, unter anderem zur Verarbeitung personenbezogener Daten zu Zwecken des Sozialschutzes und der öffentlichen Gesundheit, konsultieren und seine vorherige Genehmigung einholen müssen.

ABSCHNITT 5

Unterrichtung und legislative Konsultation

Artikel 41

Unterrichtung und Konsultation

(1)   Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Verwaltungsmaßnahmen und internen Vorschriften in Bezug auf die Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Union allein oder gemeinsam mit anderen beteiligt ist.

(2)   Die Organe und Einrichtungen der Union konsultieren den Europäischen Datenschutzbeauftragten bei der Ausarbeitung der internen Vorschriften gemäß Artikel 25.

Artikel 42

Legislative Konsultation

(1)   Nach der Annahme von Vorschlägen für einen Gesetzgebungsakt, für Empfehlungen oder Vorschläge an den Rat nach Artikel 218 AEUV sowie bei der Ausarbeitung von delegierten Rechtsakten und Durchführungsrechtsakten, die Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten haben, konsultiert die Kommission den Europäischen Datenschutzbeauftragten.

(2)   Ist ein Rechtsakt gemäß Absatz 1 für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, kann die Kommission auch den Europäischen Datenschutzausschuss konsultieren. In diesen Fällen koordinieren der Europäische Datenschutzbeauftragte und der Europäische Datenschutzausschuss ihre Arbeit im Hinblick auf eine gemeinsame Stellungnahme.

(3)   Der nach den Absätzen 1 und 2 eingeholte Rat wird innerhalb eines Zeitraums von bis zu acht Wochen nach Eingang des Ersuchens um Konsultation nach den Absätzen 1 und 2 schriftlich erteilt. In dringenden Fällen oder wenn dies sonst geboten ist, kann die Kommission die Frist verkürzen.

(4)   Dieser Artikel gilt nicht, wenn die Kommission nach der Verordnung (EU) 2016/679 verpflichtet ist, den Europäischen Datenschutzausschuss zu konsultieren.

ABSCHNITT 6

Datenschutzbeauftragter

Artikel 43

Benennung eines Datenschutzbeauftragten

(1)   Jedes Organ und jede Einrichtung der Union benennt einen Datenschutzbeauftragten.

(2)   Die Organe und Einrichtungen der Union können für mehrere Organe oder Einrichtungen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen.

(3)   Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 45 genannten Aufgaben.

(4)   Der Datenschutzbeauftragte muss Bediensteter des Organs oder der Einrichtung der Union sein. Die Organe und Einrichtungen der Union können, wenn von der Möglichkeit nach Absatz 2 nicht Gebrauch gemacht wird, unter Berücksichtigung ihrer Größe einen Datenschutzbeauftragten benennen, der seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllt.

(5)   Die Organe und Einrichtungen der Union veröffentlichen die Kontaktdaten des Datenschutzbeauftragten und teilen sie dem Europäischen Datenschutzbeauftragten mit.

Artikel 44

Stellung des Datenschutzbeauftragten

(1)   Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

(2)   Die Organe und Einrichtungen der Union unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 45, indem sie die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

(3)   Die Organe und Einrichtungen der Union stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung dieser Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.

(4)   Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(5)   Der Datenschutzbeauftragte und sein Personal sind nach Unionsrecht bei der Erfüllung ihrer Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

(6)   Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

(7)   Der Verantwortliche und der Auftragsverarbeiter, der betreffende Personalausschuss sowie jede natürliche Person können den Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung dieser Verordnung zu Rate ziehen, ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er dem zuständigen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht und einen mutmaßlichen Verstoß gegen diese Verordnung dargelegt hat.

(8)   Der Datenschutzbeauftragte wird für eine Amtszeit von drei bis fünf Jahren benannt und kann wiederernannt werden. Der Datenschutzbeauftragte kann von dem Organ oder der Einrichtung der Union, das beziehungsweise die ihn benannt hat, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt und nur mit Zustimmung des Europäischen Datenschutzbeauftragten seines Amtes enthoben werden.

(9)   Nach seiner Benennung wird der Datenschutzbeauftragte durch das Organ oder die Einrichtung der Union, das beziehungsweise die ihn benannt hat, beim Europäischen Datenschutzbeauftragten eingetragen.

Artikel 45

Aufgaben des Datenschutzbeauftragten

(1)   Dem Datenschutzbeauftragten obliegen folgende Aufgaben:

a)

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzbestimmungen der Union,

b)

Gewährleistung der internen Anwendung dieser Verordnung auf unabhängige Weise; Überwachung der Einhaltung dieser Verordnung, anderer geltender Vorschriften des Unionsrechts, die Datenschutzbestimmungen enthalten, sowie von Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,

c)

Sicherstellung der Unterrichtung betroffener Personen über ihre Rechte und Pflichten nach dieser Verordnung,

d)

Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer Meldung oder Benachrichtigung nach den Artikeln 34 und 35 im Falle einer Verletzung des Schutzes personenbezogener Daten,

e)

Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 39 und Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer Datenschutz-Folgenabschätzung bestehen,

f)

Beratung — auf Anfrage — im Zusammenhang mit der Notwendigkeit einer vorherigen Konsultation des Europäischen Datenschutzbeauftragten nach Artikel 40; Konsultation des Europäischen Datenschutzbeauftragten, wenn Zweifel an der Notwendigkeit einer vorherigen Konsultation bestehen,

g)

Beantwortung von Anfragen des Europäischen Datenschutzbeauftragten; Zusammenarbeit und Abstimmung im Rahmen seiner Zuständigkeiten mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder von sich aus;

h)

Sicherstellung, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen nicht beeinträchtigt werden.

(2)   Der Datenschutzbeauftragte kann an den Verantwortlichen und an den Auftragsverarbeiter Empfehlungen für die praktische Verbesserung des Datenschutzes richten und diese in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus kann er von sich aus oder auf Ersuchen des Verantwortlichen oder des Auftragsverarbeiters, des zuständigen Personalausschusses oder jeder natürlichen Person Fragen und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gelangen, prüfen und der Person, die ihn mit der Prüfung beauftragte, oder dem Verantwortlichen oder dem Auftragsverarbeiter Bericht erstatten.

(3)   Jedes Organ und die Einrichtung der Union erlässt weitere den Datenschutzbeauftragten betreffende Durchführungsvorschriften. Diese Durchführungsvorschriften betreffen insbesondere die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten.

KAPITEL V

ÜBERMITTLUNGEN PERSONENBEZOGENER DATEN AN DRITTLÄNDER ODER INTERNATIONALE ORGANISATIONEN

Artikel 46

Allgemeine Grundsätze der Datenübermittlung

Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlungen personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.

Artikel 47

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

(1)   Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet, und wenn die personenbezogenen Daten ausschließlich übermittelt werden, um die Erfüllung von Aufgaben zu ermöglichen, die in die Zuständigkeit des Verantwortlichen fallen.

(2)   Die Organe und Einrichtungen der Union unterrichten die Kommission und den Europäischen Datenschutzbeauftragten über die Fälle, in denen ein Drittland, ein Gebiet oder ein oder mehrere Sektoren in einem Drittland oder eine betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne des Absatzes 1 gewährleistet.

(3)   Die Kommission stellt gemäß Artikel 45 Absätze 3 oder 5 der Verordnung (EU) 2016/679 oder gemäß Artikel 36 Absatz 3 oder Absatz 5 der Richtlinie (EU) 2016/680 fest, ob ein Drittland, ein Gebiet oder ein oder mehrere Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau gewährleistet oder nicht, und die Organe und Einrichtungen der Union treffen die erforderlichen Maßnahmen, um den Beschlüssen der Kommission nachzukommen.

Artikel 48

Datenübermittlung vorbehaltlich geeigneter Garantien

(1)   Falls kein Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

(2)   Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung des Europäischen Datenschutzbeauftragten erforderlich wäre, bestehen in:

a)

einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,

b)

Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 erlassen werden,

c)

vom Europäischen Datenschutzbeauftragten angenommenen Standardschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 96 Absatz 2 genehmigt wurden,

d)

wenn es sich bei dem Auftragsverarbeiter nicht um ein Organ oder eine Einrichtung der Union handelt, verbindliche interne Datenschutzvorschriften, Verhaltensregeln oder Zertifizierungsmechanismen gemäß Artikel 46 Absatz 2 Buchstaben b, e und f der Verordnung (EU) 2016/679.

(3)   Vorbehaltlich der Genehmigung durch den Europäischen Datenschutzbeauftragten können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in:

a)

Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder

b)

Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

(4)   Vom Europäischen Datenschutzbeauftragten auf der Grundlage von Artikels 9 Absatz 7 der Verordnung (EG) Nr. 45/2001 erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls vom Europäischen Datenschutzbeauftragten geändert, ersetzt oder aufgehoben werden.

(5)   Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.

Artikel 49

Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union gestützt sind.

Artikel 50

Ausnahmen für bestimmte Fälle

(1)   Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 oder nach Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 vorliegt noch geeignete Garantien nach Artikel 48 der vorliegenden Verordnung bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a)

die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

b)

die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für die Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erforderlich,

c)

die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,

d)

die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses erforderlich,

e)

die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

f)

die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, oder

g)

die Übermittlung erfolgt aus einem Register, das gemäß Unionsrecht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Unionsrecht festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

(2)   Absatz 1 Buchstaben a, b und c gilt nicht für Tätigkeiten, die Organe und Einrichtungen der Union in Ausübung ihrer hoheitlichen Befugnisse durchführen.

(3)   Das öffentliche Interesse im Sinne des Absatzes 1 Buchstabe d muss im Unionsrecht anerkannt sein.

(4)   Datenübermittlungen gemäß Absatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen, es sei denn, dies ist nach Unionsrecht zulässig. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.

(5)   Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogen Daten an Drittländer oder internationale Organisationen vorgesehen werden.

(6)   Die Organe und Einrichtungen der Union unterrichten den Europäischen Datenschutzbeauftragten über Kategorien von Fällen, in denen dieser Artikel angewandt wurde.

Artikel 51

Internationale Zusammenarbeit zum Schutz personenbezogener Daten

In Bezug auf Drittländer und internationale Organisationen trifft der Europäische Datenschutzbeauftragte in Zusammenarbeit mit der Kommission und dem Europäischen Datenschutzausschuss geeignete Maßnahmen zur

a)

Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,

b)

gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,

c)

Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,

d)

Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.

KAPITEL VI

EUROPÄISCHER DATENSCHUTZBEAUFTRAGTER

Artikel 52

Europäischer Datenschutzbeauftragter

(1)   Es wird das Amt des Europäischen Datenschutzbeauftragten geschaffen.

(2)   Im Hinblick auf die Verarbeitung personenbezogener Daten hat der Europäische Datenschutzbeauftragte sicherzustellen, dass die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihr Recht auf Datenschutz, von den Organen und Einrichtungen der Union geachtet werden.

(3)   Der Europäische Datenschutzbeauftragte ist zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Union zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union sowie für die Beratung der Organe und Einrichtungen der Union und der betroffenen Personen in allen Fragen der Verarbeitung personenbezogener Daten. Zu diesem Zweck erfüllt der Europäische Datenschutzbeauftragte die Aufgaben nach Artikel 57 und übt die Befugnisse nach Artikel 58 aus.

(4)   Für Dokumente, die sich im Besitz des Europäischen Datenschutzbeauftragten befinden, gilt die Verordnung (EG) Nr. 1049/2001. Der Europäische Datenschutzbeauftragte erlässt detaillierte Vorschriften für die Anwendung der Verordnung (EG) Nr. 1049/2001 in Bezug auf diese Dokumente.

Artikel 53

Ernennung des Europäischen Datenschutzbeauftragten

(1)   Das Europäische Parlament und der Rat ernennen den Europäischen Datenschutzbeauftragten im gegenseitigen Einvernehmen für eine Amtszeit von fünf Jahren, auf der Grundlage einer von der Kommission im Anschluss an eine öffentliche Aufforderung zur Bewerbung aufgestellten Liste. Aufgrund dieser Aufforderung zur Bewerbung können alle Interessenten in der gesamten Union ihre Bewerbung einreichen. Die von der Kommission aufgestellte Liste der Bewerber ist öffentlich und umfasst mindestens drei Bewerber. Der zuständige Ausschuss des Europäischen Parlaments kann auf der Grundlage der von der Kommission aufgestellten Liste beschließen, eine Anhörung abzuhalten, um eine Präferenz kundtun zu können.

(2)   Die in Absatz 1 genannte Liste der Bewerber muss sich aus Personen zusammensetzen, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über das für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Fachwissen auf dem Gebiet des Datenschutzes und die diesbezügliche Erfahrung und Sachkunde verfügen.

(3)   Die Amtszeit des Europäischen Datenschutzbeauftragten kann einmal verlängert werden.

(4)   Die Aufgaben des Europäischen Datenschutzbeauftragten enden,

a)

wenn das Amt des Europäischen Datenschutzbeauftragten neu besetzt wird,

b)

wenn der Europäische Datenschutzbeauftragte sein Amt niederlegt,

c)

wenn der Europäische Datenschutzbeauftragte seines Amtes enthoben oder verpflichtend in den Ruhestand versetzt wird.

(5)   Der Europäischen Datenschutzbeauftragten kann auf Antrag des Europäischen Parlaments, des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn er die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

(6)   Im Falle einer regulären Neubestellung oder eines freiwilligen Rücktritts bleibt der Europäische Datenschutzbeauftragte dennoch bis zur Neubesetzung im Amt.

(7)   Die Artikel 11 bis 14 sowie Artikel 17 des Protokolls über die Vorrechte und Befreiungen der Europäischen Union finden auch auf den Europäischen Datenschutzbeauftragten Anwendung.

Artikel 54

Regelungen und allgemeine Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten, Personal und finanzielle Mittel

(1)   Der Europäische Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger anstelle von Dienstbezügen gewährten Vergütungen einem Richter am Gerichtshof gleichgestellt.

(2)   Die Haushaltsbehörde gewährleistet, dass der Europäische Datenschutzbeauftragte mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und den erforderlichen finanziellen Mitteln ausgestattet wird.

(3)   Der Haushalt des Europäischen Datenschutzbeauftragten wird in einer eigenen Haushaltslinie im Abschnitt zu den Verwaltungsausgaben des Gesamthaushaltplans der Union ausgewiesen.

(4)   Der Europäische Datenschutzbeauftragte wird von einer Geschäftsstelle unterstützt. Die Beamten und sonstigen Bediensteten dieser Geschäftsstelle werden vom Europäischen Datenschutzbeauftragten eingestellt und ihr Vorgesetzter ist der Europäische Datenschutzbeauftragte. Sie unterstehen ausschließlich seiner Leitung. Ihre Zahl wird jährlich im Rahmen des Haushaltsverfahrens festgelegt. Auf Mitarbeiter des Europäischen Datenschutzbeauftragten, die an der Ausführung von Aufgaben beteiligt sind, die gemäß dem Unionsrecht dem Datenschutzausschuss übertragen wurden, findet Artikel 75 Absatz 2 der Verordnung (EU) 2016/679 Anwendung.

(5)   Die Beamten und sonstigen Bediensteten der Geschäftsstelle des Europäischen Datenschutzbeauftragten unterliegen den Vorschriften und Regelungen für die Beamten und sonstigen Bediensteten der Union.

(6)   Der Europäische Datenschutzbeauftragte hat seinen Sitz in Brüssel.

Artikel 55

Unabhängigkeit

(1)   Der Europäische Datenschutzbeauftragte handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse gemäß dieser Verordnung völlig unabhängig.

(2)   Der Europäische Datenschutzbeauftragte unterliegt bei der Erfüllung seiner Aufgaben und der Ausübung seiner Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersucht weder um Weisungen noch nimmt er Weisungen entgegen.

(3)   Der Europäische Datenschutzbeauftragte sieht von allen mit den Aufgaben seines Amtes nicht zu vereinbarenden Handlungen ab und übt während seiner Amtszeit keine andere mit seinem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.

(4)   Nach Ablauf seiner Amtszeit ist der Europäische Datenschutzbeauftragte verpflichtet, im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend zu handeln.

Artikel 56

Verschwiegenheitspflicht

Der Europäische Datenschutzbeauftragte und sein Personal sind während ihrer Amtszeit und auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer dienstlichen Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

Artikel 57

Aufgaben

(1)   Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss der Europäische Datenschutzbeauftragte

a)

die Anwendung dieser Verordnung durch die Organe und Einrichtungen der Union überwachen und durchsetzen, mit Ausnahme der Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit,

b)

die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder,

c)

die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren,

d)

auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte nach dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den nationalen Aufsichtsbehörden zusammenarbeiten,

e)

sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 67 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder eine Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist,

f)

Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde,

g)

von sich aus oder auf Anfrage alle Organe und Einrichtungen der Union bei legislativen und administrativen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beraten,

h)

maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie,

i)

Standardvertragsklauseln im Sinne des Artikels 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festlegen,

j)

eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 39 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist,

k)

an den Tätigkeiten des Europäischen Datenschutzausschusses teilnehmen,

l)

nach Artikel 75 der Verordnung (EU) 2016/679 die Geschäftsstelle für den Europäischen Datenschutzausschuss bereitstellen,

m)

Beratung in Bezug auf die in Artikel 40 Absatz 2 genannten Verarbeitungsvorgänge leisten,

n)

Vertragsklauseln und Bestimmungen im Sinne des Artikels 48 Absatz 3 genehmigen,

o)

interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen führen,

p)

jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen; und

q)

sich eine Geschäftsordnung geben.

(2)   Der Europäische Datenschutzbeauftragte erleichtert das Einreichen von in Absatz 1 Buchstabe e genannten Beschwerden mittels eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(3)   Die Erfüllung der Aufgaben des Europäischen Datenschutzbeauftragten ist für die betroffene Person unentgeltlich.

(4)   Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann sich der Europäische Datenschutzbeauftragte weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt der Europäische Datenschutzbeauftragte die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.

Artikel 58

Befugnisse

(1)   Der Europäische Datenschutzbeauftragte verfügt über folgende Untersuchungsbefugnisse

a)

den Verantwortlichen und den Auftragsverarbeiter anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung seiner Aufgaben erforderlich sind,

b)

Untersuchungen in Form von Datenschutzprüfungen durchzuführen,

c)

den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,

d)

von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung seiner Aufgaben notwendig sind, zu erhalten,

e)

gemäß dem Unionsrecht Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.

(2)   Der Europäische Datenschutzbeauftragte verfügt über folgende Abhilfebefugnisse

a)

einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass die beabsichtigten Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,

b)

einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,

c)

den betroffenen Verantwortlichen oder Auftragsverarbeiter und erforderlichenfalls das Europäische Parlament, den Rat und die Kommission mit der Angelegenheit zu befassen,

d)

den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,

e)

den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,

f)

den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,

g)

eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,

h)

die Berichtigung oder Löschung von personenbezogener Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 18, 19 und 20 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 19 Absatz 2 und Artikel 21 offengelegt wurden, über solche Maßnahmen anzuordnen,

i)

bei Nichtbefolgung einer der unter den Buchstaben d bis h und j dieses Absatzes genannten Maßnahmen durch ein Organ oder eine Einrichtung der Union je nach den Umständen des Einzelfalls eine Geldbuße gemäß Artikel 66 zu verhängen,

j)

die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Mitgliedstaat, einem Drittland oder an eine internationale Organisation anzuordnen.

(3)   Der Europäische Datenschutzbeauftragte verfügt über folgende Genehmigungsbefugnisse und beratenden Befugnisse

a)

betroffene Personen bei der Ausübung ihrer Rechte zu beraten,

b)

gemäß dem Verfahren der vorherigen Konsultation nach Artikel 40 und gemäß Artikel 41 Absatz 2 den Verantwortlichen zu beraten,

c)

zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an die Organe und Einrichtungen der Union sowie an die Öffentlichkeit zu richten,

d)

Standarddatenschutzklauseln nach Artikel 29 Absatz 8 und Artikel 48 Absatz 2 Buchstabe c festzulegen,

e)

Vertragsklauseln gemäß Artikel 48 Absatz 3 Buchstabe a zu genehmigen,

f)

Verwaltungsvereinbarungen gemäß Artikel 48 Absatz 3 Buchstabe b zu genehmigen,

g)

Verarbeitungsvorgänge auf der Grundlage von gemäß Artikel 40 Absatz 4 erlassenen Durchführungsrechtsakten zu genehmigen.

(4)   Der Europäische Datenschutzbeauftragte ist befugt, unter den in den Verträgen vorgesehenen Voraussetzungen den Gerichtshof anzurufen und beim Gerichtshof anhängigen Verfahren beizutreten.

(5)   Die Ausübung der dem Europäischen Datenschutzbeauftragten mit diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien nach Unionsrecht, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren.

Artikel 59

Pflicht der Verantwortlichen oder Auftragsverarbeiter zur Stellungnahme zu mutmaßlichen Verstößen

Wenn der Europäische Datenschutzbeauftragte seine Befugnisse nach Artikel 58 Absatz 2 Buchstaben a, b und c ausübt, teilt der betroffene Verantwortliche oder Auftragsverarbeiter dem Europäischen Datenschutzbeauftragten innerhalb einer angemessenen Frist, die vom Europäischen Datenschutzbeauftragten unter Berücksichtigung der Umstände des Einzelfalls festzulegen ist, seinen Standpunkt mit. Diese Stellungnahme umfasst auch eine Beschreibung der gegebenenfalls im Anschluss an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

Artikel 60

Tätigkeitsbericht

(1)   Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament, dem Rat und der Kommission einen Jahresbericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.

(2)   Der Europäische Datenschutzbeauftragte übermittelt den in Absatz 1 genannten Bericht den übrigen Organen und Einrichtungen der Union, die im Hinblick auf eine etwaige Prüfung des Berichts durch das Europäische Parlament Stellungnahmen abgeben können.

KAPITEL VII

ZUSAMMENARBEIT UND KOHÄRENZ

Artikel 61

Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden

Der Europäische Datenschutzbeauftragte arbeitet mit den nationalen Aufsichtsbehörden und mit der gemäß Artikel 25 des Beschlusses 2009/917/JI des Rates (19) eingesetzten gemeinsamen Aufsichtsbehörde zusammen, soweit dies für die Wahrnehmung ihrer jeweiligen Aufgaben erforderlich ist, insbesondere indem sie einander sachdienliche Informationen bereitstellen, einander ersuchen, ihre Befugnisse auszuüben, und ihre jeweiligen Ersuchen beantworten.

Artikel 62

Koordinierte Aufsicht durch den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden

(1)   Wenn in einem Rechtsakt der Union auf diesen Artikel verwiesen wird, arbeiten der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden im Rahmen ihrer jeweiligen Kompetenzen und ihrer Zuständigkeiten aktiv zusammen, um eine wirksame Aufsicht über IT-Großsysteme und über Organe, Einrichtungen und sonstige Stellen der Union zu gewährleisten.

(2)   Im Rahmen ihrer jeweiligen Kompetenzen und ihrer Zuständigkeiten tauschen sie erforderlichenfalls sachdienliche Informationen aus, helfen sich erforderlichenfalls gegenseitig bei Prüfungen und Kontrollen, prüfen erforderlichenfalls Schwierigkeiten bei der Auslegung oder Anwendung dieser Verordnung und anderer anwendbarer Rechtsakte der Union, befassen sich erforderlichenfalls mit Problemen mit der unabhängigen Aufsicht oder der Ausübung der Rechte betroffener Personen, entwerfen erforderlichenfalls harmonisierte Vorschläge für die Lösung von Problemen und fördern erforderlichenfalls die Sensibilisierung für die Datenschutzrechte.

(3)   Für die Zwecke des Absatzes 2 kommen der Europäische Datenschutzbeauftragte und die nationalen Aufsichtsbehörden mindestens zweimal jährlich im Rahmen des Europäischen Datenschutzausschusses zusammen. Der Europäische Datenschutzausschuss kann für diese Zwecke erforderlichenfalls weitere Arbeitsmethoden entwickeln.

(4)   Der Europäische Datenschutzausschuss unterbreitet dem Europäischen Parlament, dem Rat und der Kommission alle zwei Jahre einen gemeinsamen Tätigkeitsbericht über die koordinierte Aufsicht.

KAPITEL VIII

RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

Artikel 63

Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten

(1)   Unbeschadet gerichtlicher, verwaltungsrechtlicher oder außergerichtlicher Rechtsbehelfe hat jede betroffene Person das Recht auf Beschwerde beim Europäischen Datenschutzbeauftragten, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

(2)   Der Europäische Datenschutzbeauftragte unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Prüfung der Beschwerde, einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 64.

(3)   Befasst sich der Europäische Datenschutzbeauftragte nicht mit der Beschwerde oder unterrichtet er die betroffene Person nicht innerhalb von drei Monaten über den Fortgang oder das Ergebnis der Prüfung der Beschwerde, so gilt dies als negative Entscheidung des Europäischen Datenschutzbeauftragten.

Artikel 64

Recht auf einen wirksamen gerichtlichen Rechtsbehelf

(1)   Der Gerichtshof ist für alle Streitigkeiten im Zusammenhang mit den Bestimmungen dieser Verordnung, einschließlich Schadenersatzansprüchen, zuständig.

(2)   Gegen Entscheidungen des Europäischen Datenschutzbeauftragten, einschließlich Entscheidungen gemäß Artikel 63 Absatz 3, kann beim Gerichtshof Klage erhoben werden.

(3)   Der Gerichtshof hat die Befugnis zur unbeschränkten Ermessensnachprüfung bezüglich der Geldbußen gemäß Artikel 66. Er kann diese Geldbußen innerhalb der Grenzen des Artikels 66 aufheben, verringern oder erhöhen.

Artikel 65

Recht auf Schadenersatz

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat unter den in den Verträgen vorgesehenen Voraussetzungen Anspruch auf Schadenersatz gegen das Organ oder die Einrichtung der Union auf Ersatz des erlittenen Schadens.

Artikel 66

Geldbußen

(1)   Der Europäische Datenschutzbeauftragte kann je nach den Umständen des Einzelfalls Geldbußen gegen Organe und Einrichtungen der Union verhängen, wenn ein Organ oder eine Einrichtung der Union einer Anordnung des Europäischen Datenschutzbeauftragten nach Artikel 58 Absatz 2 Buchstaben d bis h und j nicht nachkommt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a)

Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens,

b)

Maßnahmen des Organs oder der Einrichtung der Union zur Minderung des den betroffenen Personen entstandenen Schadens,

c)

Grad der Verantwortung des Organs oder der Einrichtung der Union unter Berücksichtigung der von ihnen gemäß den Artikeln 27 und 33 getroffenen technischen und organisatorischen Maßnahmen,

d)

etwaige ähnliche frühere Verstöße des Organs oder der Einrichtung der Union,

e)

Umfang der Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Folgen zu mindern,

f)

Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind,

g)

Art und Weise, wie der Verstoß dem Europäischen Datenschutzbeauftragten bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang das Organ oder die Einrichtung der Union den Verstoß mitgeteilt hat,

h)

Einhaltung von nach Artikel 58 bereits früher gegen das Organ oder die Einrichtung der Union in Bezug auf denselben Gegenstand angeordneten Maßnahmen. Das zur Verhängung dieser Geldbußen führende Verfahren wird innerhalb eines den Umständen des Falles angemessenen zeitlichen Rahmens unter Berücksichtigung der in Artikel 69 genannten Maßnahmen und Verfahren durchgeführt.

(2)   Bei Verstößen gegen Pflichten des Organs oder der Einrichtung der Union nach den Artikeln 8, 12, 27 bis 35, 39, 40, 43, 44 und 45 werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 25 000 EUR pro Verstoß und bis zu insgesamt 250 000 EUR pro Jahr verhängt.

(3)   Bei Verstößen des Organs oder der Einrichtung der Union gegen die folgenden Bestimmungen werden im Einklang mit Absatz 1 des vorliegenden Artikels Geldbußen in Höhe von bis zu 50 000 EUR pro Verstoß und bis zu insgesamt 500 000 EUR pro Jahr verhängt:

a)

wesentliche Grundsätze für die Verarbeitung, einschließlich Voraussetzungen für die Einwilligung, nach den Artikeln 4, 5, 7 und 10,

b)

Rechte der betroffenen Personen nach den Artikeln 14 bis 24,

c)

Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation nach den Artikeln 46 bis 50.

(4)   Verstößt ein Organ oder eine Einrichtung der Union bei gleichen oder miteinander verbundenen oder kontinuierlichen Verarbeitungsvorgängen gegen mehrere Bestimmungen dieser Verordnung oder mehrmals gegen dieselbe Bestimmung dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(5)   Bevor der Europäische Datenschutzbeauftragte Entscheidungen nach diesem Artikel trifft, gibt er dem Organ oder der Einrichtung der Union, gegen das beziehungsweise die sich das von ihm geführte Verfahren richtet, Gelegenheit, sich zu den von ihm erhobenen Einwänden zu äußern. Der Europäische Datenschutzbeauftragte stützt seine Entscheidungen nur auf die Einwände, zu denen sich die Parteien äußern konnten. Die Beschwerdeführer werden eng in das Verfahren einbezogen.

(6)   Die Verteidigungsrechte der betroffenen Parteien werden während des Verfahrens in vollem Umfang gewahrt. Sie haben vorbehaltlich des berechtigten Interesses von natürlichen Personen oder Unternehmen am Schutz ihrer personenbezogenen Daten oder Geschäftsgeheimnisse das Recht, die Akte des Europäischen Datenschutzbeauftragten einzusehen.

(7)   Das Aufkommen aus den nach diesem Artikel verhängten Geldbußen zählt zu den Einnahmen des Gesamthaushalts der Union.

Artikel 67

Vertretung betroffener Personen

Die betroffene Person hat das Recht, eine Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht, die nach Unionsrecht oder dem Recht eines Mitgliedstaats ordnungsgemäß gegründet wurde, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten betroffener Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzureichen, in ihrem Namen die in den Artikeln 63 und 64 genannten Rechte wahrzunehmen und in ihrem Namen das Recht auf Schadensersatz gemäß Artikel 65 in Anspruch zu nehmen.

Artikel 68

Beschwerden des Personals der Union

Beschäftigte eines Organs oder einer Einrichtung der Union können beim Europäischen Datenschutzbeauftragten Beschwerde wegen eines mutmaßlichen Verstoßes gegen diese Verordnung einlegen, auch ohne den Dienstweg einzuhalten. Niemand darf benachteiligt werden, weil er Beschwerde beim Europäischen Datenschutzbeauftragten eingereicht und einen solchen mutmaßlichen Verstoß dargelegt hat.

Artikel 69

Sanktionen

Verletzt ein Beamter und sonstiger Bediensteter der Union vorsätzlich oder fahrlässig die in dieser Verordnung festgelegten Pflichten, so können nach den Vorschriften und Verfahren des Statuts Disziplinarstrafen und andere Maßnahmen gegen den Beamten oder sonstigen Bediensteten verhängt werden.

KAPITEL IX

VERARBEITUNG OPERATIVER PERSONENBEZOGENER DATEN DURCH EINRICHTUNGEN UND SONSTIGE STELLEN DER UNION BEI DER AUSÜBUNG VON TÄTIGKEITEN, DIE IN DEN ANWENDUNGSBEREICH DES DRITTEN TEILS TITEL V KAPITEL 4 ODER 5 AEUV FALLEN

Artikel 70

Anwendungsbereich des Kapitels

Dieses Kapitel gilt nur für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, unbeschadet spezifischer Datenschutzvorschriften, die für eine solche Einrichtung oder sonstige Stelle der Union gelten.

Artikel 71

Grundsätze für die Verarbeitung operativer personenbezogener Daten

(1)   Operative personenbezogene Daten müssen

a)

auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden („Rechtmäßigkeit und Verarbeitung nach Treu und Glauben“);

b)

für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden („Zweckbindung“),

c)

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d)

sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit operative personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“),

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden, erforderlich ist („Speicherbegrenzung“),

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der operativen personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

(2)   Eine Verarbeitung durch denselben oder einen anderen Verantwortlichen für einen anderen der im Rechtsakt zur Gründung der Einrichtung oder sonstigen Stelle der Union genannten Zwecke als den, für den die operativen personenbezogenen Daten erhoben werden, ist erlaubt, sofern

a)

der Verantwortliche nach dem Unionsrecht befugt ist, solche operativen personenbezogenen Daten für diesen Zweck zu verarbeiten, und

b)

die Verarbeitung für diesen anderen Zweck nach dem Unionsrecht erforderlich und verhältnismäßig ist.

(3)   Die Verarbeitung durch denselben oder einen anderen Verantwortlichen kann die Archivierung im öffentlichen Interesse und die wissenschaftliche, statistische oder historische Verwendung für die im Rechtsakt zur Gründung der Einrichtung oder sonstigen Stelle der Union genannten Zwecke umfassen, sofern geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorhanden sind.

(4)   Der Verantwortliche ist für die Einhaltung der Absätze 1, 2 und 3 verantwortlich und muss deren Einhaltung nachweisen können.

Artikel 72

Rechtmäßigkeit der Verarbeitung operativer personenbezogener Daten

(1)   Die Verarbeitung operativer personenbezogener Daten ist nur rechtmäßig, wenn und soweit die Verarbeitung für die Erfüllung einer Aufgabe durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, erforderlich ist und wenn sie sich auf Unionsrecht stützt.

(2)   In spezifischen Rechtsakten der Union zur Regelung der Verarbeitung innerhalb des Anwendungsbereichs dieses Kapitels sind zumindest die Ziele der Verarbeitung, die zu verarbeitenden operativen personenbezogenen Daten, die Zwecke der Verarbeitung und die Fristen für die Speicherung der operativen personenbezogenen Daten oder für die regelmäßige Überprüfung, ob die operativen personenbezogenen Daten weiter gespeichert werden müssen, anzugeben.

Artikel 73

Unterscheidung verschiedener Kategorien betroffener Personen

Der Verantwortliche unterscheidet gegebenenfalls und so weit wie möglich zwischen den operativen personenbezogenen Daten verschiedener Kategorien betroffener Personen, wie etwa den in den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union aufgeführten Kategorien.

Artikel 74

Unterscheidung zwischen operativen personenbezogenen Daten und Überprüfung der Qualität der operativen personenbezogenen Daten

(1)   Der Verantwortliche unterscheidet so weit wie möglich zwischen faktenbasierten operativen personenbezogenen Daten und auf persönlichen Einschätzungen beruhenden operativen personenbezogenen Daten.

(2)   Der Verantwortliche ergreift alle angemessenen Maßnahmen, um zu gewährleisten, dass operative personenbezogene Daten, die unrichtig, unvollständig oder nicht mehr aktuell sind, nicht übermittelt oder bereitgestellt werden. Zu diesem Zweck überprüft der Verantwortliche gegebenenfalls und soweit durchführbar, die Qualität der operativen personenbezogenen Daten vor ihrer Übermittlung oder Bereitstellung, beispielsweise durch Konsultation der zuständigen Behörde, von der die Daten stammen. Bei jeder Übermittlung operativer personenbezogener Daten werden nach Möglichkeit die erforderlichen Informationen beigefügt, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der operativen personenbezogenen Daten sowie deren Aktualitätsgrad zu beurteilen.

(3)   Wird festgestellt, dass unrichtige operative personenbezogene Daten übermittelt worden sind oder die operativen personenbezogenen Daten unrechtmäßig übermittelt worden sind, so ist dies dem Empfänger unverzüglich mitzuteilen. In diesem Fall ist gemäß Artikel 82 eine Berichtigung oder Löschung oder die Einschränkung der Verarbeitung der betreffenden operativen personenbezogenen Daten vorzunehmen.

Artikel 75

Besondere Verarbeitungsbedingungen

(1)   Sofern in dem auf den übermittelnden Verantwortlichen anwendbaren Unionsrecht besondere Verarbeitungsbedingungen vorgesehen sind, weist der Verantwortliche den Empfänger der operativen personenbezogenen Daten darauf hin, dass diese Bedingungen gelten und einzuhalten sind.

(2)   Der Verantwortliche beachtet die von einer übermittelnden zuständigen Behörde gemäß Artikel 9 Absätze 3 und 4 der Richtlinie (EU) 2016/680 vorgesehenen besonderen Verarbeitungsbedingungen.

Artikel 76

Verarbeitung besonderer Kategorien operativer personenbezogener Daten

(1)   Die Verarbeitung operativer personenbezogener Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person sowie operativer personenbezogener Daten, die die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer natürlichen Person betreffen, ist nur dann erlaubt, wenn sie für operative Zwecke unbedingt erforderlich ist sowie innerhalb des Mandats der betreffenden Einrichtung oder sonstigen Stelle der Union und vorbehaltlich geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person erfolgt. Eine Diskriminierung natürlicher Personen anhand solcher personenbezogenen Daten ist verboten.

(2)   Der Datenschutzbeauftragte ist unverzüglich von der Anwendung dieses Artikels zu unterrichten.

Artikel 77

Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling

(1)   Eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung — einschließlich Profiling —, die eine nachteilige Rechtsfolge für die betroffene Person hat oder sie erheblich beeinträchtigt, ist verboten, es sei denn, sie ist nach dem Unionsrecht, dem der Verantwortliche unterliegt und das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bietet, zumindest das Recht auf persönliches Eingreifen seitens des Verantwortlichen, erlaubt.

(2)   Entscheidungen nach Absatz 1 dieses Artikels dürfen nicht auf den besonderen Kategorien personenbezogener Daten nach Artikel 76 beruhen, sofern nicht geeignete Maßnahmen zum Schutz der Rechte, Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

(3)   Profiling, das zur Folge hat, dass natürliche Personen auf der Grundlage von besonderen Datenkategorien nach Artikel 76 diskriminiert werden, ist nach dem Unionsrecht verboten.

Artikel 78

Mitteilungen und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1)   Der Verantwortliche trifft alle angemessenen Maßnahmen, um der betroffenen Person alle Informationen gemäß Artikel 79 sowie alle Mitteilungen gemäß den Artikeln 80 bis 84 und 92, die sich auf die Verarbeitung beziehen, in präziser, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt in einer beliebigen geeigneten Form, wozu auch die elektronische Übermittlung zählt. Grundsätzlich übermittelt der Verantwortliche die Informationen in derselben Form, in der er den Antrag erhalten hat.

(2)   Der Verantwortliche erleichtert die Ausübung der der betroffenen Person gemäß den Artikeln 79 bis 84 zustehenden Rechte.

(3)   Der Verantwortliche setzt die betroffene Person unverzüglich, in jedem Fall aber spätestens innerhalb von drei Monaten nach Eingang des Antrags, schriftlich darüber in Kenntnis, wie mit ihrem Antrag verfahren wurde.

(4)   Der Verantwortliche stellt die Informationen gemäß Artikel 79 sowie alle gemachten Mitteilungen und getroffenen Maßnahmen gemäß den Artikeln 80 bis 84 und 92 unentgeltlich zur Verfügung. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann sich der Verantwortliche weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

(5)   Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 80 oder 82 stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Artikel 79

Der betroffenen Person zur Verfügung zu stellende oder zu erteilende Informationen

(1)   Der Verantwortliche stellt der betroffenen Person zumindest die folgenden Informationen zur Verfügung:

a)

den Namen und die Kontaktdaten der Einrichtung oder sonstigen Stelle der Union,

b)

die Kontaktdaten des Datenschutzbeauftragten,

c)

die Zwecke, für die die operativen personenbezogenen Daten verarbeitet werden,

d)

das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten,

e)

das Bestehen eines Rechts auf Auskunft und Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen.

(2)   Zusätzlich zu den in Absatz 1 genannten Informationen erteilt der Verantwortliche der betroffenen Person in besonderen durch das Unionsrecht vorgesehenen Fällen die folgenden zusätzlichen Informationen, um die Ausübung der Rechte der betroffenen Person zu ermöglichen:

a)

die Rechtsgrundlage der Verarbeitung,

b)

die Dauer, für die die operativen personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,

c)

gegebenenfalls die Kategorien von Empfängern der operativen personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen;

d)

erforderlichenfalls weitere Informationen, insbesondere wenn die operativen personenbezogenen Daten ohne Wissen der betroffenen Person erhoben werden.

(3)   Der Verantwortliche kann zu nachstehenden Zwecken die Unterrichtung der betroffenen Person gemäß Absatz 2 soweit und solange aufschieben, einschränken oder unterlassen, wie diese Maßnahme in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und sofern den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:

a)

Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,

b)

Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,

c)

Schutz der öffentlichen Sicherheit der Mitgliedstaaten,

d)

Schutz der nationalen Sicherheit der Mitgliedstaaten,

e)

Schutz der Rechte und Freiheiten anderer, wie Opfer oder Zeugen.

Artikel 80

Auskunftsrecht der betroffenen Person

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende operative personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über operative personenbezogene Daten und zu folgenden Informationen zu erhalten:

a)

die Zwecke der Verarbeitung und deren Rechtsgrundlage;

b)

die Kategorien der operativen personenbezogenen Daten, die verarbeitet werden;

c)

die Empfänger oder Kategorien von Empfängern, gegenüber denen die operativen personenbezogenen Daten offengelegt worden sind, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d)

falls möglich, die geplante Dauer, für die die operativen personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e)

das Bestehen eines Rechts auf Berichtigung oder Löschung operativer personenbezogener Daten oder auf Einschränkung der Verarbeitung der operativen personenbezogenen Daten der betroffenen Person durch den Verantwortlichen;

f)

das Bestehen eines Beschwerderechts beim Europäischen Datenschutzbeauftragten sowie dessen Kontaktdaten;

g)

Mitteilung zu den operativen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

Artikel 81

Einschränkung des Auskunftsrechts

(1)   Der Verantwortliche kann zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit und solange wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:

a)

Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,

b)

Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,

c)

Schutz der öffentlichen Sicherheit der Mitgliedstaaten,

d)

Schutz der nationalen Sicherheit der Mitgliedstaaten,

e)

Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen.

(2)   In den in Absatz 1 genannten Fällen unterrichtet der Verantwortliche die betroffene Person unverzüglich schriftlich über die Verweigerung oder die Einschränkung der Auskunft und die Gründe hierfür. Dies gilt nicht, wenn die Erteilung dieser Informationen einem der in Absatz 1 genannten Zwecke zuwiderliefe. Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, gegen die Entscheidung Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen. Der Verantwortliche dokumentiert die sachlichen oder rechtlichen Gründe für die Entscheidung. Diese Angaben werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.

Artikel 82

Recht auf Berichtigung oder Löschung operativer personenbezogener Daten und Einschränkung der Verarbeitung

(1)   Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger operativer personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger operativer personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.

(2)   Der Verantwortliche löscht operative personenbezogene Daten unverzüglich, und die betroffene Person hat das Recht, von dem Verantwortlichen die unverzügliche Löschung sie betreffender operativer personenbezogener Daten zu verlangen, wenn die Verarbeitung gegen die Artikel 71, Artikel 72 Absatz 1 oder Artikel 76 verstößt oder wenn die operativen personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen, der der Verantwortliche unterliegt.

(3)   Anstatt Löschung kann der Verantwortliche die Verarbeitung einschränken, wenn

a)

die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet und die Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann oder

b)

die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen.

Unterliegt die Verarbeitung einer Einschränkung gemäß Unterabsatz 1 Buchstabe a, unterrichtet der Verantwortliche die betroffene Person, bevor er die Einschränkung aufhebt.

In ihrer Verarbeitung eingeschränkte Daten dürfen nur zu dem Zweck verarbeitet werden, der ihrer Löschung entgegenstand.

(4)   Der Verantwortliche unterrichtet die betroffene Person schriftlich über eine Verweigerung der Berichtigung oder Löschung operativer personenbezogener Daten oder der Einschränkung der Verarbeitung, und über die Gründe für die Verweigerung. Der Verantwortliche kann zu nachstehenden Zwecken die Zurverfügungstellung der Informationen teilweise oder vollständig einschränken, soweit diese Einschränkung in einer demokratischen Gesellschaft erforderlich und verhältnismäßig ist und den Grundrechten und den berechtigten Interessen der betroffenen natürlichen Person Rechnung getragen wird:

a)

Gewährleistung, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden,

b)

Gewährleistung, dass die Verhütung, Aufdeckung, Ermittlungen oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden,

c)

Schutz der öffentlichen Sicherheit der Mitgliedstaaten,

d)

Schutz der nationalen Sicherheit der Mitgliedstaaten,

e)

Schutz der Rechte und Freiheiten anderer, wie Opfer und Zeugen.

Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, gegen die Entscheidung Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen oder einen gerichtlichen Rechtsbehelf beim Gerichtshof einzulegen.

(5)   Der Verantwortliche teilt die Berichtigung von unrichtigen operativen personenbezogenen Daten der zuständigen Behörde mit, von der die unrichtigen operativen personenbezogenen Daten stammen.

(6)   Der Verantwortliche setzt in Fällen der Berichtigung, Löschung oder Einschränkung der Verarbeitung nach den Absätzen 1, 2 oder 3 die Empfänger in Kenntnis und weist sie darauf hin, dass sie die ihrer Verantwortung unterliegenden operativen personenbezogenen Daten berichtigen, löschen oder deren Verarbeitung einschränken müssen.

Artikel 83

Auskunftsrecht in strafrechtlichen Ermittlungen und Strafverfahren

Stammen die operativen personenbezogenen Daten von einer zuständigen Behörde, überprüfen die Einrichtungen und sonstigen Stellen der Union vor einer Entscheidung über das Auskunftsrecht einer betroffenen Person bei der betreffenden zuständigen Behörde, ob diese personenbezogenen Daten in einer gerichtlichen Entscheidung, einem Dokument oder einer Verfahrensakte enthalten sind und in strafrechtlichen Ermittlungen und in Strafverfahren in dem Mitgliedstaat dieser zuständigen Behörde verarbeitet wurden. Ist dies der Fall, wird eine Entscheidung über das Auskunftsrecht in Abstimmung und enger Zusammenarbeit mit der betreffenden zuständigen Behörde getroffen.

Artikel 84

Ausübung von Rechten durch die betroffene Person und Prüfung durch den Europäischen Datenschutzbeauftragten

(1)   In den in Artikel 79 Absatz 3, Artikel 81 und Artikel 82 Absatz 4 genannten Fällen können die Rechte der betroffenen Person auch über den Europäischen Datenschutzbeauftragten ausgeübt werden.

(2)   Der Verantwortliche unterrichtet die betroffene Person über die Möglichkeit, ihre Rechte gemäß Absatz 1 über den Europäischen Datenschutzbeauftragten auszuüben.

(3)   Wird das in Absatz 1 genannte Recht ausgeübt, unterrichtet der Europäische Datenschutzbeauftragte die betroffene Person zumindest darüber, dass alle erforderlichen Prüfungen oder eine Überprüfung durch den Europäischen Datenschutzbeauftragten erfolgt sind. Der Europäische Datenschutzbeauftragte hat zudem die betroffene Person über ihr Recht auf einen gerichtlichen Rechtsbehelf beim Gerichtshof zu unterrichten.

Artikel 85

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

(1)   Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung und des Rechtsakts zu seiner Gründung zu genügen und die Rechte der betroffenen Personen zu schützen.

(2)   Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur operative personenbezogene Daten verarbeitet werden, die dem Verarbeitungszweck angemessen, erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Diese Verpflichtung gilt für die Menge der erhobenen operativen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass operative personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen einer Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Artikel 86

Gemeinsam Verantwortliche

(1)   Legen zwei oder mehr Verantwortliche oder ein oder mehrere Verantwortliche zusammen mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form ihre jeweiligen Zuständigkeiten bei der Einhaltung ihrer Datenschutzpflichten fest, insbesondere was die Ausübung der Rechte der betroffenen Person und ihre jeweiligen Informationspflichten nach Artikel 79 angeht, sofern und soweit die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die gemeinsam Verantwortlichen unterliegen, festgelegt sind. In der Regelung kann eine Anlaufstelle für betroffene Personen angegeben werden.

(2)   Die Vereinbarung nach Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.

(3)   Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Artikel 87

Auftragsverarbeiter

(1)   Soll eine Verarbeitung im Namen eines Verantwortlichen vorgenommen werden, so arbeitet dieser nur mit Auftragsverarbeitern zusammen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung und des Rechtsakts zur Gründung des Auftragsverarbeiters erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(2)   Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Falle einer allgemeinen schriftlichen Genehmigung unterrichtet der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(3)   Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags, oder eines anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der operativen personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

a)

nur auf Weisung des Verantwortlichen handelt,

b)

gewährleistet, dass sich die zur Verarbeitung der operativen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

c)

den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,

d)

alle operativen personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen — nach Wahl des Verantwortlichen — löscht bzw. dem Verantwortlichen zurückgibt und bestehende Kopien vernichtet, sofern nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der operativen personenbezogenen Daten besteht;

e)

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt,

f)

die in Absatz 2 und dem vorliegenden Absatz aufgeführten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält.

(4)   Der Vertrag oder das andere Rechtsinstrument im Sinne von Absatz 3 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

(5)   Ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung oder den Rechtsakt zur Gründung des Verantwortlichen die Zwecke und die Mittel der Verarbeitung bestimmt, gilt in Bezug auf diese Verarbeitung als Verantwortlicher.

Artikel 88

Protokollierung

(1)   Der Verantwortliche protokolliert die folgenden Verarbeitungsvorgänge in automatisierten Verarbeitungssystemen: Erhebung, Veränderung, Zugriff, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung von operativen personenbezogenen Daten. Die Protokolle über Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge, die Identifizierung der Person, die die operativen personenbezogenen Daten abgefragt oder offengelegt hat, und so weit wie möglich die Identität des Empfängers solcher operativen personenbezogenen Daten festzustellen.

(2)   Die Protokolle werden ausschließlich zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung, der Sicherstellung der Integrität und Sicherheit der operativen personenbezogenen Daten sowie für Strafverfahren verwendet. Die Protokolle müssen nach drei Jahren gelöscht werden, sofern sie nicht für eine laufende Kontrolle benötigt werden.

(3)   Der Verantwortliche stellt die Protokolle seinem Datenschutzbeauftragten und dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung.

Artikel 89

Datenschutz-Folgenabschätzung

(1)   Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz operativer personenbezogener Daten durch.

(2)   Die Folgenabschätzung gemäß Absatz 1 trägt den Rechten und den berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung und enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz operativer personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Datenschutzvorschriften eingehalten werden.

Artikel 90

Vorherige Konsultation des Europäischen Datenschutzbeauftragten

(1)   Der Verantwortliche konsultiert vor der Verarbeitung in neu anzulegenden Dateisystemen den Europäischen Datenschutzbeauftragten, wenn

a)

aus einer Datenschutz-Folgenabschätzung gemäß Artikel 89 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder

b)

die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

(2)   Der Europäische Datenschutzbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur vorherigen Konsultation nach Absatz 1 unterliegen.

(3)   Der Verantwortliche legt dem Europäischen Datenschutzbeauftragten die in Artikel 89 genannte Datenschutz-Folgenabschätzung vor und übermittelt ihm auf Anfrage alle sonstigen Informationen, die er benötigt, um die Ordnungsgemäßheit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der operativen personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.

(4)   Falls der Europäische Datenschutzbeauftragte der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung oder dem Rechtsakt zur Gründung der betreffenden Einrichtung oder sonstigen Stelle der Union stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet er dem Verantwortlichen innerhalb eines Zeitraums von bis zu sechs Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um einen weiteren Monat verlängert werden. Der Europäische Datenschutzbeauftragte unterrichtet den Verantwortlichen über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung.

Artikel 91

Sicherheit der Verarbeitung operativer personenbezogener Daten

(1)   Der Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien operativer personenbezogener Daten.

(2)   Der Verantwortliche und der Auftragsverarbeiter ergreifen im Hinblick auf die automatisierte Verarbeitung nach einer Risikobewertung Maßnahmen, die Folgendes bezwecken:

a)

Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte („Zugangskontrolle“);

b)

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern („Datenträgerkontrolle“);

c)

Verhinderung der unbefugten Eingabe operativer personenbezogener Daten sowie der unbefugten Kenntnisnahme, Änderung oder Löschung gespeicherter operativer personenbezogener Daten („Speicherkontrolle“);

d)

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte („Benutzerkontrolle“);

e)

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden operativen personenbezogenen Daten Zugang haben („Zugangskontrolle“);

f)

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen operative personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können („Übertragungskontrolle“);

g)

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche operativen personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind („Eingabekontrolle“);

h)

Verhinderung, dass bei der Übertragung operativer personenbezogener Daten oder beim Transport von Datenträgern die operativen personenbezogenen Daten unbefugt gelesen, kopiert, geändert oder gelöscht werden können („Transportkontrolle“);

i)

Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können („Wiederherstellung“);

j)

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden („Zuverlässigkeit“) und gespeicherte personenbezogene operative Daten nicht durch Fehlfunktionen des Systems beschädigt werden können („Datenintegrität“).

Artikel 92

Meldung einer Verletzung des Schutzes personenbezogener Daten an den Europäischen Datenschutzbeauftragten

(1)   Der Verantwortliche meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich, und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, dem Europäischen Datenschutzbeauftragten, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung an den Europäischen Datenbeauftragten nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2)   Die Meldung nach Absatz 1 enthält zumindest folgende Informationen:

a)

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien operativer personenbezogener Daten und der ungefähren Zahl der betroffenen operativen personenbezogenen Datensätze,

b)

Name und die Kontaktdaten des Datenschutzbeauftragten,

c)

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,

d)

eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(3)   Wenn und soweit die in Absatz 2 genannten Informationen nicht zur gleichen Zeit bereitgestellt werden können, können diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.

(4)   Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten nach Absatz 1 einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Anhand dieser Dokumentation muss der Europäische Datenschutzbeauftragte die Einhaltung dieses Artikels überprüfen können.

(5)   Sind von der Verletzung des Schutzes personenbezogener Daten operative personenbezogene Daten betroffen, die von oder an zuständige Behörden übermittelt wurden, teilt der Verantwortliche die in Absatz 2 genannten Informationen den zuständigen Behörden unverzüglich mit.

Artikel 93

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1)   Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

(2)   Die in Absatz 1 dieses Artikels genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 92 Absatz 2 Buchstaben b, c und d genannten Informationen und Empfehlungen.

(3)   Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

a)

der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, und diese Vorkehrungen wurden auf die von der Verletzung betroffenen operativen personenbezogenen Daten angewandt, insbesondere solche, durch die die operativen personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den operativen personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

b)

der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

c)

dies wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

(4)   Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann der Europäische Datenschutzbeauftragte unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen oder er kann feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.

(5)   Die Benachrichtigung der betroffenen Person gemäß Absatz 1 dieses Artikels kann unter den in Artikel 79 Absatz 3 genannten Voraussetzungen und aus den dort genannten Gründen aufgeschoben, eingeschränkt oder unterlassen werden.

Artikel 94

Übermittlung operativer personenbezogener Daten an Drittländer und internationale Organisationen

(1)   Vorbehaltlich der in den Rechtsakten zur Gründung der Einrichtung oder sonstigen Stelle der Union festgelegten Einschränkungen und Bedingungen darf der Verantwortliche operative personenbezogene Daten an eine Behörde eines Drittlandes oder an eine internationale Organisation nur übermitteln, soweit dies für die Erfüllung der Aufgaben des Verantwortlichen erforderlich ist und wenn die in diesem Artikel festgelegten Bedingungen eingehalten werden, nämlich:

a)

die Kommission hat einen Angemessenheitsbeschluss gemäß Artikel 36 Absatz 3 der Richtlinie (EU) 2016/680 angenommen, dem zufolge das betreffende Drittland oder ein Gebiet oder ein verarbeitender Sektor in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Datenschutzniveau bietet;

b)

falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe a angenommen hat: eine internationale Übereinkunft gemäß Artikel 218 AEUV wurde zwischen der Union und dem betreffenden Drittland oder der betreffenden internationalen Organisation geschlossen, die angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von natürlichen Personen bietet;

c)

falls die Kommission keinen Angemessenheitsbeschluss gemäß Buchstabe b angenommen hat oder keine internationale Übereinkunft gemäß Buchstabe b geschlossen wurde: vor dem Beginn der Anwendung des entsprechenden Rechtsakts zur Gründung der betreffenden Einrichtung oder sonstigen Stelle der Union wurde ein Kooperationsabkommen zwischen dieser Einrichtung oder sonstigen Stelle der Union und dem betreffenden Drittland geschlossen, das den Austausch operativer personenbezogener Daten erlaubt.

(2)   In den Rechtsakten zur Gründung der Einrichtungen oder sonstigen Stellen der Union können spezifischere Bestimmungen über die Bedingungen für die internationale Übermittlung operativer personenbezogener Daten beibehalten oder eingeführt werden, insbesondere über die Datenübermittlung auf der Grundlage geeigneter Garantien und über Ausnahmen für bestimmte Fälle.

(3)   Der Verantwortliche veröffentlicht auf seiner Website ein Verzeichnis der in Absatz 1 Buchstabe a genannten Angemessenheitsbeschlüsse, Übereinkünfte, Verwaltungsvereinbarungen und sonstigen Rechtsinstrumente, die sich auf die Übermittlung operativer personenbezogener Daten gemäß Absatz 1 beziehen und hält dieses Verzeichnis auf dem neuesten Stand.

(4)   Der Verantwortliche führt detaillierte Aufzeichnungen über alle Übermittlungen gemäß diesem Artikel.

Artikel 95

Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren

In den Rechtsakten zur Gründung der Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, kann der Europäische Datenschutzbeauftragte bei der Ausübung seiner Kontrollbefugnisse verpflichtet werden, die Geheimhaltung von gerichtlichen Ermittlungen und Strafverfahren im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten weitest gehend zu berücksichtigen.

KAPITEL X

DURCHFÜHRUNGSRECHTSAKTE

Artikel 96

Ausschussverfahren

(1)   Die Kommission wird von dem mit Artikel 93 der Verordnung (EU) 2016/679 eingesetzten Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

(2)   Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

KAPITEL XI

ÜBERPRÜFUNG

Artikel 97

Überprüfungsklausel

Spätestens bis zum 30. April 2022 und danach alle fünf Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Anwendung dieser Verordnung vor, dem erforderlichenfalls geeignete Gesetzgebungsvorschläge beizufügen sind.

Artikel 98

Überprüfung von Rechtsakten der Union

(1)   Bis zum 30. April 2022 überprüft die Kommission auf der Grundlage der Verträge erlassene Rechtsakte, die die Verarbeitung operativer personenbezogener Daten durch Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder Kapitel 5 AEUV fallen, regeln,

a)

um zu prüfen, ob sie mit der Richtlinie (EU) 2016/680 und dem Kapitel IX dieser Verordnung in Einklang stehen,

b)

um etwaige Abweichungen zu ermitteln, die den Austausch operativer personenbezogener Daten zwischen Einrichtungen und sonstigen Stellen der Union bei der Ausübung von Tätigkeiten in diesen Bereichen und den zuständigen Behörden behindern und

c)

um etwaige Abweichungen zu ermitteln, die eine rechtliche Fragmentierung des Datenschutzrechts der Union bewirken können.

(2)   Auf der Grundlage der Überprüfung kann die Kommission, um einen einheitlichen und kohärenten Schutz natürlicher Personen bei der Verarbeitung sicherzustellen, geeignete Gesetzgebungsvorschläge insbesondere im Hinblick auf die Anwendung des Kapitels IX dieser Verordnung auf Europol und die Europäische Staatsanwaltschaft und einschließlich, falls erforderlich, zu Anpassungen des Kapitels IX dieser Verordnung vorlegen.

KAPITEL XII

SCHLUSSBESTIMMUNGEN

Artikel 99

Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG

Die Verordnung (EG) Nr. 45/2001 und der Beschluss Nr. 1247/2002/EG werden mit Wirkung vom 11. Dezember 2018 aufgehoben. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss gelten als Bezugnahmen auf die vorliegende Verordnung.

Artikel 100

Übergangsmaßnahmen

(1)   Der Beschluss 2014/886/EU des Europäischen Parlaments und des Rates (20) und die laufende Amtszeit des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten bleiben von dieser Verordnung unberührt.

(2)   Der stellvertretende Datenschutzbeauftragte ist hinsichtlich seiner Dienstbezüge, seiner Zulagen, seines Ruhegehalts und sonstiger Vergütungen, die anstelle von Dienstbezügen gewährt werden, dem Kanzler des Gerichtshofs gleichgestellt.

(3)   Artikel 53 Absätze 4, 5 und 7 sowie die Artikel 55 und 56 gelten für den derzeitigen stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit.

(4)   Der stellvertretende Datenschutzbeauftragte unterstützt den Europäischen Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben und vertritt ihn im Falle seiner Abwesenheit oder Verhinderung bis zum Ende der Amtszeit des derzeitigen stellvertretenden Datenschutzbeauftragten.

Artikel 101

Inkrafttreten und Anwendung

(1)   Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

(2)   Diese Verordnung findet jedoch auf die Verarbeitung personenbezogener Daten durch Eurojust ab dem 12. Dezember 2019 Anwendung.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Straßburg am 23. Oktober 2018.

Im Namen des Europäischen Parlaments

Der Präsident

A. TAJANI

Im Namen des Rates

Die Präsidentin

K. EDTSTADLER


(1)  ABl. C 288 vom 31.8.2017, S. 107.

(2)  Standpunkt des Europäischen Parlaments vom 13. September 2018 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 11. Oktober 2018.

(3)  Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1).

(4)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(5)  Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

(6)  Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29).

(7)  Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70).

(8)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(9)  Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43).

(10)  ABl. L 56 vom 4.3.1968, S. 1.

(11)  Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13).

(12)  Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164).

(13)  Beschluss Nr. 1247/2002/EG vom 1. Juli 2002 des Europäischen Parlaments, des Rates und der Kommission über die Regelungen und allgemeinen Bedingungen für die Ausübung der Aufgaben des Europäischen Datenschutzbeauftragten (ABl. L 183 vom 12.7.2002, S. 1).

(14)  ABl. C 164 vom 24.5.2017, S. 2.

(15)  Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates (ABl. L 135 vom 24.5.2016, S. 53).

(16)  Verordnung (EU) 2017/1939 des Rates vom 12. Oktober 2017 zur Durchführung einer Verstärkten Zusammenarbeit zur Errichtung der Europäischen Staatsanwaltschaft (EUStA) (ABl. L 283 vom 31.10.2017, S. 1).

(17)  Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).

(18)  Richtlinie 2008/63/EG der Kommission vom 20. Juni 2008 über den Wettbewerb auf dem Markt für Telekommunikationsendeinrichtungen (ABl. L 162 vom 21.6.2008, S. 20).

(19)  Beschluss 2009/917/JI des Rates vom 30. November 2009 über den Einsatz der Informationstechnologie im Zollbereich (ABl. L 323 vom 10.12.2009, S. 20).

(20)  Beschluss 2014/886/EU des Europäischen Parlaments und des Rates vom 4. Dezember 2014 zur Ernennung des Europäischen Datenschutzbeauftragten und des stellvertretenden Datenschutzbeauftragten (ABl. L 351 vom 9.12.2014, S. 9).


21.11.2018   

DE

Amtsblatt der Europäischen Union

L 295/99


VERORDNUNG (EU) 2018/1726 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 14. November 2018

über die Agentur der Europäischen Union für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA), zur Änderung der Verordnung (EG) Nr. 1987/2006 und des Beschlusses 2007/533/JI des Rates sowie zur Aufhebung der Verordnung (EU) Nr. 1077/2011

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 74, Artikel 77 Absatz 2 Buchstaben a und b, Artikel 78 Absatz 2 Buchstabe e, Artikel 79 Absatz 2 Buchstabe c, Artikel 82 Absatz 1 Buchstabe d, Artikel 85 Absatz 1, Artikel 87 Absatz 2 Buchstabe a und Artikel 88 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

gemäß dem ordentlichen Gesetzgebungsverfahren (1),

in Erwägung nachstehender Gründe:

(1)

Das Schengener Informationssystem (im Folgenden „SIS II“) wurde mit der Verordnung (EG) Nr. 1987/2006 des Europäischen Parlaments und des Rates (2) und dem Beschluss 2007/533/JI des Rates (3) eingerichtet. Die Verordnung (EG) Nr. 1987/2006 und der Beschluss 2007/533/JI sehen vor, dass die Kommission während einer Übergangszeit für das Betriebsmanagement des zentralen Systems des SIS II (im Folgenden „zentrales SIS II“) zuständig sein soll. Nach dieser Übergangszeit geht die Zuständigkeit für das Betriebsmanagement des zentralen SIS II und für bestimmte Aspekte der Kommunikationsinfrastruktur auf eine Verwaltungsbehörde über.

(2)

Das Visa-Informationssystem (im Folgenden „VIS“) wurde mit der Entscheidung 2004/512/EG des Rates (4) eingeführt. Die Verordnung (EG) Nr. 767/2008 des Europäischen Parlaments und des Rates (5) sieht vor, dass die Kommission während einer Übergangszeit für das Betriebsmanagement des VIS zuständig sein soll. Nach dieser Übergangszeit geht die Zuständigkeit für das Betriebsmanagement des zentralen VIS und der nationalen Schnittstellen und für bestimmte Aspekte der Kommunikationsinfrastruktur auf eine Verwaltungsbehörde über.

(3)

Eurodac wurde mit der Verordnung (EG) Nr. 2725/2000 des Rates (6) eingerichtet. Mit der Verordnung (EG) Nr. 407/2002 des Rates (7) wurden erforderliche Durchführungsbestimmungen eingeführt. Diese Rechtsakte wurden durch die Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates (8) aufgehoben und mit Wirkung vom 20. Juli 2015 durch jene Verordnung ersetzt.

(4)

Die Europäische Agentur für das Betriebsmanagement von IT (Informationstechnologie)-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts, die allgemein als eu-LISA bezeichnet wird, wurde mit der Verordnung (EU) Nr. 1077/2011 des Europäischen Parlaments und des Rates (9) eingeführt, um das Betriebsmanagement der Systeme SIS, VIS und Eurodac und von bestimmten Aspekten der Kommunikationsinfrastruktur sowie — vorbehaltlich der Annahme gesonderter Rechtsakte der Union — gegebenenfalls das anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts zu gewährleisten. Die Verordnung (EU) Nr. 1077/2011 wurde mit der Verordnung (EU) Nr. 603/2013 geändert, um den an Eurodac vorgenommenen Veränderungen Rechnung zu tragen.

(5)

Da die Verwaltungsbehörde rechtlich, verwaltungstechnisch und finanziell autonom sein musste, wurde sie als Regulierungsagentur (im Folgenden „Agentur“) mit eigener Rechtspersönlichkeit geschaffen. Wie vereinbart erhielt die Agentur ihren Sitz in Tallinn, Estland. Da jedoch die Aufgaben im Zusammenhang mit der technischen Entwicklung und der Vorbereitung des Betriebsmanagements der Systeme SIS II und VIS bereits in Straßburg, Frankreich, durchgeführt wurden und ein Back-up-Standort für diese Systeme in Sankt Johann im Pongau, Österreich, eingerichtet worden war, was auch den Standorten der Systeme SIS II und VIS gemäß den einschlägigen Rechtsakten der Union entsprach, sollte es dabei belassen werden. An diesen beiden Standorten sollten auch weiterhin die Aufgaben im Zusammenhang mit dem Betriebsmanagement des Eurodac-Systems wahrgenommen werden bzw. der Back-up-Standort für Eurodac eingerichtet sein. An diesen beiden Standorten sollten auch die technische Entwicklung und das Betriebsmanagement anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts wahrgenommen bzw. ein Back-up-Standort eingerichtet werden, der den Betrieb eines IT-Großsystems bei dessen Ausfall sicherstellen kann. Um die mögliche Nutzung des Back-up-Standorts zu maximieren, könnte dieser Standort auch für den gleichzeitigen Betrieb von Systemen genutzt werden, vorausgesetzt, dass seine Fähigkeit gewahrt bleibt, ihren Betrieb auch bei Ausfall eines oder mehrerer der Systeme sicherzustellen. Aufgrund der hohen Anforderungen an Sicherheit, Verfügbarkeit und Funktion der Systeme sollte der Verwaltungsrat der Agentur (im Folgenden „Verwaltungsrat“), wenn die Hosting-Kapazitäten an den bestehenden technischen Standorten nicht mehr ausreichen, je nach Bedarf die Einrichtung eines zweiten gesonderten technischen Standorts für das Hosting der Systeme entweder in Straßburg oder in Sankt Johann im Pongau oder an beiden Standorten vorschlagen können, sofern dies auf der Grundlage einer unabhängigen Folgenabschätzung und Kosten-Nutzen-Analyse gerechtfertigt ist. Bevor der Verwaltungsrat das Europäische Parlament und den Rat (im Folgenden „Haushaltsbehörde“) über seine Absicht, Immobilienvorhaben durchzuführen, unterrichtet, sollte er die Kommission konsultieren und ihrem Standpunkt Rechnung tragen.

(6)

Seit der Aufnahme ihrer Tätigkeit am 1. Dezember 2012 hat die Agentur die der Verwaltungsbehörde in Bezug auf das VIS durch die Verordnung (EG) Nr. 767/2008 und den Beschluss 2008/633/JI des Rates (10) übertragenen Aufgaben übernommen. Ferner hat die Agentur im April 2013 die der Verwaltungsbehörde in Bezug auf das SIS II durch die Verordnung (EG) Nr. 1987/2006 und den Beschluss 2007/533/JI übertragenen Aufgaben übernommen, nachdem SIS II in Betrieb genommen worden war, sowie im Juni 2013 die der Kommission in Bezug auf Eurodac durch die Verordnungen (EG) Nr. 2725/2000 und (EG) Nr. 407/2002 übertragenen Aufgaben.

(7)

Die erste Bewertung der Arbeit der Agentur auf Grundlage einer unabhängigen, externen Bewertung wurde im Zeitraum 2015/2016 durchgeführt und ergab, dass die Agentur das Betriebsmanagement von IT-Großsystemen wirksam sicherstellt und andere Aufgaben in ihrem Verantwortungsbereich erfüllt; allerdings führte die Bewertung auch zu dem Ergebnis, dass eine Reihe von Änderungen an der Verordnung (EU) Nr. 1077/2011 notwendig ist, etwa die Übertragung der Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur, die noch bei der Kommission liegen, auf die Agentur. Aufbauend auf diese externe Evaluierung hat die Kommission politische, rechtliche und faktische Entwicklungen berücksichtigt und insbesondere in ihrem Bericht vom 29. Juni 2017 über die Funktionsweise der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (eu-LISA) (im Folgenden „Bewertungsbericht“) vorgeschlagen, den Auftrag der Agentur auf die Aufgaben auszudehnen, die sich aus der Annahme von Gesetzgebungsvorschlägen, mit denen der Agentur neue Systeme anvertraut werden sollen, durch die Mitgesetzgeber ergeben, und — vorbehaltlich der gegebenenfalls erforderlichen Annahme der entsprechenden Rechtsakte der Union — auf die Aufgaben, auf die in der Mitteilung der Kommission vom 6. April 2016 mit dem Titel „Solidere und intelligentere Informationssysteme für das Grenzmanagement und mehr Sicherheit“, im Abschlussbericht der hochrangigen Expertengruppe für Informationssysteme und Interoperabilität vom 11. Mai 2017 und in der Mitteilung der Kommission vom 16. Mai 2017 mit dem Titel „Auf dem Weg zu einer wirksamen und echten Sicherheitsunion — Siebter Fortschrittsbericht“ Bezug genommen wird. Insbesondere sollte die Agentur mit der Entwicklung von Lösungen in Bezug auf Interoperabilität betraut werden, die in der Mitteilung vom 6. April 2016 als die Fähigkeit von Informationssystemen, Daten auszutauschen und die gemeinsame Nutzung von Informationen zu ermöglichen, definiert wird.

Die Maßnahmen auf dem Gebiet der Interoperabilität sollten, soweit einschlägig, den Vorgaben der Mitteilung der Kommission vom 23. März 2017 mit dem Titel „Europäischer Interoperabilitätsrahmen — Umsetzungsstrategie“ folgen. Anhang 2 dieser Mitteilung enthält die allgemeinen Leitlinien, Empfehlungen und bewährten Verfahren zur Herstellung der Interoperabilität oder zumindest eines geeigneten Umfelds für mehr Interoperabilität bei der Konzeption, Umsetzung und Verwaltung europäischer öffentlicher Dienstleistungen.

(8)

Der Bewertungsbericht ergab ferner, dass der Auftrag der Agentur ausgeweitet werden sollte, um ihr zu ermöglichen, die Mitgliedstaaten bei der Verbindung ihrer nationalen Systeme mit den Zentralsystemen der von ihr verwalteten IT-Großsysteme (im Folgenden „Systeme“) zu beraten, ihnen auf Anforderung Ad-hoc-Hilfe und Unterstützung zu gewähren sowie den Kommissionsdienststellen Hilfe und Unterstützung in technischen Fragen im Zusammenhang mit neuen Systemen zukommen zu lassen.

(9)

Die Agentur sollte mit der Konzeption, der Entwicklung und dem Betriebsmanagement des Einreise-/Ausreisesystems (EES) betraut werden, das mit der Verordnung (EU) 2017/2226 des Europäischen Parlaments und des Rates (11) geschaffen wurde.

(10)

Der Agentur sollte auch das Betriebsmanagement des DubliNet, eines gesonderten gesicherten elektronischen Übermittlungskanals nach Artikel 18 der Verordnung (EG) Nr. 1560/2003 der Kommission (12), übertragen werden, den die in den Mitgliedstaaten für Asylfragen zuständigen Behörden für den Austausch von Informationen über Personen, die internationalen Schutz beantragen, nutzen sollten.

(11)

Zudem sollte die Agentur mit der Konzeption, der Entwicklung und dem Betriebsmanagement des Europäischen Reiseinformations- und -genehmigungssystems (ETIAS) betraut werden, das mit der Verordnung (EU) 2018/1240 des Europäischen Parlaments und des Rates (13) geschaffen wurde.

(12)

Zentrale Aufgabe der Agentur sollte weiterhin das Betriebsmanagement der von SIS II, VIS, Eurodac, EES, DubliNet, ETIAS sowie, im Falle eines entsprechenden Beschlusses, anderer IT-Großsysteme im Raum der Freiheit, der Sicherheit und des Rechts sein. Die Agentur sollte ferner für technische Maßnahmen zuständig sein, die für die Ausführung der ihr übertragenen nicht-normativen Aufgaben erforderlich sind. Diese Zuständigkeiten sollten die normativen Aufgaben nicht berühren, die der Kommission allein oder der Kommission mit Unterstützung eines Ausschusses nach den jeweiligen Rechtsakten der Union über die Systeme vorbehalten sind.

(13)

Die Agentur sollte in der Lage sein, technische Lösungen umzusetzen, um den Verfügbarkeitsanforderungen zu entsprechen, die in den Rechtsakten der Union zur Regelung der Systeme festgelegt sind, wobei die spezifischen Bestimmungen dieser Rechtsakte über die technische Architektur der jeweiligen Systeme uneingeschränkt eingehalten werden müssen. Wenn diese technischen Lösungen die Duplizierung eines Systems oder von Bestandteilen eines Systems erfordern, sollte eine unabhängige Folgenabschätzung und Kosten-Nutzen-Analyse durchgeführt werden, und der Verwaltungsrat sollte nach Anhörung der Kommission einen Beschluss fassen. Die Folgenabschätzung sollte auch eine Prüfung des Bedarfs an Hosting-Kapazität der bestehenden technischen Standorte im Zusammenhang mit der Entwicklung solcher technischer Lösungen sowie der möglichen Risiken der derzeitigen Betriebsinfrastruktur umfassen.

(14)

Es ist nicht länger gerechtfertigt, dass die Kommission bestimmte Aufgaben im Zusammenhang mit der Kommunikationsinfrastruktur der Systeme behält und diese Aufgaben sollten daher im Interesse einer besseren Kohärenz des Managements der Kommunikationsinfrastruktur der Agentur übertragen werden. In Bezug auf die Systeme, die EuroDomain verwenden — eine von TESTA-ng (Transeuropäische Telematikdienste für Behörden — neue Generation) bereitgestellte Infrastruktur zur verschlüsselten Kommunikation, die als Teil des ISA-Programms eingerichtet wurde, das mit dem Beschluss Nr. 922/2009/EG des Europäischen Parlaments und des Rates (14) errichtet wurde und durch das ISA2-Programm fortgeführt wurde, das mit dem Beschluss (EU) 2015/2240 des Europäischen Parlaments und des Rates (15) errichtet wurde —, sollten jedoch die Aufgaben im Zusammenhang mit der Ausführung des Haushaltsplans, der Anschaffung und Erneuerung und vertraglichen Fragen bei der Kommission verbleiben.

(15)

Im Einklang mit der Verordnung (EU, Euratom) 2018/1046 des Europäischen Parlaments und des Rates (16) sollte die Agentur Aufgaben im Zusammenhang mit der Bereitstellung, Einrichtung, Pflege und Überwachung der Kommunikationsinfrastruktur an externe privatrechtliche Stellen oder Einrichtungen übertragen können. Die Agentur sollte über ausreichende finanzielle und personelle Ressourcen verfügen, damit die Übertragung ihrer Aufgaben und Pflichten an externe privatrechtliche Stellen oder Einrichtungen möglichst gering gehalten werden kann.

(16)

Die Agentur sollte weiterhin Schulungen zur technischen Nutzung von SIS II, VIS und Eurodac sowie anderen Systemen, deren Betriebsmanagement ihr künftig gegebenenfalls übertragen wird, veranstalten.

(17)

Um zur faktenbasierten Gestaltung der Migrations- und Sicherheitspolitik der Union und zur Überwachung des ordnungsgemäßen Funktionierens der Systeme beizutragen, sollte die Agentur Statistiken erstellen und veröffentlichen sowie statistische Berichte erstellen und sie den jeweiligen Akteuren im Einklang mit den Unionsrechtsakten zur Regelung der Systeme zur Verfügung stellen, z. B. zur Überwachung der Durchführung der Verordnung (EU) Nr. 1053/2013 des Rates (17) sowie für die Zwecke einer Risikoanalyse und einer Schwachstellenbeurteilung im Einklang mit der Verordnung (EU) 2016/1624 des Europäischen Parlaments und des Rates (18).

(18)

Es sollte möglich sein, der Agentur auch die Zuständigkeit für die Konzeption, die Entwicklung und das Betriebsmanagement weiterer IT-Großsysteme gemäß Artikel 67 bis 89 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zu übertragen. Mögliche Beispiele solcher Systeme könnten das zentralisierte System für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen zur Ergänzung und Unterstützung des Europäischen Strafregisterinformationssystems (ECRIS-TNC-System) vorliegen oder das EDV-System für die grenzüberschreitende Kommunikation in Zivil- und Strafsachen (e-CODEX) sein. Die Agentur sollte jedoch mit solchen Systemen nur mittels nachfolgender gesonderter Rechtsakte der Union betraut werden, denen eine Folgenabschätzung vorausgegangen ist.

(19)

Der Auftrag der Agentur im Forschungsbereich sollte ausgeweitet werden, um ihre Fähigkeit zur vorausschauenden Anregung wichtiger und notwendiger technischer Veränderungen an den Systemen zu verbessern. Die Agentur sollte für das Betriebsmanagement der Systeme relevante Forschungstätigkeiten nicht nur überwachen können sondern auch einen Beitrag zur Durchführung von einschlägigen Teilen des Rahmenprogramms der Europäischen Union für Forschung und Innovation leisten können, sofern die Kommission der Agentur die entsprechenden Befugnisse überträgt. Sie sollte ihre Beobachtungen mindestens einmal jährlich dem Europäischen Parlament, dem Rat und, wenn es um die Verarbeitung personenbezogener Daten geht, dem Europäischen Datenschutzbeauftragten übermitteln.

(20)

Die Kommission sollte der Agentur die Zuständigkeit für die Durchführung von Pilotprojekten experimenteller Art, mit denen Durchführbarkeit und Nutzen einer Maßnahme bewertet werden, übertragen können, für die gemäß der Verordnung (EU, Euratom) 2018/1046 kein Basisrechtsakt erforderlich ist. Ferner sollte die Kommission die Agentur nach Unterrichtung des Europäischen Parlaments mit Aufgaben der Haushaltsausführung für Machbarkeitsprüfungen betrauen können, die aus dem Instrument für die finanzielle Unterstützung für Außengrenzen und Visa nach der Verordnung (EU) Nr. 515/2014 des Europäischen Parlaments und des Rates (19) im Einklang mit der Verordnung (EU, Euratom) 2018/1046 finanziert werden. Es sollte für die Agentur auch möglich sein, Testmaßnahmen zu planen und durchzuführen, die eindeutig unter die vorliegende Verordnung und die Rechtsakte der Union fallen, welche die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln, wie beispielsweise die Erprobung von Virtualisierungskonzepten. Bei der Durchführung von Pilotprojekten sollte die Agentur der Strategie der Europäischen Union für das Informationsmanagement besondere Beachtung schenken.

(21)

Die Agentur sollte die Mitgliedstaaten auch auf deren Ersuchen im Hinblick auf die Anbindung der nationalen Systeme an die in den Rechtsakten der Union zur Regelung der Systeme vorgesehenen zentralen Systeme beraten.

(22)

Die Agentur sollte die Mitgliedstaaten auf deren Ersuchen — nach dem in dieser Verordnung festgelegten Verfahren — ad-hoc unterstützen, wenn besondere Herausforderungen oder Bedürfnisse in Bezug auf Sicherheit oder Migration dies erfordern. Ein Mitgliedstaat sollte insbesondere dann operative und technische Verstärkung anfordern und darauf zurückgreifen können, wenn dieser Mitgliedstaat infolge eines starken Migrationszustroms an bestimmten Abschnitten seiner Außengrenzen einem besonderen und unverhältnismäßigen Zuwanderungsdruck ausgesetzt ist. Diese Verstärkung sollte in Brennpunkten durch die Teams zur Unterstützung der Migrationsverwaltung zur Verfügung gestellt werden, denen Experten aus den einschlägigen Agenturen der Union angehören. Wenn in diesem Zusammenhang die Unterstützung der Agentur in Bezug auf die Systeme erforderlich ist, sollte der betreffende Mitgliedstaat einen Unterstützungsantrag an die Kommission richten, die ihn — nachdem sie zu der Einschätzung gelangt ist, dass diese Unterstützung tatsächlich gerechtfertigt ist — unverzüglich an die Agentur weiterleiten sollte. Die Agentur sollte den Verwaltungsrat über solche Anträge unterrichten. Die Kommission sollte auch überwachen, ob die Agentur auf den Antrag auf Ad-hoc-Unterstützung zeitnah reagiert. Im jährlichen Tätigkeitsbericht der Agentur sollte detailliert darauf eingegangen werden, welche Maßnahmen die Agentur zur Ad-hoc-Unterstützung der Mitgliedstaaten ergriffen hat und welche Kosten in diesem Zusammenhang angefallen sind.

(23)

Die Agentur sollte auf Anforderung auch die Kommissionsdienststellen in technischen Fragen im Zusammenhang mit bestehenden oder neuen Systemen und insbesondere bei der Ausarbeitung neuer Vorschläge über IT-Großsysteme, mit denen die Agentur betraut werden soll, unterstützen.

(24)

Es sollte möglich sein, dass eine Gruppe von Mitgliedstaaten die Agentur mit der Entwicklung, dem Management oder dem Hosting einer gemeinsamen IT-Komponente betraut, um sie bei der Umsetzung technischer Aspekte der Verpflichtungen zu unterstützen, die sich aus den Rechtsvorschriften der Union zu dezentralen IT-Systemen im Raum der Freiheit, der Sicherheit und des Rechts ergeben. Dies sollte unbeschadet der Verpflichtungen dieser Mitgliedstaaten aus den geltenden Rechtsakten der Union, insbesondere in Bezug auf die Architektur dieser Systeme, gelten. Dies sollte an die vorherige Zustimmung durch die Kommission und einen positiven Beschluss des Verwaltungsrats geknüpft sein, in einer Übertragungsvereinbarung zwischen den betreffenden Mitgliedstaaten und der Agentur festgehalten und vollständig von den betreffenden Mitgliedstaaten finanziert werden. Die Agentur sollte das Europäische Parlament und den Rat über die gebilligte Übertragungsvereinbarung und etwaige Änderungen dieser Vereinbarung unterrichten. Andere Mitgliedstaaten sollten sich an solchen gemeinsamen IT-Lösungen beteiligen können, sofern diese Möglichkeit in der Übertragungsvereinbarung vorgesehen ist und die notwendigen Änderungen an der Vereinbarung vorgenommen werden. Diese Aufgabe sollte sich nicht nachteilig auf das Betriebsmanagement der Systeme durch die Agentur auswirken.

(25)

Die Übertragung des Betriebsmanagements von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts auf die Agentur sollte sich nicht auf die für diese Systeme geltenden besonderen Vorschriften auswirken. Vor allem die besonderen Vorschriften über Zweckgebundenheit, Zugriffsrechte, Sicherheitsmaßnahmen und weitere Datenschutzanforderungen für jedes dieser Systeme sind in vollem Umfang anwendbar.

(26)

Um die Arbeitsabläufe bei der Agentur wirksam überwachen zu können, sollten die Mitgliedstaaten und die Kommission im Verwaltungsrat vertreten sein. Der Verwaltungsrat sollte mit den erforderlichen Befugnissen unter anderem für die Annahme des Jahresarbeitsprogramms, für die Wahrnehmung seiner Aufgaben in Bezug auf den Haushalt der Agentur, für den Erlass der für die Agentur geltenden Finanzregelung und für die Festlegung der Verfahren ausgestattet werden, mit denen der Exekutivdirektor Beschlüsse im Zusammenhang mit den operativen Aufgaben der Agentur fasst. Der Verwaltungsrat sollte diese Aufgaben effizient und in transparenter Weise erfüllen. Im Anschluss an die Durchführung eines angemessenen Auswahlverfahrens durch die Kommission und an eine Anhörung der vorgeschlagenen Bewerber im zuständigen Ausschuss oder in den zuständigen Ausschüssen des Europäischen Parlaments sollte der Verwaltungsrat außerdem einen Exekutivdirektor ernennen.

(27)

Da die Zahl der IT-Großsysteme, mit denen die Agentur betraut ist, bis 2020 erheblich steigen wird, und da der Agentur viele neue Aufgaben übertragen werden, wird ihr bis 2020 auch entsprechend mehr Personal zugewiesen. Daher sollte die Stelle eines stellvertretenden Exekutivdirektors der Agentur geschaffen werden, wobei berücksichtigt werden muss, dass die Aufgaben im Zusammenhang mit der Entwicklung und dem Betriebsmanagement der Systeme verstärkte und gezielte Aufsicht erfordern und dass der Hauptsitz und die technischen Standorte der Agentur auf drei Mitgliedstaaten verteilt sind. Der stellvertretende Exekutivdirektor sollte vom Verwaltungsrat ernannt werden.

(28)

Bei der Leitung und dem Betrieb der Agentur sollten die Grundsätze des am 19. Juli 2012 vom Europäischen Parlament, vom Rat und von der Kommission angenommenen gemeinsamen Konzepts für die dezentralen Agenturen der Union berücksichtigt werden.

(29)

Im Hinblick auf das SIS II sollten die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (im Folgenden „Europol“) und die Europäische Stelle für justizielle Zusammenarbeit (im Folgenden „Eurojust“), die beide gemäß des Beschlusses 2007/533/JI eine Zugangsberechtigung für das SIS II haben und dort direkt Daten abfragen können, bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung dieses Beschlusses stehen. Die Europäische Agentur für die Grenz- und Küstenwache, die gemäß der Verordnung (EU) 2016/1624 eine Zugangsberechtigung für das SIS II hat und Daten abfragen kann, sollte bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung jener Verordnung stehen. Europol, Eurojust und die Europäische Agentur für die Grenz- und Küstenwache sollten jeweils einen Vertreter in die gemäß dieser Verordnung eingerichtete SIS II-Beratergruppe entsenden können.

(30)

In Bezug auf das VIS sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung des Beschlusses 2008/633/JI stehen. Europol sollte einen Vertreter in die gemäß der vorliegenden Verordnung eingerichtete VIS-Beratergruppe entsenden können.

(31)

In Bezug auf Eurodac sollte Europol bei Sitzungen des Verwaltungsrates Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) Nr. 603/2013 stehen. Europol sollte einen Vertreter in die aufgrund der vorliegenden Verordnung geschaffene Eurodac-Beratergruppe entsenden können.

(32)

In Bezug auf das EES sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) 2017/2226 stehen.

(33)

In Bezug auf ETIAS sollte Europol bei Sitzungen des Verwaltungsrats Beobachterstatus haben, wenn auf der Tagesordnung Angelegenheiten im Zusammenhang mit der Anwendung der Verordnung (EU) 2018/1240 stehen. Die Europäische Agentur für die Grenz- und Küstenwache sollte bei Sitzungen des Verwaltungsrats ebenfalls Beobachterstatus haben, wenn auf der Tagesordnung ETIAS betreffende Angelegenheiten im Zusammenhang mit der Anwendung jener Verordnung stehen. Europol und die Europäische Agentur für die Grenz- und Küstenwache sollten jeweils einen Vertreter in die aufgrund der vorliegenden Verordnung geschaffene EES-ETIAS-Beratergruppe entsenden können.

(34)

Die Mitgliedstaaten sollten über Stimmrechte im Verwaltungsrat in Bezug auf IT-Großsysteme verfügen, sofern sie nach dem Unionsrecht durch einen Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems gebunden sind. Auch Dänemark sollte über Stimmrechte in Bezug auf ein IT-Großsystem verfügen, wenn es nach Artikel 4 des dem Vertrag über die Europäische Union (EUV) und dem AEUV beigefügten Protokolls Nr. 22 über die Position Dänemarks beschließt, den Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems in sein nationales Recht umzusetzen.

(35)

Die Mitgliedstaaten sollten ein Mitglied in die Beratergruppe für ein IT-Großsystem entsenden, sofern sie nach dem Unionsrecht durch einen Rechtsakt der Union in Bezug auf die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen Systems gebunden sind. Auch Dänemark sollte ein Mitglied in die Beratergruppe für ein IT-Großsystem entsenden, wenn es nach Artikel 4 des Protokolls Nr. 22 beschließt, den Rechtsakt der Union betreffend die Entwicklung, die Errichtung, den Betrieb und die Nutzung dieses speziellen IT-Großsystems in sein nationales Recht umzusetzen. Die Beratergruppen sollten erforderlichenfalls untereinander zusammenarbeiten.

(36)

Um die vollständige Selbstständigkeit und Unabhängigkeit der Agentur sicherzustellen und sie in die Lage zu versetzen, die Ziele und Aufgaben, die ihr mit dieser Verordnung übertragen wurden, angemessen zu verwirklichen bzw. wahrzunehmen, sollte sie mit einem angemessenen und eigenständigen Haushalt ausgestattet werden, dessen Einnahmen aus dem Gesamthaushaltsplan der Union stammen. Die Finanzierung der Agentur sollte einer Einigung zwischen dem Europäischen Parlament und dem Rat gemäß Nummer 31 der Interinstitutionellen Vereinbarung vom 2. Dezember 2013 zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission über die Haushaltsdisziplin, die Zusammenarbeit im Haushaltsbereich und die wirtschaftliche Haushaltsführung (20) unterliegen. Es sollten die Haushalts- und Entlastungsverfahren der Union gelten. Die Rechnungsprüfung und die Prüfung der Rechtmäßigkeit und Ordnungsmäßigkeit der zugrunde liegenden Vorgänge sollten durch den Rechnungshof erfolgen.

(37)

Zur Wahrnehmung ihres Auftrags und soweit es für die Erfüllung ihrer Aufgaben erforderlich ist, sollte die Agentur mit den Organen, Einrichtungen und sonstigen Stellen der Union, insbesondere mit denjenigen, die im Raum der Freiheit, der Sicherheit und des Rechts tätig sind, in den in dieser Verordnung und in den Rechtsakten der Union, die für die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme gelten, geregelten Belangen im Rahmen von Arbeitsvereinbarungen im Einklang mit Recht und Politik der Union und im Rahmen ihrer jeweiligen Zuständigkeiten kooperieren können. Wenn dies durch einen Rechtsakt der Union vorgesehen ist, sollte es der Agentur ferner gestattet sein, mit internationalen Organisationen und anderen einschlägigen Stellen zusammenzuarbeiten, und sie sollte in der Lage sein, Arbeitsvereinbarungen zu diesem Zweck zu schließen. Diese Arbeitsvereinbarungen sollten der vorherigen Zustimmung der Kommission unterliegen und vom Verwaltungsrat genehmigt werden. Ferner sollte die Agentur gegebenenfalls die durch die Verordnung (EG) Nr. 526/2013 des Europäischen Parlaments und des Rates (21) errichtete Agentur der Europäischen Union für Netz- und Informationssicherheit (ENISA) in Bezug auf die Netz- und Informationssicherheit konsultieren und deren Empfehlungen nachkommen.

(38)

Die Agentur sollte bei der Entwicklung und beim Betriebsmanagement der Systeme europäischen und internationalen Standards folgen und höchsten fachlichen Anforderungen, insbesondere der Strategie der Europäischen Union für das Informationsmanagement, Rechnung tragen.

(39)

Die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (22) sollte bei der Verarbeitung personenbezogener Daten durch die Agentur Anwendung finden, unbeschadet der in den Rechtsakten der Union, die die Entwicklung, die Errichtung, den Betrieb und die Nutzung der Systeme regeln, festgelegten Datenschutzbestimmungen, die der Verordnung (EU) 2018/1725 entsprechen sollten. Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die Verordnung (EU) 2018/1725 oder die für die Systeme geltenden Rechtsakte der Union verstoßende Verarbeitung sollte die Agentur die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies einen physischen, materiellen oder immateriellen Schaden herbeiführen könnte. Der Europäische Datenschutzbeauftragte sollte die Möglichkeit haben, von der Agentur Zugang zu allen für seine Untersuchungen erforderlichen Informationen zu erhalten. Die Kommission hat gemäß der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (23) den Europäischen Datenschutzbeauftragten konsultiert, der am 10. Oktober 2017 eine Stellungnahme abgegeben hat.

(40)

Im Interesse einer transparenten Arbeitsweise der Agentur sollte die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (24) auf die Agentur Anwendung finden. Die Agentur sollte bei ihren Tätigkeiten so viel Transparenz wie möglich walten lassen, ohne dadurch die Verwirklichung der Ziele ihrer Tätigkeiten zu gefährden. Sie sollte Informationen über sämtliche Tätigkeiten veröffentlichen. Sie sollte in gleicher Weise gewährleisten, dass die Öffentlichkeit und alle interessierten Parteien zügig Informationen über ihre Arbeit erhalten.

(41)

Die Tätigkeiten der Agentur sollten im Einklang mit Artikel 228 AEUV der Prüfung durch den Europäischen Bürgerbeauftragten unterliegen.

(42)

Die Verordnung (EU, Euratom) Nr. 883/2013 des Europäischen Parlaments und des Rates (25) sollte auf die Agentur Anwendung finden, und die Agentur sollte der Interinstitutionellen Vereinbarung vom 25. Mai 1999 zwischen dem Europäischen Parlament, dem Rat der Europäischen Union und der Kommission der Europäischen Gemeinschaften über die internen Untersuchungen des Europäischen Amtes für Betrugsbekämpfung (OLAF) (26) beitreten.

(43)

Die Verordnung (EU) 2017/1939 (27) des Rates über die Errichtung einer Europäischen Staatsanwaltschaft sollte auf die Agentur Anwendung finden.

(44)

Um offene und transparente Beschäftigungsbedingungen zu gewährleisten und eine Gleichbehandlung des Personals sicherzustellen, sollten für das Personal, den Exekutivdirektor und den stellvertretenden Exekutivdirektor der Agentur das Statut der Beamten der Europäischen Union (im Folgenden „Beamtenstatut“) und die Beschäftigungsbedingungen für die sonstigen Bediensteten der Europäischen Union (im Folgenden „Beschäftigungsbedingungen“), festgelegt in der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 (28) des Rates (im Folgenden zusammen „Statut“), einschließlich der Regeln für die berufliche Schweigepflicht oder eine andere vergleichbare Geheimhaltungspflicht gelten.

(45)

Da die Agentur eine von der Union geschaffene Einrichtung im Sinne der Verordnung (EU, Euratom) 2018/1046 ist, sollte sie ihre Finanzregelungen dementsprechend festlegen.

(46)

Für die Agentur sollte die Delegierte Verordnung (EU) Nr. 1271/2013 der Kommission (29) gelten.

(47)

Die durch die vorliegende Verordnung errichtete Agentur tritt an die Stelle der auf der Grundlage der Verordnung (EU) Nr. 1077/2011 errichteten Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts und wird deren Nachfolgerin. Sie sollte daher die Rechtsnachfolgerin für alle Verträge, Verbindlichkeiten und Vermögenswerte der Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts in der durch die Verordnung (EU) Nr. 1077/2011 errichteten Form sein. Die vorliegende Verordnung sollte die rechtliche Wirksamkeit der von der Agentur auf der Grundlage der Verordnung (EU) Nr. 1077/2011 geschlossenen Vereinbarungen, Arbeitsvereinbarungen und Absichtserklärungen unbeschadet etwaiger Änderungen, die aufgrund der vorliegenden Verordnung erforderlich sind, unberührt lassen.

(48)

Um zu gewährleisten, dass die Agentur die Aufgaben der durch die Verordnung (EU) Nr. 1077/2011 errichteten Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts weiterhin nach bestem Vermögen erfüllen kann, sollten vor allem in Bezug auf den Verwaltungsrat, die Beratergruppen, den Exekutivdirektor und die vom Verwaltungsrat erlassenen internen Vorschriften und Maßnahmen Übergangsregelungen getroffen werden.

(49)

Die vorliegende Verordnung soll die Bestimmungen der Verordnung (EU) Nr. 1077/2011 ändern und ausweiten. Da die durch die vorliegende Verordnung vorzunehmenden Änderungen sowohl bezüglich der Zahl als auch hinsichtlich des Inhalts erheblich sind, sollte die Verordnung (EU) Nr. 1077/2011 aus Gründen der Klarheit für die Mitgliedstaaten, die durch die vorliegende Verordnung gebunden sind, vollständig ersetzt werden. Die durch die vorliegende Verordnung errichtete Agentur sollte die Aufgaben der durch die Verordnung (EU) Nr. 1077/2011 errichteten Agentur übernehmen und wahrnehmen und jene Verordnung sollte daher aufgehoben werden.

(50)

Da die Ziele dieser Verordnung, nämlich die Errichtung einer Agentur auf Unionsebene, die für das Betriebsmanagement und gegebenenfalls die Entwicklung von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts zuständig ist, von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs und der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieser Ziele erforderliche Maß hinaus.