(1)

Der Binnenmarkt zählt zu den greifbarsten Errungenschaften der Union. Er ermöglicht Personen, Waren, Dienstleistungen und Kapital, frei zu zirkulieren, und eröffnet Bürgern und Unternehmen somit neue Möglichkeiten. Die vorliegende Verordnung ist ein zentrales Element der Binnenmarktstrategie, die mit der Mitteilung der Kommission vom 28. Oktober 2015 mit dem Titel „Den Binnenmarkt weiter ausbauen: mehr Chancen für die Menschen und die Unternehmen“ geschaffen wurde. Durch diese Strategie soll das volle Potenzial des Binnenmarktes ausgeschöpft werden, indem Bürgern und Unternehmen die Freizügigkeit und der Handel innerhalb der Union, die Niederlassung in einem anderen Mitgliedstaat und die grenzüberschreitende Ausweitung ihrer Geschäftstätigkeit erleichtert wird.

(2)

In der Mitteilung der Kommission vom 6. Mai 2015 mit dem Titel „Strategie für einen digitalen Binnenmarkt für Europa“ wird anerkannt, wie sehr das Internet und digitale Technologien unser Leben und die Art und Weise, wie Bürger und Unternehmen sich informieren, Wissen erwerben, Waren kaufen und Dienstleistungen nutzen, am Markt teilnehmen und arbeiten, verändern und dadurch die Möglichkeit zu Innovation, Wachstum und die Schaffung von Arbeitsplätzen erleichtern. In dieser Mitteilung und entsprechend in mehreren vom Europäischen Parlament verabschiedeten Entschließungen wurde eingeräumt, dass der Bedarf der Bürger und Unternehmen in ihrem eigenen Land sowie grenzüberschreitend besser gedeckt werden könnte, wenn bestehende europäische Portale, Websites, Netze, Dienste und Systeme erweitert und mit verschiedenen nationalen Lösungen verknüpft würden und dadurch eine einheitliche europäische Anlaufstelle — ein einheitliches digitales Zugangstor (im Folgenden „Zugangstor“)– geschaffen würde. In der Mitteilung der Kommission vom 19. April 2016 mit dem Titel „EU-eGovernment-Aktionsplan 2016–2020: Beschleunigung der Digitalisierung der öffentlichen Verwaltung“ ist das Zugangstor als eine der Maßnahmen für 2017 angeführt. Im Bericht der Kommission vom 24. Januar 2017 mit dem Titel „Stärkung der Bürgerrechte in einer Union des demokratischen Wandels — Bericht über die Unionsbürgerschaft 2017“ wird das Zugangstor als Priorität für die Rechte der Unionsbürger angesehen.

(3)

Das Europäische Parlament und der Rat haben wiederholt ein umfassenderes und nutzerfreundlicheres Informationspaket sowie Hilfe für die Bürger und Unternehmen eingefordert, die auf dem Binnenmarkt tätig sind, und sich für die Stärkung und Straffung der Binnenmarktinstrumente ausgesprochen, um die Bedürfnisse der Bürger und Unternehmen bei grenzüberschreitenden Tätigkeiten besser zu erfüllen.

(4)

Mit der vorliegenden Verordnung wird diesen Forderungen nachgekommen, indem den Bürgern und Unternehmen einfacher Zugang zu den Informationen, den Verfahren und den Hilfs- und Problemlösungsdiensten online verschafft wird, die sie benötigen, um ihre Rechte am Binnenmarkt wahrzunehmen. Das Zugangstor könnte dabei behilflich sein, einen Beitrag zu transparenteren Vorschriften und Regelungen in verschiedenen Wirtschafts- und Lebensbereichen, wie Reisen, Ruhestand, Bildung, Beschäftigung, Gesundheit, Verbraucherschutz und Familienrechte, zu leisten. Außerdem könnte es dazu beitragen, das Vertrauen der Verbraucher zu stärken, Wissenslücken in den Bereichen Verbraucherschutz und Binnenmarktvorschriften zu überwinden und die Konformitätskosten für Unternehmen zu senken. Im Wege dieser Verordnung wird ein nutzerfreundliches, interaktives Zugangstor eingerichtet, das die Nutzer auf der Grundlage ihrer Bedürfnisse zu den am besten geeigneten Diensten führen sollte. In diesem Zusammenhang ist die Mitwirkung der Kommission, der Mitgliedstaaten und der zuständigen Behörden vonnöten, damit diese Ziele erreicht werden.

(5)

Durch das Zugangstor sollten die Interaktionen zwischen Bürgern und Unternehmen auf der einen Seite und den zuständigen Behörden auf der anderen Seite erleichtert werden, indem ein Zugang zu Online-Lösungen geschaffen, die alltäglichen Tätigkeiten der Bürger und Unternehmen vereinfacht und die auf dem Binnenmarkt bestehenden Hindernisse minimiert werden. Die Tatsache, dass ein Zugangsportal besteht, das online Zugang zu genauen und aktuellen Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten verschafft, könnte dazu beitragen, die Bekanntheit der verschiedenen bestehenden Online-Dienste bei den Nutzern zu steigern und für diese somit eine Zeit- und Kostenersparnis mit sich bringen.

(6)

Diese Verordnung verfolgt drei Ziele, nämlich jeden zusätzlichen Verwaltungsaufwand für Bürger und Unternehmen, die unter Einhaltung aller nationalen Vorschriften und Verfahren ihre Binnenmarktrechte ausüben oder ausüben wollen (einschließlich der Freizügigkeit der Bürger), zu verringern, Diskriminierung zu verhindern und um das Funktionieren des Binnenmarktes mit Blick auf die Bereitstellung von Informationen, Verfahren sowie Hilfs- und Problemlösungsdiensten sicherzustellen., Da diese Verordnung die Freizügigkeit der Bürger betrifft, was nicht als nebensächlich betrachtet werden kann, sollte sie auf Artikel 21 Absatz 2 und Artikel 114 Absatz 1 AEUV gestützt werden.

(7)

Damit die Bürger und Unternehmen in der Union ihr Recht auf Freizügigkeit im Binnenmarkt ausüben können, sollte die Union spezifische, nichtdiskriminierende Maßnahmen ergreifen, um Bürgern und Unternehmen den Zugang zu hinreichend umfassenden und verlässlichen Informationen über ihre im Unionsrecht festgeschriebenen Rechte und zu Informationen über die anwendbaren nationalen Vorschriften und Verfahren zu erleichtern, die sie einhalten müssen, wenn sie in einen anderen Mitgliedstaat als ihren eigenen ziehen, dort leben oder studieren oder dort ein Unternehmen gründen oder eine Geschäftstätigkeit ausüben. Unter hinreichend umfassender Informationen sollte verstanden werden, dass all diejenigen Informationen zur Verfügung stehen, die die Nutzer benötigen, um Rechte und Verpflichtungen zu kennen sowie zu wissen, welche Vorschriften bezüglich der Tätigkeiten gelten, die sie als grenzüberschreitende Nutzer unternehmen wollen. Die Informationen sollten klar, eindeutig und verständlich formuliert, funktional und auf die Zielgruppe zugeschnitten sein. Informationen über Verfahren sollten alle vorhersehbaren Verfahrensschritte, die für den Benutzer relevant sind, abdecken. Für Bürger und Unternehmen, die sich einem komplexen Regulierungsumfeld gegenübersehen, — wie z. B. in den Bereichen elektronischer Geschäftsverkehr und kollaborative Wirtschaft —, ist es wichtig, dass sie einfach herausfinden können, welche Vorschriften für sie gelten und wie diese Vorschriften auf ihre Tätigkeit Anwendung finden. Unter leichtem und benutzerfreundlichem Zugang zu Informationen wird verstanden, dass die Nutzer in die Lage versetzt werden, Informationen problemlos zu finden, leicht zu erkennen, welche Informationen für ihre besondere Situation relevant sind, und die relevanten Informationen leicht zu verstehen. Die auf nationaler Ebene zur Verfügung zu stellenden Informationen sollten sich nicht nur auf nationale Vorschriften zur Umsetzung des Unionsrechts, sondern auch auf andere nationale Vorschriften beziehen, die gleichermaßen für nicht- grenzüberschreitende und grenzüberschreitende Nutzer gelten.

(8)

Die Bestimmungen in dieser Verordnung über die Bereitstellung von Informationen sollten nicht für die nationalen Justizsysteme gelten, da die für grenzüberschreitende Nutzer in diesem Bereich relevanten Informationen bereits im Europäischen Justizportal verfügbar sind. In einigen von dieser Verordnung erfassten Fällen sollte ein Gericht als eine zuständige Behörde angesehen werden, beispielsweise wenn es Unternehmens-Register verwaltet. Darüber hinaus sollte der Grundsatz der Nichtdiskriminierung auch für Online-Verfahren gelten, die Zugang zu Gerichtsverfahren geben.

(9)

Es liegt auf der Hand, dass Bürger und Unternehmen aus anderen Mitgliedstaaten aufgrund ihrer Unkenntnis der nationalen Vorschriften und Verwaltungssysteme, der Sprachbarriere und der geografischen Entfernung zu den zuständigen Behörden in einem anderen als ihrem Mitgliedstaat im Nachteil sind. Am wirksamsten lassen sich Hindernisse für den Binnenmarkt dadurch überwinden, dass grenzüberschreitenden und nicht- grenzüberschreitenden Nutzern Zugang zu Online-Informationen in einer Sprache gewährt wird, die für sie verständlich ist, um sie in die Lage zu versetzen die Verfahren zur Einhaltung der nationalen Vorschriften vollständig online abwickeln zu können, und ihnen Unterstützung zu bieten, wenn Vorschriften und Verfahren nicht ausreichend klar sind oder wenn sie bei der Ausübung ihrer Rechte auf Hindernisse stoßen.

(10)

Mit einer Reihe von Rechtsakten der Union sollten Lösungen angeboten werden, indem einzige Anlaufstellen pro Wirtschaftszweig -einschließlich der in der Richtlinie 2006/123/EG des Europäischen Parlaments und des Rates (3) vorgesehenen einheitlichen Ansprechpartner — geschaffen wurden, die Online-Informationen, Hilfsdienste und Zugang zu einschlägigen Verfahren für die Erbringung von Dienstleistungen anbieten, sowie Produktinfostellen, die mit der Verordnung (EG) Nr. 764/2008 des Europäischen Parlaments und des Rates (4) geschaffen wurden, und Produktinformationsstellen für das Bauwesen, die mit der Verordnung (EU) Nr. 305/2011 des Europäischen Parlaments und des Rates (5) eingerichtet wurden, die Zugang zu produktspezifischen technischen Vorschriften bieten, und nationale Beratungszentren für berufliche Qualifikationen zur Unterstützung von Fachkräften, die grenzüberschreitend tätig werden, die mit der Richtlinie 2005/36/EG des Europäischen Parlaments und des Rates (6) geschaffen wurden. Außerdem wurden Netze eingerichtet wie z. B. das Netzwerk der europäischen Verbraucherzentren, um das Wissen über Verbraucherrechte in der Union zu fördern und bei der Bearbeitung von Beschwerden im Zusammenhang mit Käufen zu helfen, die in anderen Mitgliedstaaten im Netzwerk auf Reisen oder im Internet getätigt wurden. Überdies zielt das in der Empfehlung der Kommission 2013/461/EU genannte SOLVIT (7) darauf ab, schnelle, wirksame und informelle Lösungen für Einzelpersonen und Unternehmen zu finden, wenn ihnen ihre Rechte im Rahmen des Binnenmarkts von Behörden verwehrt werden. Schließlich wurden mehrere Informationsportale wie „Ihr Europa“ für den Binnenmarkt und das E-Justice-Portal für den Justizbereich eingerichtet, um Nutzer über die Unions- und nationale Vorschriften zu informieren.

(11)

Da sich diese Rechtsakte der Union auf einzelne Wirtschaftszweige beziehen, sind die Bereitstellung von Online-Informationen und Hilfs- und Problemlösungsdiensten sowie die Online-Verfahren für Bürger und Unternehmen nach wie vor sehr fragmentiert. Es bestehen Diskrepanzen bei der Verfügbarkeit von Online-Informationen und -Verfahren, die Dienste weisen Qualitätsmängel auf, und es fehlt an Bewusstsein für diese Informationen und Hilfs- und Problemlösungsdienste. Außerdem ist es für grenzüberschreitende Nutzer schwierig, die Dienste zu finden und Zugang zu ihnen zu erhalten.

(12)

Durch die vorliegende Verordnung sollte ein einheitliches digitales Zugangsportal geschaffen werden, das Bürger und Unternehmen in die Lage versetzen soll, Informationen über die Vorschriften und Anforderungen einzuholen, die sie aufgrund des nationalen und/oder des Unionsrechts einhalten müssen. Das Zugangstor sollte Bürgern und Unternehmen den Kontakt mit den Hilfs- und Problemlösungsdiensten erleichtern, die auf Unions- oder nationaler Ebene bestehen, und diesen Kontakt wirksamer gestalten. Das Zugangstor sollte auch den Zugang zu Online-Verfahren und deren Abschluss vereinfachen. Diese Verordnung sollte keine Auswirkungen auf die bestehenden Rechte und Pflichten nach Unionsrecht oder nationalem Recht in diesen Politikbereichen haben. In Bezug auf die in Anhang II dieser Verordnung aufgeführten Verfahren und die Verfahren nach den Richtlinien 2005/36/EG und 2006/123/EG und nach den Richtlinien 2014/24/EU (8) und 2014/25/EU (9) des Europäischen Parlaments und des Rates sollte diese Verordnung bezüglich des Austausches von Nachweisen zwischen den zuständigen Behörden in den jeweiligen Mitgliedstaaten die Beachtung des Grundsatzes der einmaligen Erfassung unterstützen und das Grundrecht auf den Schutz personenbezogener Daten uneingeschränkt achten.

(13)

Das Zugangstor und sein Inhalt sollten nutzerzentriert und nutzerfreundlich sein. Mit dem Zugangstor sollte darauf abgezielt werden, Überschneidungen zu vermeiden und Verbindungen zwischen bestehenden Diensten zur Verfügung zu stellen. Es sollte Bürgern und Unternehmen die Interaktion mit öffentlichen Stellen auf nationaler und Unionsebene ermöglichen, indem ihnen Gelegenheit gegeben wird, Rückmeldung bezüglich der über das Zugangstor angebotenen Dienste zu geben und dazu Stellung zu nehmen, wie gut der Binnenmarkt ihrer Erfahrung nach funktioniert. Das Instrument für Rückmeldungen sollte den Nutzer, in einer Weise, die es ihm erlaubt anonym zu bleiben, in die Lage versetzen, auf festgestellte Probleme, Mängel und festgestellten Bedarf hinzuweisen, damit die Qualität der Dienste kontinuierlich verbessert werden kann.

(14)

Ob das Zugangstor Erfolg hat, wird von den gemeinsamen Anstrengungen der Kommission und der Mitgliedstaaten abhängen. Zu dem Zugangstor sollten Nutzer über eine gemeinsame, in das bestehende Portal „Ihr Europa“ integrierte Nutzerschnittstelle gelangen, die von der Kommission zu verwalten ist. Auf der gemeinsamen Nutzerschnittstelle sollten Informationen, Verfahren und Hilfs- oder Problemlösungsdienste verlinkt sein, die auf den Portalen der zuständigen Behörden der Mitgliedstaaten und der Kommission bereitstehen. Um die Nutzung des Zugangstors zu erleichtern, sollte die gemeinsame Nutzerschnittstelle in allen Amtssprachen der Organe der Union (im Folgenden „Amtssprachen der Union“) verfügbar sein. Auf dem bestehenden Portal „Ihr Europa“ und seiner Eingangsseite, das bzw. die an die Anforderungen des Zugangstors angepasst ist, sollte in Bezug auf die zur Verfügung gestellten Informationen dieser mehrsprachige Ansatz gewahrt werden. Der Betrieb des Zugangstors sollte durch technische Instrumente unterstützt werden, die von der Kommission in enger Zusammenarbeit mit den Mitgliedstaaten entwickelt werden.

(15)

In der Charta für elektronische einheitliche Ansprechpartner im Sinne der Richtlinie 2006/123/EG, die vom Rat 2013 angenommen wurde, haben sich die Mitgliedstaaten freiwillig verpflichtet, bei der Bereitstellung von Informationen über die einheitlichen Ansprechpartner einen nutzerzentrierten Ansatz zu verfolgen, um Bereiche abzudecken, die für Unternehmen von besonderer Bedeutung sind, einschließlich Mehrwertsteuer, Einkommensteuer, soziale Sicherheit und Arbeitsrecht. Auf Grundlage der Charta und in Anbetracht der Erfahrungen mit dem Portal „Ihr Europa“ sollten die Informationen auch eine Beschreibung der Hilfs- und Problemlösungsdienste umfassen. Bürger und Unternehmen sollten die Möglichkeit haben sich an diese Dienste wenden, falls sie Probleme haben, die Informationen zu verstehen, sie auf ihre Situation anzuwenden oder ein Verfahren abzuschließen.

(16)

In dieser Verordnung sollten die Informationsbereiche aufgeführt werden, die für Bürger und Unternehmen bei der Ausübung ihrer Rechte und der Erfüllung ihrer Pflichten im Binnenmarkt relevant sind. Für diese Bereiche sollten hinreichend umfassende Informationen auf nationaler Ebene — einschließlich der regionalen und lokalen Ebene — und auf Unionsebene zur Verfügung gestellt werden, mit denen die geltenden Vorschriften und Pflichten sowie die Verfahren erläutert werden, die Bürger und Unternehmen befolgen müssen, um diesen Vorschriften und Pflichten nachzukommen. Um die Qualität der angebotenen Dienste sicherzustellen, sollten die über das Zugangstor zur Verfügung gestellten Informationen klar, genau und aktuell sein, auf komplizierte Fachsprache sollte möglichst weitgehend verzichtet werden, und die Verwendung von Akronymen sollte sich auf die vereinfachten und leicht verständlichen Bezeichnungen beschränken, zu deren Verständnis kein Vorwissen über die Rechtsfrage oder den Rechtsbereich erforderlich ist. Diese Informationen sollten in einer Form zur Verfügung gestellt werden, dass die Nutzer die für ihre Situation geltenden grundlegenden Vorschriften und Anforderungen in diesen Bereichen problemlos verstehen können. Die Nutzer sollten zudem darüber informiert werden, dass in bestimmten Mitgliedstaaten keine nationalen Vorschriften über die in Anhang I aufgeführten Informationsbereiche bestehen, was insbesondere dann gilt, wenn in anderen Mitgliedstaaten in diesen Bereichen nationale Rechtsvorschriften gelten. Entsprechende Informationen über das Fehlen nationaler Vorschriften könnten in das Portal „Ihr Europa“ aufgenommen werden.

(17)

Nach Möglichkeit sollten Informationen, die die Kommission bereits im Rahmen des bestehenden Unionsrechts oder freiwilliger Vereinbarungen, — wie zum Beispiel für das EURES-Portal eingeholte Informationen, das mit der Verordnung (EU) 2016/589 des Europäischen Parlaments und des Rates (10) eingerichtet wurde, das Europäische Justizportal, das mit der Entscheidung 2001/470/EG des Rates (11) eingerichtet wurde, oder die Datenbank der reglementierten Berufe, die mit der Richtlinie 2005/36/EG eingerichtet wurde —, von den Mitgliedstaaten eingeholt hat, dazu verwendet werden, einen Teil der Informationen zu decken, die den Bürgern und Unternehmen auf Ebene der Union und auf nationaler Ebene gemäß der vorliegenden Verordnung zugänglich zu machen sind. Die Mitgliedstaaten sollten nicht verpflichtet sein, auf ihren nationalen Websites Informationen aufzuführen, die bereits in den einschlägigen, von der Kommission verwalteten Datenbanken zu finden sind. Müssen Mitgliedstaaten bereits aufgrund anderer Rechtsakte der Union Online-Informationen bereitstellen, wie der Richtlinie 2014/67/EU des Europäischen Parlaments und des Rates (12), so sollte es ausreichen, wenn diese Mitgliedstaaten Links zu den bestehenden Online-Informationen bereitstellen. Wenn bestimmte Politikbereiche durch das Unionsrecht bereits vollständig harmonisiert wurden — beispielsweise die Verbraucherrechte —, sollten die auf Unionsebene bereitgestellten Informationen in der Regel ausreichen, um es den Nutzern zu ermöglichen, die für sie relevanten Rechte oder Pflichten zu verstehen In solchen Fällen sollten die Mitgliedstaaten lediglich zusätzliche Informationen über ihre nationalen Verwaltungsverfahren und Hilfsdienste odersonstige nationale Verwaltungsregelungen bereitstellen müssen, wenn das für den Nutzer relevant ist. Beispielsweise sollten Informationen über Verbraucherrechte nicht das Vertragsrecht berühren, vielmehr sollten die Nutzer über ihre im Unionsrecht und im einzelstaatlichen Recht verankerten Rechte im Zusammenhang mit dem Geschäftsverkehr unterrichtet werden.

(18)

Durch die vorliegende Verordnung sollte die Binnenmarktdimension von Online-Verfahren gestärkt und dadurch auch zur Digitalisierung des Binnenmarkts beigetragen werden, indem der allgemeine Grundsatz der Nichtdiskriminierung unter anderem beim Zugang von Bürgern und Unternehmen zu Online-Verfahren gewahrt wird, die bereits auf nationaler Ebene auf der Grundlage des Unions- oder des nationalen Rechts bestehen und bei Verfahren, die gemäß der vorliegenden Verordnung vollständig online verfügbar gemacht werden müssen. Wenn ein Nutzer in einer Situation, die ausschließlich auf einen einzigen Mitgliedstaat begrenzt ist, in diesem Mitgliedstaat in einem in der vorliegenden Verordnung erfassten Bereich Online-Zugang zu einem Verfahren hat und dieses online abwickeln kann, sollte auch ein grenzüberschreitender Nutzer — ohne diskriminierende Hindernisse — auch Online-Zugang zu dem Verfahren haben und dieses online abwickeln können, und zwar entweder mit Hilfe derselben technischen Lösung oder einer alternativen, technisch getrennten Lösung, die zum selben Ergebnis führt. Solche Hindernisse könnten in Form von nationale Lösungen bestehen, wie etwa, wenn in Feldern eine inländische Telefonnummer, eine inländische Telefonvorwahl oder eine inländische Postleitzahl eingegeben werden muss, Gebühren nur über Systeme gezahlt werden können, die grenzüberschreitende Zahlungen nicht zulassen, ausreichende Erklärungen nicht in einer Sprache vorliegen, die von grenzüberschreitenden Nutzern verstanden wird, elektronische Nachweise von Behörden in anderen Mitgliedstaaten nicht eingereicht werden können und in einem anderen Mitgliedstaat ausgestellte elektronische Identifizierungsmittel nicht akzeptiert werden. Die Mitgliedstaaten sollten Lösungen für diese Hindernisse zu Verfügung stellen.

(19)

Wenn Nutzer Online-Verfahren grenzüberschreitend abwickeln, sollten sie alle relevanten Erläuterungen in einer Amtssprache der Union abrufen können, die allgemein von der größtmöglichen Zahl an grenzüberschreitenden Nutzern verstanden wird. Das bedeutet nicht, dass die Mitgliedstaaten verpflichtet sind ihre Verwaltungsformulare in Verbindung mit dem Verfahren oder das Ergebnis des Verfahrens in diese Sprache übersetzen zu müssen. Den Mitgliedstaaten wird jedoch nahegelegt, technische Lösungen zu verwenden, die es den Nutzern in so vielen Fällen wie möglich erlauben, die Verfahren unter Achtung der Vorschriften des Mitgliedstaats über die Verwendung von Sprachen so weit wie möglich in dieser Sprache abzuwickeln.

(20)

Die nationalen Online-Verfahren, die für grenzüberschreitende Nutzer für die Wahrnehmung ihrer Binnenmarktrechte relevant sind, hängt davon ab, ob diese ihren Wohn- oder Geschäftssitz in dem betreffenden Mitgliedstaat haben oder ob sie von ihrem Wohn- oder Geschäftssitz in einem anderen Mitgliedstaat aus Zugang zu den Verfahren dieses Mitgliedstaats haben wollen. Durch die vorliegende Verordnung sollten die Mitgliedstaaten nicht daran gehindert werden, zu verlangen, dass grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz in ihrem Hoheitsgebiet haben, über eine nationale Identifizierungsnummer verfügen müssen, um Zugang zu den nationalen Online-Verfahren zu erhalten, sofern das nicht mit einem unzumutbaren zusätzlichen Aufwand oder unzumutbaren zusätzlichen Kosten für diese Nutzer verbunden ist. Für grenzüberschreitende Nutzer, die ihren Wohn- oder Geschäftssitz nicht in dem betreffenden Mitgliedstaat haben, müssen nationale Online-Verfahren, die für die Wahrnehmung ihrer Binnenmarktrechte nicht relevant sind, beispielsweise die Registrierung zur Inanspruchnahme lokaler Dienstleistungen wie Abfallbeseitigung und Parkausweise, nicht in vollem Umfang online zugänglich gemacht werden.

(21)

Die vorliegende Verordnung sollte auf der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates (13) aufbauen, in der die Bedingungen festgelegt sind, zu denen die Mitgliedstaaten bestimmte elektronische Identifizierungsmittel für natürliche und juristische Personen anerkennen, die einem notifizierten elektronischen Identifizierungssystem eines anderen Mitgliedstaats unterliegen. Die Verordnung (EU) Nr. 910/2014 legt fest, unter welchen Voraussetzungen es Nutzern erlaubt ist, ihre elektronischen Identifizierungs- und Authentifizierungsmittel für den Online-Zugang zu öffentlichen Diensten in grenzüberschreitenden Situationen zu nutzen. Organe, Einrichtungen und sonstige Stellen der Union werden dazu angehalten, elektronische Identifizierungs- und Authentifizierungsmittel für die Verfahren zu nutzen, für die sie verantwortlich sind.

(22)

Gemäß einer Reihe wirtschaftszweigspezifischer Unionsrechtsakte wie der Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU und 2014/25/EU, müssen Verfahren vollständig online verfügbar sein. In der vorliegenden Verordnung sollte zudem hinsichtlich einiger anderer Verfahren, die für die meisten Bürger und Unternehmen für die grenzüberschreitende Wahrnehmung ihrer Rechte und Erfüllung ihrer Pflichten von zentraler Bedeutung sind, die Anforderung gestellt werden, dass sie vollständig online verfügbar sind.

(23)

Damit Bürger und Unternehmen ohne unnötigen zusätzlichen Verwaltungsaufwand die Vorteile des Binnenmarkts unmittelbar nutzen können, sollte in der vorliegenden Verordnung gefordert werden, dass die Nutzerschnittstelle bei bestimmten in Anhang II dieser Verordnung aufgeführten Schlüsselverfahren für grenzüberschreitende Nutzer vollständig digitalisiert wird. Diese Verordnung sollte zudem festgelegen, anhand welcher Kriterien bestimmt werden kann, ob diese Verfahren als vollständig online verfügbar gelten können. Die Verpflichtung, solch ein Verfahren vollständig online verfügbar zu machen, sollte nur gelten, wenn das Verfahren in dem jeweiligen Mitgliedstaat eingeführt wurde. Diese Verordnung sollte weder auf die Ersteintragung einer Geschäftstätigkeit noch auf die Verfahren zur Gründung von Gesellschaften oder von Unternehmen als juristische Personen noch auf spätere Anmeldungen oder Einreichungen dieser Gesellschaften oder Unternehmen Anwendung finden, da solche Verfahren eines umfassenden Ansatzes bedürfen, durch den digitale Lösungen im gesamten Lebenszyklus von Unternehmen gefördert werden sollen. Wenn sich Unternehmen in einem anderen Mitgliedstaat niederlassen, müssen sie sich und ihre Angestellten bei einem Sozialversicherungs- und einem Versicherungssystem registrieren und Beitragszahlungen zu beiden Systemen leisten. Möglicherweise müssen sie ihre Geschäftstätigkeiten anmelden und Genehmigungen für Änderungen ihrer Geschäftstätigkeiten einholen oder diese registrieren lassen. Diese Verfahren gelten für Unternehmen in vielen Wirtschaftszweigen, weswegen die Forderung angemessen ist, diese Verfahren online zur Verfügung zu stellen.

(24)

In dieser Verordnung sollte klargestellt werden, was es bedeutet, ein Verfahren vollständig online verfügbar zu machen. Ein Verfahren sollte dann als vollständig online verfügbar gelten, wenn der Nutzer sämtliche Schritte der Interaktion mit der zuständigen Behörde („Frontoffice“), vom Zugang bis zum Abschluss, elektronisch, aus der Ferne und über einen Online-Dienst vornehmen kann. Dieser Online-Dienst sollte den Nutzer durch eine Liste aller zu erfüllenden Anforderungen und aller zu übermittelnden Nachweise führen, ihn in die Lage versetzen, die erforderlichen Angaben zu machen und den Nachweis der Einhaltung aller gestellten Anforderungen zu erbringen, und eine automatische Empfangsbestätigung an den Nutzer übermitteln, sofern das Ergebnis des Verfahrens nicht unmittelbar übermittelt wird. Den zuständigen Behörden steht es dennoch frei, den Nutzer direkt zu kontaktieren, wenn für die Abwicklung des Verfahrens weiterer Klärungsbedarf besteht. Die zuständige Behörde sollte dem Nutzer das Ergebnis des Verfahrens gemäß dieser Verordnung nach Möglichkeit ebenfalls auf elektronischem Weg übermitteln, wenn das nach geltendem Unionsrecht und einzelstaatlichem Recht möglich ist.

(25)

Diese Verordnung sollte nicht den Inhalt der in Anhang II aufgeführten Verfahren, die auf nationaler, regionaler oder lokaler Ebene aufgestellt werden, beeinträchtigen, und es werden mit ihr keine materiellen oder verfahrensrechtlichen Vorschriften in den Bereichen festgelegt, die unter Anhang II fallen, einschließlich von Steuerangelegenheiten. Zweck dieser Verordnung ist es, die technischen Anforderungen festzulegen, um dafür zu sorgen, dass solche Verfahren, sofern sie in den betreffenden Mitgliedstaaten eingerichtet wurden, umfassend online zur Verfügung gestellt werden.

(26)

Diese Verordnung sollte nicht die Zuständigkeiten nationaler Behörden während eines Verfahrens berühren, einschließlich der Überprüfung der Richtigkeit und Gültigkeit von übermittelten Informationen und Nachweisen und der Überprüfung der Echtheit, wo die Nachweise anders als mittels technischer Systeme übermittelt wurden, die auf dem Grundsatz der einmaligen Erfassung beruhen. Diese Verordnung sollte auch nicht die Verfahrensabläufe innerhalb und zwischen den zuständigen Behörden („Backoffice“) beeinträchtigen, unabhängig davon, ob diese Abläufe digitalisiert sind oder nicht. Wenn es im Rahmen einiger der Verfahren zur Registrierung von Änderungen der Geschäftstätigkeiten notwendig ist, sollten die Mitgliedstaaten auch weiterhin die Einbindung von Notaren oder Rechtsanwälten vorschreiben können, die möglicherweise Mittel zur Überprüfung, einschließlich von Videokonferenzen oder anderen Online-Mitteln, nutzen wollen, die eine audiovisuelle Verbindung in Echtzeit ermöglichen. Eine entsprechende Einbindung sollte jedoch eine vollständige online-Abwicklung von Verfahren zur Registrierung solcher Änderungen nicht verhindern.

(27)

In manchen Fällen wird von Nutzern möglicherweise verlangt, Nachweise zum Beweis von Sachverhalten zu erbringen, die nicht auf elektronischem Weg festgestellt werden können. Hierzu zählen beispielsweise ärztliche Bescheinigungen, der Nachweis darüber, dass eine Person am Leben ist, der Nachweis der Verkehrstauglichkeit von Kraftfahrzeugen oder die Bestätigung der Fahrgestellnummer. Sofern der Nachweis für solche Sachverhalte in elektronischer Form erbracht werden kann, sollte das keine Ausnahme von dem Grundsatz bilden, dass ein Verfahren vollständig online verfügbar gemacht werden sollte. In anderen Fällen ist es möglicherweise weiterhin notwendig, dass Nutzer eines Verfahrens angesichts des aktuellen Stands der technischen Entwicklung im Rahmen des Online-Verfahrens nach wie vor persönlich bei einer zuständigen Behörde vorstellig werden. Wenn sich solche Ausnahmen nicht aus dem Unionsrecht ergeben, sollten sie auf Fälle beschränkt sein, in denen das aus zwingenden Gründen des Allgemeininteresses in den Bereichen öffentliche Sicherheit, öffentliche Gesundheit oder Bekämpfung von missbräuchlichem Verhalten gerechtfertigt ist. Aus Gründen der Transparenz sollten die Mitgliedstaaten der Kommission und den anderen Mitgliedstaaten Informationen über solche Ausnahmen sowie die Gründe und Umstände zur Verfügung stellen, aus bzw. unter denen diese Ausnahmen Anwendung finden können. Die Mitgliedstaaten sollten nicht verpflichtet sein, über jeden Einzelfall Bericht zu erstatten, in dem ausnahmsweise physische Anwesenheit erforderlich war, sondern die nationalen Bestimmungen übermitteln, die in solchen Fällen gelten. Bewährte Verfahren auf nationaler Ebene und technische Entwicklungen, die eine weitere diesbezügliche Digitalisierung ermöglichen, sollten regelmäßig in einer Koordinierungsgruppe für das Zugangstor erörtert werden.

(28)

In grenzüberschreitenden Fällen könnte das Verfahren zur Eintragung einer Adressenänderung aus zwei getrennten Verfahren bestehen, und zwar einem im Herkunftsmitgliedstaat zur Abmeldung von der alten Anschrift und einem im Bestimmungsmitgliedstaat zur Anmeldung an der neuen Anschrift. Beide Verfahren sollten in den Anwendungsbereich dieser Verordnung fallen.

(29)

Da die Digitalisierung von Anforderungen, Verfahren und Formalitäten zur Anerkennung beruflicher Qualifikationen bereits in der Richtlinie 2005/36/EG geregelt ist, sollte diese Verordnung nur die Digitalisierung des Verfahrens zur Beantragung der akademischen Anerkennung von Diplomen, Prüfungszeugnissen oder anderen Nachweisen über abgeschlossene Ausbildungen in Bezug auf Personen einschließen, die ein Studium beginnen oder fortsetzen oder einen akademischen Titel verwenden möchten, abgesehen von den Formalitäten im Zusammenhang mit der Anerkennung von beruflichen Qualifikationen.

(30)

Die vorliegende Verordnung sollte nicht die Vorschriften zur Koordinierung der nationalen Systeme der sozialen Sicherheit gemäß Verordnung (EG) Nr. 883/2004 (14) und Verordnung (EG) Nr. 987/2009 (15) des Europäischen Parlaments und des Rates berühren, in denen die Rechte und Pflichten der Versicherten und der Sozialversicherungsträger sowie die im Bereich der Koordinierung der sozialen Sicherheit geltenden Verfahren festgelegt sind.

(31)

Auf Unions- und nationaler Ebene wurden mehrere Netze und Dienste eingerichtet, um Bürger und Unternehmen bei ihrer grenzüberschreitenden Geschäftstätigkeit zu unterstützen. Es ist wichtig, dass diese Dienste, einschließlich bestehender, auf Unionsebene eingerichteter Hilfs- oder Problemlösungsdienste, wie beispielsweise Europäische Verbraucherzentren, „Ihr Europa — Beratung“, SOLVIT, Helpdesk für Rechte des geistigen Eigentums, Europe Direct und Enterprise Europe Network, Teil des Zugangstors sind, damit gewährleistet ist, dass alle potenziellen Nutzer sie finden können. Die in Anhang III aufgeführten Dienste wurden im Wege verbindlicher Rechtsakte der Union eingerichtet, andere Dienste wiederum werden auf freiwilliger Basis betrieben. Die Dienste, die im Wege verbindlicher Rechtsakte der Union eingerichtet wurden, sollten verpflichtet sein, die in der vorliegenden Verordnung festgelegten Qualitätsanforderungen einzuhalten. Auf rein freiwilliger Basis betriebene Dienste sollten diese Qualitätsanforderungen erfüllen, wenn beabsichtig wird, sie über das Zugangstor zur Verfügung zu stellen. Der Umfang und die Art dieser Dienste, ihre Verwaltungsregelungen, bestehende Fristen und die freiwillige, vertragliche oder sonstige Basis ihrer Tätigkeit sollten durch diese Verordnung nicht berührt werden. Wenn zum Beispiel die von ihnen geleistete Hilfe informeller Art ist, sollte diese Verordnung nicht die Umwandlung dieser Hilfe in eine verbindliche Rechtsberatung bewirken.

(32)

Außerdem sollten die Mitgliedstaaten und die Kommission in der Lage sein, weitere nationale Hilfs- oder Problemlösungsdienste in das Zugangstor aufzunehmen, die von den zuständigen Behörden, von privaten oder halböffentlichen Einrichtungen oder von öffentlichen Stellen, z. B. Handelskammern oder nichtstaatlichen Hilfsdiensten für Bürger, gemäß den Bedingungen der vorliegenden Verordnung angeboten werden. Grundsätzlich sollten die zuständigen Behörden Verantwortung dafür tragen, die Anfragen von Bürgern und Unternehmen hinsichtlich geltender Regeln und Verfahren zu beantworten, die von Online-Diensten nicht vollumfänglich bearbeitet werden können. In sehr spezifischen Bereichen allerdings und wenn die von privaten oder halböffentlichen Einrichtungen angebotenen Dienste den Anforderungen der Nutzer gerecht werden, können die Mitgliedstaaten der Kommission vorschlagen, dass sie diese Dienste über das Zugangstor zur Verfügung stellt, sofern diese Dienste alle in den Bedingungen dieser Verordnung erfüllen und sich nicht mit den über das Zugangstor bereits verfügbaren Hilfs- oder Problemlösungsdiensten überlappen.

(33)

Um den Nutzern beim Auffinden des jeweils angemessenen Dienstes behilflich zu sein, sollte die vorliegende Verordnung eine Suchmaschine für Hilfsdienste vorsehen, die die Nutzer automatisch zum richtigen Dienst führt.

(34)

Der Erfolg des Zugangstors hängt wesentlich von der Einhaltung bestimmter Mindestanforderungen an die Qualität ab, mit der die Verlässlichkeit der Informationen oder Dienste gewährleistet wird, da die Glaubwürdigkeit des Portals als Ganzes anderenfalls erheblich beeinträchtigt würde. Mit Ziel der Einhaltung der Anforderungen soll vorrangig gewährleistet werden, dass die Informationen oder Dienste in einer klaren und nutzerfreundlichen Weise präsentiert werden. Es ist Sache der Mitgliedstaaten, zu bestimmen, wie die Informationen den Nutzern in den jeweiligen Phasen des Verfahrens präsentiert werden, um dieses Ziel zu erreichen. So ist es für die Nutzer beispielsweise zwar hilfreich, über die allgemein verfügbaren Rechtsbehelfe für den Fall eines negativen Ausgangs des Verfahrens informiert zu sein, bevor sie ein Verfahren einleiten, es ist jedoch viel nutzerfreundlicher, solche spezifischen Informationen über die Schritte, die in einem solchen Fall unternommen werden können, am Ende des Verfahrens zur Verfügung zu stellen.

(35)

Für grenzüberschreitende Nutzer kann der Zugang zu Informationen deutlich verbessert werden, wenn die Informationen in einer Amtssprache der Union, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, abgefasst sind. Bei dieser Sprache dürfte es sich in den meisten Fällen um die Fremdsprache handeln, die unionsweit von Nutzern am häufigsten erlernt wird, aber in einigen Fällen, und insbesondere dann, wenn die Informationen auf lokaler Ebene von kleinen Gemeinschaften in Grenznähe eines Mitgliedstaats zur Verfügung gestellt werden, kann es sich bei der geeignetsten Sprache um die Erstsprache der grenzüberschreitenden Nutzer im benachbarten Mitgliedstaat handeln. Die Übersetzung aus der Amtssprache oder den Amtssprachen des betreffenden Mitgliedstaats in eine weitere Amtssprache der Union sollte die Informationen der ausgangssprachlichen Fassung(en) inhaltlich korrekt wiedergeben. Die Übersetzung kann auf die Informationen beschränkt werden, die die Nutzer benötigen, um die für ihre Situation geltenden grundsätzlichen Vorschriften und Anforderungen zu verstehen. Die Mitgliedstaaten sollten zwar darin bestärkt werden, möglichst viele Informationen in eine Amtssprache der Union zu übersetzen, die von der größtmöglichen Anzahl grenzüberschreitender Nutzer weitgehend verstanden wird, der Umfang dieser Verordnung zur übersetzenden Informationen hängt jedoch von den hierzu zur Verfügung stehenden finanziellen Mitteln ab, vor allem jenen des Unionshaushalts. Die Kommission sollte die entsprechenden Vorkehrungen treffen, um für eine effiziente Bereitstellung von Übersetzungen an die Mitgliedstaaten auf deren Ersuchen zu sorgen. Die Koordinierungsgruppe für das Zugangstor sollte erörtern, in welche Amtssprache bzw. Amtssprachen der Union diese Informationen übersetzt werden sollten, und Leitlinien hierzu zur Verfügung stellen.

(36)

Gemäß der Richtlinie (EU) 2016/2102 des Europäischen Parlaments und des Rates (16) müssen die Mitgliedstaaten sicherstellen, dass die Websites ihrer öffentlichen Stellen gemäß den Grundsätzen der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit zugänglich sind und dass sie den in dieser Richtlinie festgelegten Anforderungen genügen. Die Kommission und die Mitgliedstaaten sollten die Einhaltung des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen, insbesondere der Artikel 9 und 21, gewährleisten, und um den Zugang zu Informationen durch Personen mit geistigen Behinderungen zu fördern, sollten Alternativen in leicht lesbarer Sprache möglichst weitgehend gemäß dem Grundsatz der Verhältnismäßigkeit zur Verfügung gestellt werden. Die Mitgliedstaaten haben sich durch die Ratifizierung und die Union durch den Abschluss (17) des Übereinkommens verpflichtet, angemessene Maßnahmen zu ergreifen, um für Menschen mit Behinderungen den gleichberechtigten Zugang zu neuen Informations- und Kommunikationstechnologien und -systemen zu gewährleisten, indem der Zugang zu Informationen durch Personen mit geistigen Behinderungen dadurch erleichtert wird, dass Alternativen in leicht lesbarer Sprache möglichst weit gehend und proportional zur Verfügung gestellt werden.

(37)

Obwohl die Richtlinie (EU) 2016/2102 nicht für Websites und mobile Anwendungen der Organe, Einrichtungen und sonstigen Stellen der Union gilt, sollte die Kommission sicherstellen, dass die gemeinsame Nutzerschnittstelle und in ihre Zuständigkeit fallende Webseiten, die über das Zugangstor verfügbar gemacht werden sollen, für Personen mit Behinderungen zugänglich sind, d. h. dass sie wahrnehmbar, bedienbar, verständlich und robust sein müssen. Wahrnehmbarkeit bedeutet, dass die Informationen und Komponenten der gemeinsamen Nutzerschnittstellen den Nutzern in einer Weise dargestellt werden müssen, dass sie sie wahrnehmen können; Bedienbarkeit bedeutet, dass die Nutzer die Komponenten der gemeinsamen Nutzerschnittstelle und die Navigation handhaben können müssen; Verständlichkeit bedeutet, dass die Informationen und die Handhabung der gemeinsamen Nutzerschnittstelle verständlich sein müssen, und Robustheit bedeutet, dass die Inhalte robust genug sein müssen, damit sie zuverlässig von einer Vielfalt von Benutzeragenten, einschließlich assistiver Technologien, interpretiert werden können. Die Kommission wird im Sinne der Wahrnehmbarkeit, Bedienbarkeit, Verständlichkeit und Robustheit dazu angehalten, den einschlägigen harmonisierten Normen zu entsprechen.

(38)

Zur Erleichterung der Zahlung von Gebühren die im Rahmen eines Online-Verfahrens oder für die Erbringung von Hilfs- oder Problemlösungsdiensten anfallen, sollten grenzüberschreitende Nutzer in der Lage sein, Überweisungen oder Lastschriften gemäß der Verordnung (EU) Nr. 260/2012 des Europäischen Parlaments und des Rates (18) oder andere allgemein verwendete grenzüberschreitende Zahlungsmittel, einschließlich Debit- oder Kreditkarten, zu nutzen.

(39)

Die Nutzer sollten erfahren, wie viel Zeit ein Verfahren voraussichtlich in Anspruch nehmen kann. In diesem Zusammenhang sollten die Nutzer über einzuhaltende Fristen oder Regelungen zur stillschweigenden Zustimmung oder anderen Rechtswirkungen bei Schweigen der Verwaltung informiert werden oder, falls solche nicht anwendbar sind, zumindest über die durchschnittliche, geschätzte oder voraussichtliche Zeit, die das betreffende Verfahren in der Regel erfordert. Solche Schätzungen oder Angaben sollten es den Nutzern lediglich ermöglichen, ihre Aktivitäten oder anschließenden administrativen Schritte zu planen und sollten keine Rechtswirkung entfalten.

(40)

Die vorliegende Verordnung sollte auch die Überprüfung der von den Nutzern elektronisch vorgelegten Nachweise ermöglichen, wenn die ausstellende zuständige Behörde diese Nachweise ohne elektronisches Siegel oder Zertifizierung ausgestellt hat oder das in der vorliegenden Verordnung eingeführte technische Instrument oder ein anderes System zum direkten Austausch oder zur Überprüfung von Nachweisen zwischen zuständigen Behörden verschiedener Mitgliedstaaten nicht verfügbar ist. Für solche Fälle sollte die Verordnung einen wirksamen Mechanismus für die Verwaltungszusammenarbeit zwischen den zuständigen Behörden der Mitgliedstaaten vorsehen, der auf dem Binnenmarktinformationssystem (IMI) beruht, das im Wege der Verordnung (EU) Nr. 1024/2012 des Europäischen Parlaments und des Rates eingerichtet wurde (19). In solchen Fällen sollte die Entscheidung einer zuständigen Behörde zur Nutzung des IMI freiwillig erfolgen, aber sobald diese Behörde einen Antrag auf Informationen oder Zusammenarbeit über das IMI übermittelt hat, sollte die ersuchte zuständige Behörde zur Zusammenarbeit und Antwort verpflichtet sein. Der Antrag kann über das IMI entweder an eine zuständige Behörde, die den Nachweis erstellt, oder an die zentrale Behörde, die die Mitgliedstaaten gemäß ihren eigenen Verwaltungsbestimmungen festlegen, gesendet werden. Um unnötige Doppelerfassungen zu vermeiden, und weil die Verordnung (EU) 2016/1191 des Europäischen Parlaments und des Rates (20) einen Teil der Nachweise betrifft, die für die in dieser Verordnung geregelten Verfahren relevant sind, können die Bestimmungen für die Zusammenarbeit im Rahmen des IMI gemäß der Verordnung (EU) 2016/1191 auch für die Zwecke anderer Nachweise angewandt werden, die in Verfahren benötigt werden, die unter diese Verordnung fallen. Um die Einrichtungen und sonstigen Stellen der Union zu IMI-Akteuren zu machen, sollte die Verordnung (EU) Nr. 1024/2012 geändert werden.

(41)

Online-Dienste zuständiger Behörden sind von wesentlicher Bedeutung, um die Qualität und die Sicherheit der Dienste für Bürger sowie Unternehmen zu verbessern. Behörden in Mitgliedstaaten arbeiten zunehmend darauf hin, Daten wiederzuverwenden und dadurch darauf zu verzichten, Bürger sowie Unternehmen mehr als einmal um Vorlage derselben Information zu ersuchen. Die Wiederverwendung von Daten sollte auch für grenzüberschreitende Nutzer vereinfacht werden, um ihnen zusätzlichen Aufwand zu ersparen.

(42)

Um den rechtmäßigen grenzüberschreitenden Austausch von Nachweisen und Informationen durch die unionsweite Anwendung des Grundsatzes der einmaligen Erfassung zu ermöglichen, sollten bei der Anwendung dieser Verordnung und des Grundsatzes der einmaligen Erfassung alle anwendbaren Datenschutzvorschriften, einschließlich des Grundsatzes der Datenminimierung, der Richtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit, der Notwendigkeit, der Verhältnismäßigkeit und der Zweckbindung eingehalten werden. Ihre Umsetzung sollte auch vollumfänglich die Grundsätze der eingebauten Sicherheit und des eingebauten Datenschutzes einhalten. und den Grundrechten von Einzelpersonen, einschließlich der Grundrechte, die sich auf Fairness und Transparenz beziehen, Rechnung tragen.

(43)

Die Mitgliedstaaten sollten sicherstellen, dass die Nutzer von Verfahren klare Informationen darüber erhalten, wie die sie betreffenden personenbezogenen Daten gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (21) und den Artikeln 15 und 16 der Verordnung (EU) 2018/1725 (22) verarbeitet werden.

(44)

Um die Nutzung von Online-Verfahren weiter zu vereinfachen, sollte die vorliegende Verordnung gemäß dem Grundsatz der einmaligen Erfassung die Grundlage für die Schaffung und Verwendung eines vollständig funktionsfähigen, sicheren technischen Systems für den automatisierten grenzüberschreitenden Austausch von Nachweisen zwischen den am Verfahren beteiligten Akteuren schaffen, sofern dieser von Bürgern und Unternehmen ausdrücklich gewünscht wird. Umfasst der Austausch von Nachweisen personenbezogene Daten, so sollte der Antrag als ausdrücklich gelten, wenn er einen aus freien Stücken erteilten, spezifischen, faktengestützten und unzweideutigen Hinweis — entweder durch eine Erklärung oder durch eine bestätigende Handlung — auf den Wunsch der Person enthält, dass die einschlägigen personenbezogenen Daten ausgetauscht werden sollen. Ist der Nutzer nicht die von den Daten betroffene Person, so darf das Online-Verfahren seine Rechte gemäß der Verordnung (EU) 2016/679 nicht beeinträchtigen. Die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung sollte dazu führen, dass Bürger und Unternehmen Behörden dieselben Daten nicht mehr als einmal vorlegen müssen und dass diese Daten auf Wunsch des Nutzers auch für die Zwecke der grenzüberschreitenden Abwicklung von Online-Verfahren, an denen grenzüberschreitende Nutzer beteiligt sind, verwendet werden können. Die Verpflichtung, das technische System für den automatisierten Austausch von Nachweisen zwischen den verschiedenen Mitgliedstaaten zu nutzen, sollte für die zuständige ausstellende Behörden nur gelten, wenn die Behörden in ihrem Mitgliedstaat rechtmäßig Nachweise in einem elektronischen Format ausstellen, das einen automatisierten Austausch ermöglicht.

(45)

Jeder grenzüberschreitende Austausch von Nachweisen sollte auf eine geeignete Rechtsgrundlage gestützt sein, wie in den Richtlinien 2005/36/EG, 2006/123/EG, 2014/24/EU oder 2014/25/EU, oder — für die in Anhang II aufgeführten Verfahren — in anderen geltenden Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt.

(46)

Es ist angemessen, dass diese Verordnung als allgemeine Regel festlegt, dass der grenzüberschreitende automatisierte Austausch von Nachweisen auf ausdrücklichen Wunsch des Nutzers stattfindet. Diese Anforderung sollte allerdings nicht gelten, wenn die einschlägigen Rechtsvorschriften der Union oder der Mitgliedstaaten den automatisierten grenzüberschreitenden Datenaustausch ohne ausdrücklichen Wunsch des Nutzers ermöglichen.

(47)

Die Nutzung des durch diese Verordnung eingeführten technischen Systems sollte weiterhin freiwillig sein, und dem Nutzer sollte es weiterhin freistehen, Nachweise auf anderem Wege als dem vorgesehenen technischen System vorzulegen. Der Nutzer sollte die Möglichkeit haben, die Nachweise vorab einzusehen, und das Recht, sich in Fällen, in denen er nach Voreinsichtnahme in die auszutauschenden Nachweise feststellt, dass die Informationen nicht zutreffend, nicht aktuell oder für das jeweilige Verfahren überflüssig sind, zu entscheiden, nicht mit dem Austausch von Nachweisen fortzufahren. Die Daten, die vorab eingesehen werden, sollten nicht länger als für den technisch notwendigen Zeitraum gespeichert werden.

(48)

Das sichere technische System, das für den Austausch von Nachweisen gemäß der vorliegenden Verordnung eingerichtet werden sollte, sollte den anfordernden zuständigen Behörden die Gewissheit verschaffen, dass die Nachweise von der richtigen ausstellenden Behörde eingereicht wurden. Bevor die zuständige Behörde Informationen annimmt, die ein Nutzer im Rahmen eines Verfahrens bereitgestellt hat, sollte sie — wenn Anlass zu Zweifeln bestehen — die Möglichkeit haben, diese Informationen zu überprüfen und ihre Richtigkeit festzustellen.

(49)

Es gibt eine Reihe von Bausteinen, die grundlegende Kapazitäten bieten, die zur Einrichtung des technischen Systems genutzt werden können, beispielsweise die Bausteine der mit der Verordnung (EU) Nr. 1316/2013 des Europäischen Parlaments und des Rates (23) eingeführten Fazilität „Connecting Europe“ (CEF), und die Bausteine zur elektronischen Zustellung (eDelivery) und zur elektronischen Identifizierung (eID), die Teile dieser Fazilität sind. Diese Bausteine bestehen aus technische Spezifikationen, Beispiel-Software und unterstützende Dienste und sollen die Interoperabilität zwischen den bestehenden Systemen der Informations- und Kommunikationstechnologie (IKT) in den verschiedenen Mitgliedstaaten sicherstellen, sodass Bürger, Unternehmen und Behörden überall in der Union Nutzen aus nahtlosen digitalen öffentlichen Diensten ziehen können.

(50)

Das auf Grundlage dieser Verordnung eingeführte technische System sollte neben anderen Systemen bestehen, die Mechanismen für die Zusammenarbeit zwischen Behörden zur Verfügung stellen, etwa das Binnenmarktinformationssystem, ohne andere Systeme, darunter auch das in der Verordnung (EG) Nr. 987/2009 genannte System, die Einheitliche Europäische Eigenerklärung gemäß der Richtlinie 2014/24/EU, der elektronische Austausch von Information der sozialen Sicherheit gemäß der Verordnung (EG) Nr. 987/2009, der Europäische Berufsausweis gemäß der Richtlinie 2005/36/EG, die Verknüpfung nationaler Register und die Vernetzung von Zentral-, Handels- und Gesellschaftsregistern gemäß der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates (24) und die Vernetzung von Insolvenzregistern gemäß der Verordnung (EU) 2015/848 des Europäischen Parlaments und des Rates (25), zu beeinträchtigen.

(51)

Um einheitliche Bedingungen für die Umsetzung eines technischen Systems zum automatisierten Austausch von Nachweisen zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund deren sie insbesondere die technischen und operativen Spezifikationen eines Systems zur Verarbeitung von Anträgen von Nutzern auf den Austausch von Nachweisen und die Übertragung solcher Nachweise sowie Vorschriften, die zur Gewährleistung der Integrität und Vertraulichkeit der Übertragung erforderlich sind, festlegt. Diese Befugnisse sollten gemäß der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (26) ausgeübt werden.

(52)

Im Hinblick auf die Gewährleistung eines hohen Sicherheitsniveaus für die grenzüberschreitende Anwendung des Grundsatzes der einmaligen Erfassung durch das technische System sollte die Kommission beim Erlass von Durchführungsrechtsakten zur Festlegung der Spezifikationen für ein solches technisches System den von europäischen und internationalen Normungsorganisationen und -gremien, insbesondere dem Europäischen Komitee für Normung (CEN), dem Europäischen Institut für Telekommunikationsnormen (ETSI), der Internationalen Organisation für Normung (ISO) und der Internationalen Fernmeldeunion (ITU), festgelegten Normen und technischen Spezifikationen sowie den Sicherheitsstandards gemäß Artikel 32 der Verordnung (EU) 2016/679 und Artikel 22 der Verordnung (EU) 2018/1725 umfassend Rechnung tragen.

(53)

Die Kommission sollte den Europäischen Datenschutzbeauftragten konsultieren, wenn das erforderlich ist, um die Entwicklung, die Verfügbarkeit, die Wartung, die Überwachung, die Kontrolle und das Sicherheitsmanagement der Teile des technischen Systems, für die Kommission zuständig ist, sicherzustellen.

(54)

Die zuständigen Behörden und die Kommission sollten sicherstellen, dass die Informationen, Verfahren und Dienste für die sie verantwortlich sind den Sicherheitskriterien entsprechen. Die gemäß dieser Verordnung bestellten nationalen Koordinatoren und die Kommission sollten die Einhaltung der Qualitäts- und Sicherheitskriterien auf nationaler Ebene und auf Unionsebene in regelmäßigen Abständen überprüfen und auftretende Probleme angehen. Die nationalen Koordinatoren sollten die Kommission darüber hinaus bei der Überwachung des Funktionierens des technischen Systems, das den grenzüberschreitenden Austausch von Nachweisen ermöglicht, unterstützen. Die vorliegende Verordnung sollte der Kommission verschiedene Mittel an die Hand geben, um einer möglichen Verschlechterung der Qualität der über das Zugangstor angebotenen Dienste entgegenzuwirken; je nachdem, wie schwerwiegend und dauerhaft eine solche Verschlechterung ist, würde auch die Koordinierungsgruppe gegebenenfalls für das Zugangstor mit einbezogen werden. Die Kommission trägt dennoch die Gesamtverantwortung dafür, zu überwachen, dass die Bestimmungen der vorliegenden Verordnung eingehalten werden.

(55)

In der vorliegenden Verordnung sollten die Hauptfunktionen der technischen Instrumente spezifiziert werden, die die Funktionsweise des Zugangstors unterstützen, insbesondere die gemeinsame Nutzerschnittstelle, die Link-Ablage und die gemeinsame Suchmaschine für Hilfsdienste. Die gemeinsame Nutzerschnittstelle sollte sicherstellen, dass Nutzer auf Websites auf nationaler Ebene und auf Unionsebene problemlos Informationen, Verfahren und Hilfs- und Problemlösungsdienste finden können. Die Mitgliedstaaten und die Kommission sollten sich bemühen, Links zu einer einzigen Quelle der für das Zugangstor erforderlichen Informationen bereitzustellen, um Verwirrung unter den Nutzern aufgrund von unterschiedlichen oder sich ganz oder teilweise überschneidenden Quellen derselben Informationen zu vermeiden. Das sollte nicht die Möglichkeit ausschließen, eine Verknüpfung per Link mit den entsprechenden Informationen, die von lokalen oder regionalen zuständigen Behörden in Bezug auf verschiedene geografische Gebiete bereitzustellen. Es sollte auch nicht die Doppelerfassung von Informationen verhindern, wenn diese unvermeidbar oder gewünscht ist, zum Beispiel wenn Unionsrechte, -pflichten und -vorschriften auf nationalen Internetseiten zur Verbesserung der Benutzerfreundlichkeit wiederholt oder beschrieben werden. Um menschliches Eingreifen in die Aktualisierung der Links, die von der gemeinsamen Nutzerschnittstelle genutzt werden, so gering wie möglich zu halten, sollte eine direkte Verbindung zwischen den einschlägigen technischen Systemen der Mitgliedstaaten und der Linkablage eingerichtet werden, soweit das technisch möglich ist. Die gemeinsamen IKT-Unterstützungsinstrumente könnten das gemeinsame Datenmodell CPSV (Core Public Services Vocabulary, Grundwortschatz für öffentliche Dienste) verwenden, um die Interoperabilität mit den Katalogen und der Semantik des nationalen Dienstes zu erleichtern. Die Mitgliedstaaten sollten darin bestärkt werden, das CPSV zu nutzen, es steht ihnen aber frei, zu Lösungen auf nationaler Ebene zu greifen. Die in der Linkablage erfassten Informationen sollten in einem offenen, gängigem und maschinenlesbaren Datenformat öffentlich zugänglich gemacht werden, beispielsweise durch Anwendungsprogrammierschnittstellen (API), um ihre Wiederverwendung zu ermöglichen.

(56)

Mit dem Suchwerkzeug der gemeinsamen Nutzerschnittstelle sollten die Nutzer die Informationen finden können, die sie benötigen, sei es auf Internetseiten auf Unionsebene oder auf nationaler Ebene. Sie wird Nutzer auch insofern zu nützlichen Informationen führen, als sie das Verlinken bestehender und einander ergänzender Websites oder Webseiten, ihre bestmögliche Straffung und Bündelung und das Setzen von Links zwischen Webseiten und Websites auf Unionsebene und auf nationaler Ebene für den Zugang zu Online-Diensten und Online-Informationen unterstützt.

(57)

In dieser Verordnung sollten auch konkrete Qualitätsanforderungen an die gemeinsame Nutzerschnittstelle festgelegt werden. Die Kommission sollte dafür sorgen, dass die gemeinsame Nutzerschnittstelle diesen Anforderungen genügt und die Nutzerschnittstelle sollte insbesondere online über verschiedene Kanäle verfügbar sowie zugänglich und leicht zu bedienen sein.

(58)

Um einheitliche Bedingungen für die Umsetzung der technischen Lösungen zur Unterstützung des Zugangstors zu gewährleisten, sollten der Kommission Durchführungsbefugnisse übertragen werden, aufgrund derer sie gegebenenfalls die geltenden Normen und Anforderungen an die Interoperabilität zur Erleichterung der Auffindbarkeit von Informationen zu Vorschriften und Pflichten, zu Verfahren und zu Hilfs- und Problemlösungsdiensten unter der Verantwortung der Mitgliedstaaten und der Kommission im Einzelnen festlegt. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden.

(59)

In der vorliegenden Verordnung sollten auch die Zuständigkeiten für die Entwicklung, Verfügbarkeit, Wartung und Sicherheit der IKT-Anwendungen zur Unterstützung des Zugangstors klar zwischen der Kommission und den Mitgliedstaaten aufgeteilt werden. Im Rahmen der Wartungsaufgaben sollten die Kommission und die Mitgliedstaaten regelmäßig prüfen, ob diese IKT-Anwendungen reibungslos funktionieren.

(60)

Um das Potenzial der verschiedenen Informationsbereiche voll auszuschöpfen, müssen die Verfahren und Hilfs- und Problemlösungsdienste, die über das Zugangstor verfügbar gemacht werden sollen, sowie das Wissen der Zielgruppen um deren Existenz und Funktionsweise drastisch verbessert werden. Durch die Verfügbarkeit der Dienste über das Zugangstor dürfte es für die Nutzer deutlich einfacher werden, die von ihnen benötigten Informationen, Verfahren und Hilfs- und Problemlösungsdienste zu finden, die sie auch dann benötigen, wenn sie mit ihnen nicht vertraut sind. Außerdem bedarf es einer koordinierten Werbung, um zu gewährleisten, dass Bürger und Unternehmen überall in der Union von dem Zugangstor und den damit verbundenen Vorteilen erfahren. Derartige Öffentlichkeitsarbeit sollte die Optimierung der Suchmaschinen und andere Online-Sensibilisierungsmaßnahmen umfassen, da sie am kostenwirksamsten sind und das Potenzial haben, die größtmögliche Zielgruppe zu erreichen. Um größtmögliche Effizienz zu erzielen, sollten diese Werbeaktionen im Rahmen der Koordinierungsgruppe für das Zugangstor vorgenommen werden und die Mitgliedstaaten ihre Werbung derart anpassen, dass in allen einschlägigen Zusammenhängen auf eine gemeinsame Marke Bezug genommen wird und die Möglichkeit für eine Markenpartnerschaft zwischen dem Zugangstor und den nationalen Initiativen besteht.

(61)

Alle Organe, Einrichtungen und sonstigen Stellen der Union sollten dazu angehalten werden, das Zugangstor zu fördern, indem sie auf allen einschlägigen Websites, für die sie jeweils verantwortlich sind, sein Logo und Links zum Zugangstor anführen.

(62)

Der Name, unter dem das Zugangstor in der Öffentlichkeit vorgestellt und bekannt gemacht werden soll, lautet „Your Europe“. Die gemeinsame Nutzerschnittstelle sollte insbesondere auf einschlägigen Internetseiten der Union und der Mitgliedstaaten prominent platziert und leicht zu finden sein. Das Logo des Zugangstors sollte auf den einschlägigen Websites der Union und der Mitgliedstaaten abgebildet werden.

(63)

Um angemessene Informationen zu erhalten, anhand derer die Leistungsfähigkeit des Zugangstors gemessen und verbessert werden kann, sollten die zuständigen Behörden und die Kommission mit der vorliegenden Verordnung zur Erhebung und Analyse von Daten zur Nutzung der verschiedenen über das Zugangstor verfügbaren Informationsbereiche, Verfahren und Dienste verpflichtet werden. Die Erhebung statistischer Nutzerdaten, etwa Daten über die Anzahl der Besuche bestimmter Internetseiten, die Anzahl der Nutzer in einem Mitgliedstaat im Vergleich mit der Anzahl der Nutzern aus anderen Mitgliedstaaten, eingegebene Suchbegriffe, am häufigsten besuchte Internetseiten, Referral-Websites oder die Anzahl, den Ursprung und den Gegenstand von Hilfeersuchen, sollte die Funktionsweise des Zugangstors verbessern, indem sie die Ermittlung der Zielgruppe, die Entwicklung von Öffentlichkeitsarbeit und die Verbesserung der Qualität der angebotenen Dienste unterstützt. Bei der Erhebung solcher Daten sollte dem jährlichen von der Kommission durchgeführten eGovernment-Benchmarking Rechnung getragen werden, um Doppelarbeit zu vermeiden.

(64)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden., damit sie einheitliche Regeln für die Methode zur Erhebung und die Methode zum Austausch statistischer Nutzerdaten festlegen kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden.

(65)

Die Qualität des Zugangstors hängt von der Qualität der über das Zugangstor angebotenen Dienste der Union und der Mitgliedstaaten ab. Daher sollte die Qualität der über das Zugangstor verfügbaren Informationen, Verfahren, Hilfs- und Problemlösungsdienste auch regelmäßig überprüft werden, anhand eines Instruments für Rückmeldungen der Nutzer, durch das die Nutzer um eine Beurteilung bzw. Rückmeldung bezüglich der Abdeckung und Qualität der von ihnen in Anspruch genommenen Informationen, Verfahren, oder Hilfs- und Problemlösungsdienste ersucht werden. Diese Rückmeldungen sollten in einem gemeinsamen Instrument zusammengetragen, zu dem die Kommission, die zuständigen Behörden und die nationalen Koordinatoren Zugang haben sollten. Der Kommission sollten Durchführungsbefugnisse übertragen werden, damit sie einheitliche Bedingungen für die Durchführung der vorliegenden Verordnung in Bezug auf die gemeinsamen Funktionen der Instrumente für Rückmeldungen der Nutzer und die genauen Vereinbarungen zur Erhebung und gemeinsamen Nutzung der Nutzerrückmeldungen gewährleisten kann. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 ausgeübt werden. Die Kommission sollte online anonymisierte Gesamtübersichte über die Probleme, wesentliche Nutzerstatistiken und die wichtigsten Rückmeldungen der Nutzer veröffentlichen, die gemäß dieser Verordnung eingeholt wurden.

(66)

Außerdem sollte das Zugangstor ein Rückmeldeinstrument beinhalten, das Nutzer in die Lage versetzt, etwaige Probleme und Schwierigkeiten, auf die sie bei der Wahrnehmung ihrer Binnenmarktrechte gestoßen sind, freiwillig und anonym zu melden. Dieses Instrument ist lediglich als Ergänzung zu den Mechanismen zur Bearbeitung von Beschwerden zu verstehen, da Nutzer keine personalisierte Antwort erhalten können. Die eingegangenen Rückmeldungen sollten mit aggregierten Informationen der Hilfs- und Problemlösungsdienste über die von ihnen bearbeiteten Fälle kombiniert werden, um einen Überblick darüber zu erstellen, wie der Binnenmarkt von den Nutzern wahrgenommen wird, und um Problembereiche zu ermitteln, in denen sich durch mögliche künftige Maßnahmen das Funktionieren des Binnenmarkts verbessern ließe. Dieser Überblick sollte mit bestehenden Berichterstattungsinstrumenten, wie zum Beispiel dem Binnenmarktanzeiger, verlinkt werden.

(67)

Das Recht der Mitgliedstaaten, darüber zu entscheiden, wer die Rolle des nationalen Koordinators übernehmen sollte, sollte von dieser Verordnung unberührt sein. Die Mitgliedstaaten sollten in der Lage sein, die Funktionen und Zuständigkeiten ihrer nationalen Koordinatoren im Zusammenhang mit dem Zugangstor an ihre internen Verwaltungsstrukturen anzupassen. Die Mitgliedstaaten sollten in der Lage sein, zusätzliche nationale Koordinatoren zu ernennen, die die Aufgaben im Rahmen dieser Verordnung allein oder gemeinsam mit anderen, mit Verantwortung für einen Verwaltungsbereich oder eine geografische Region oder nach Maßgabe anderer Kriterien wahrnehmen. Die Mitgliedstaaten sollten die Kommission über den Namen des von ihnen für die Kontakte mit der Kommission ernannten nationalen Koordinators informieren.

(68)

Die Koordinierungsgruppe des Zugangstors soll aus nationalen Koordinatoren unter dem Vorsitz der Kommission eingerichtet werden, um die Anwendung der vorliegenden Verordnung zu erleichtern, indem insbesondere — wie in der vorliegenden Verordnung gefordert — bewährte Verfahren ausgetauscht und gemeinsam auf die einheitlichere Darstellung der Informationen hingearbeitet wird. Die Arbeit dieser Koordinierungsgruppe des Zugangstors sollte den Zielsetzungen im jährlichen Arbeitsprogramm, das ihr die Kommission zur Prüfung vorlegen sollte, Rechnung tragen. Das jährliche Arbeitsprogramm sollte in Form von Leitfäden oder Empfehlungen, die für die Mitgliedstaaten nicht verbindlich sind, erstellt werden. Auf Ersuchen des Europäischen Parlaments kann die Kommission beschließen, das Parlament einzuladen, Experten zu den Sitzungen der Koordinierungsgruppe zu entsenden.

(69)

In der vorliegenden Verordnung sollte geklärt werden, welche Teile des Zugangstors aus dem Unionshaushalt finanziert werden sollen und welche Teile in den Zuständigkeitsbereich der Mitgliedstaaten fallen. Die Kommission sollte die Mitgliedstaaten dabei unterstützen, festzustellen, welche IKT-Bausteine wiederverwendbar sind und welche Finanzmittel auf Unionsebene im Rahmen von Fonds und Programmen zur Verfügung stehen, die zur Deckung der Kosten für die auf nationaler Ebene zur Einhaltung dieser Verordnung erforderlichen Anpassungen und Entwicklungen im IKT-Bereich beitragen können. Die für die Durchführung dieser Verordnung erforderliche Mittelausstattung sollte mit dem geltenden mehrjährigen Finanzrahmen vereinbar sein.

(70)

Die Mitgliedstaaten werden darin bestärkt, auf zwischenstaatlicher Ebene ein höheres Maß an Koordinierung, Austausch und Zusammenarbeit zu erreichen, um ihre strategischen, operativen sowie forschungs- und entwicklungsbezogenen Kapazitäten im Bereich der Cybersicherheit zu erhöhen, insbesondere indem sie die in der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates (NIS) (27) genannte Sicherheit von Netz- und Informationssystemen umsetzen, und um die Sicherheit und Widerstandskraft ihrer öffentlichen Verwaltung und Dienste zu stärken. Die Mitgliedstaaten werden darin bestärkt, die Sicherheit der Transaktionen zu erhöhen und ein ausreichendes Maß an Vertrauen in elektronische Mittel sicherzustellen, indem sie den eIDAS-Rahmen gemäß Verordnung (EU) Nr. 910/2014 und insbesondere angemessene Sicherheitsniveaus umsetzen. Die Mitgliedstaaten können gemäß dem Unionsrecht Maßnahmen zum Schutz der Cybersicherheit und zur Verhütung von Identitätsbetrug oder anderen Formen von Betrug ergreifen.

(71)

Wenn die in der vorliegenden Verordnung vorgesehene Anwendung die Verarbeitung personenbezogener Daten umfasst, sollte sie in Übereinstimmung mit den Rechtsvorschriften der Union über den Schutz personenbezogener Daten insbesondere Verordnung (EU) 2016/679 und Verordnung (EU) 2018/1725 erfolgen. Die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (28) sollte auch im Rahmen dieser Verordnung Anwendung finden. Wie in der Verordnung (EU) 2016/679 vorgesehen, können die Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, hinsichtlich der Verarbeitung von Gesundheitsdaten aufrechterhalten oder einführen, und sie können spezifischere Vorschriften über die Verarbeitung personenbezogener Daten von Beschäftigten im Beschäftigungskontext vorsehen.

(72)

Diese Verordnung sollte die Straffung der Verwaltungsregelungen für die vom Zugangstor abgedeckten Dienste fördern und erleichtern. Zu diesem Zweck sollte die Kommission die bestehenden Verwaltungsregelungen in enger Zusammenarbeit mit den Mitgliedstaaten überprüfen und gegebenenfalls anpassen, um Überschneidungen und Ineffizienz zu vermeiden.

(73)

Das Ziel dieser Verordnung besteht darin, sicherzustellen, dass Nutzer, die in anderen Mitgliedstaaten tätig sind, Online-Zugang zu umfassenden, verlässlichen, barrierefreien und verständlichen Informationen der Union und der Mitgliedstaaten über Rechte, Pflichten und Vorschriften, zu Online-Verfahren, die vollständig grenzüberschreitend abgeschlossen werden können, sowie zu Hilfs- oder Problemlösungsdiensten haben. Da dieses Ziel von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann und sich aufgrund ihres Umfangs und ihrer Wirkungen auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union niedergelegten Subsidiaritätsgrundsatz tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht die vorliegende Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.

(74)

Damit die Mitgliedstaaten und die Kommission die erforderlichen Instrumente zur Durchführung der vorliegenden Verordnung entwickeln und umsetzen können, sollten bestimmte Vorschriften erst zwei Jahre nach Inkrafttreten der vorliegenden Verordnung Anwendung finden. Den städtischen Behörden sollte bis zu vier Jahre Zeit nach Inkrafttreten dieser Verordnung gegeben werden, um Informationen über Vorschriften, Verfahren und Hilfs- und Problemlösungsdienste in ihrem Zuständigkeitsbereich zur Verfügung zu stellen. Die Bestimmungen dieser Verordnung über die Verfahren, die vollständig online bereitzustellen sind, sowie über den grenzüberschreitenden Zugang zu Online-Verfahren und das technische System für den grenzüberschreitenden automatisierten Austausch von Nachweisen gemäß dem Grundsatz der einmaligen Erfassung sollten spätestens fünf Jahre nach Inkrafttreten dieser Verordnung umgesetzt werden.

(75)

Die vorliegende Verordnung steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden, und sollte unter Wahrung dieser Rechte und Grundsätze durchgeführt werden.

(76)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (29) angehört und hat am 1. August 2017 eine Stellungnahme abgegeben (30) —

(1)

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dieses Recht ist zudem in Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorgesehen.

(2)

In der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (3) sind auf dem Rechtsweg durchsetzbare Rechte für natürliche Personen vorgesehen, es werden die Verpflichtungen der in den Organen und Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festgelegt und es wird der Europäische Datenschutzbeauftragte als unabhängige Aufsichtsbehörde eingerichtet, die für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zuständig ist. Die Verordnung gilt jedoch nicht für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten der Organe und Einrichtungen der Union, die nicht in den Anwendungsbereich des Unionsrechts fallen.

(3)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4) und die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (5) wurden am 27. April 2016 angenommen. Während die Verordnung allgemeine Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union enthält, sind in der Richtlinie besondere Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geregelt.

(4)

Die Verordnung (EU) 2016/679 sieht die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass sie parallel mit der Verordnung (EU) 2016/679 angewandt werden kann.

(5)

Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union sollten die Datenschutzbestimmungen für die Organe, Einrichtungen und sonstigen Stellen der Union so weit wie möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen werden. Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof“) einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte.

(6)

Personen, deren personenbezogene Daten in irgendeinem Kontext von den Organen oder Einrichtungen der Union verarbeitet werden, z. B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind, sollten geschützt werden. Die vorliegende Verordnung sollte nicht für die Verarbeitung der personenbezogenen Daten Verstorbener gelten. Die vorliegende Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(7)

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

(8)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch alle Organe, Einrichtungen und sonstigen Stellen der Union gelten. Sie sollte für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

(9)

In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, auf der der Vertrag von Lissabon angenommen wurde, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Ein gesondertes Kapitel der vorliegenden Verordnung mit allgemeinen Bestimmungen sollte daher für die Verarbeitung von operativen personenbezogenen Daten gelten, etwa für personenbezogene Daten, die zum Zweck strafrechtlicher Ermittlungen von Einrichtungen oder sonstigen Stellen der Union, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen, verarbeitet werden.

(10)

Die Richtlinie (EU) 2016/680 enthält harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeitet werden. Um sicherzustellen, dass natürliche Personen auf der Grundlage von auf dem Rechtsweg durchsetzbaren Rechten in der gesamten Union das gleiche Maß an Schutz genießen, und um zu verhindern, dass der Austausch personenbezogener Daten zwischen Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, und den zuständigen Behörden durch Unterschiede behindert wird, sollten die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von diesen Einrichtungen oder sonstigen Stellen der Union verarbeitet werden, im Einklang mit der Richtlinie (EU) 2016/680 stehen.

(11)

Die allgemeinen Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollten unbeschadet der besonderen Vorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union, deren Tätigkeit durch den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV geregelt ist, gelten. Derartige besondere Vorschriften sollten als lex specialis in Bezug auf die Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten betrachtet werden (lex specialis derogat legi generali). Um die Zersplitterung des Rechtsrahmens zu verringern, sollten die besonderen Datenschutzvorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, mit den Grundsätzen, die dem Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten zugrunde liegen, sowie mit den Vorschriften der vorliegenden Verordnung über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen im Einklang stehen.

(12)

Das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollte für Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten, und zwar unabhängig davon, ob Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten ihre Haupt- oder ihre Nebenaufgabe ist. Es sollte jedoch nicht für Europol und die Europäische Staatsanwaltschaft gelten, bevor die Rechtsakte zur Gründung von Europol und der Europäischen Staatsanwaltschaft dahingehend geändert werden, dass das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten in seiner angepassten Fassung auch für sie gilt.

(13)

Die Kommission sollte die vorliegende Verordnung und insbesondere ihr Kapitel über die Verarbeitung operativer personenbezogener Daten überprüfen. Die Kommission sollte zudem die anderen auf der Grundlage der Verträge erlassenen Rechtsakte überprüfen, die für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten. Nach dieser Überprüfung sollte die Kommission sachdienliche Gesetzgebungsvorschläge, gegebenenfalls auch zu notwendigen Anpassungen des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten, im Hinblick auf dessen Anwendung auf Europol und die Europäische Staatsanwaltschaft machen können, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sichergestellt wird. Diese Änderungen sollten Vorschriften über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen berücksichtigen.

(14)

Die vorliegende Verordnung sollte auch für die Verarbeitung von verwaltungstechnischen personenbezogenen Daten, wie etwa Personaldaten, durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten.

(15)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union (EUV) fallen, gelten. Die vorliegende Verordnung sollte nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV zur Umsetzung der gemeinsamen Sicherheits- und Verteidigungspolitik gelten. Gegebenenfalls sollten entsprechende Vorschläge zur weiteren Regulierung der Verarbeitung personenbezogener Daten im Bereich der gemeinsamen Sicherheits- und Verteidigungspolitik vorgelegt werden.

(16)

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung derartiger anonymer Daten, auch für statistische oder für Forschungszwecke.

(17)

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.

(18)

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet, die von ihren Geräten, Software-Anwendungen und -Tools oder Protokollen geliefert werden. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

(19)

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben werden soll, erfolgen. Darüber hinaus sollte die betroffene Person das Recht haben, ihre Einwilligung jederzeit zu widerrufen, wobei die Verarbeitungsvorgänge, die aufgrund der Einwilligung vor dem Widerruf erfolgt sind, weiterhin als rechtmäßig gelten sollen. Um sicherzustellen, dass die Einwilligung freiwillig erfolgt, sollte in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, diese keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.

(20)

Jede Verarbeitung personenbezogener Daten sollte rechtmäßige und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können, und dass die Daten während der Übermittlung nicht unbefugt offengelegt werden.

(21)

Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Organe und Einrichtungen der Union bei der Übermittlung personenbezogener Daten innerhalb desselben Organs oder derselben Einrichtung der Union, wenn der Empfänger nicht zum Verantwortlichen gehört, bzw. bei der Übermittlung an andere Organe und Einrichtungen der Union prüfen, ob diese personenbezogenen Daten für die rechtmäßige Erfüllung der Aufgaben im Zuständigkeitsbereich des Empfängers erforderlich sind. Insbesondere sollte der Verantwortliche im Falle eines Antrags des Empfängers auf Übermittlung personenbezogener Daten das Vorliegen einschlägiger Gründe für die rechtmäßige Verarbeitung personenbezogener Daten sowie die Zuständigkeit des Empfängers überprüfen. Der Verantwortliche sollte auch die Notwendigkeit der Übermittlung dieser Daten vorläufig bewerten. Bestehen Zweifel an der Notwendigkeit, sollte der Verantwortliche weitere Auskünfte vom Empfänger einholen. Der Empfänger sollte sicherstellen, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.

(22)

Die Verarbeitung personenbezogener Daten sollte nur dann rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung ihrer öffentlichen Gewalt durch die Organe und Einrichtungen der Union oder für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, oder wenn eine andere zulässige Rechtsgrundlage gemäß der vorliegenden Verordnung besteht, wie etwa die Einwilligung der betroffenen Person, die Tatsache, dass die Verarbeitung von personenbezogenen Daten für die Umsetzung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder auf Antrag der betroffenen Person für Maßnahmen vor Abschluss eines Vertrags erforderlich ist. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und die Arbeitsweise dieser Organe und Einrichtungen erforderlich ist. Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

(23)

Das Unionsrecht, auf das in dieser Verordnung Bezug genommen wird, sollte klar und präzise sein und seine Anwendung sollte für diejenigen, die ihm unterliegen, im Einklang mit den Anforderungen der Charta und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorhersehbar sein.

(24)

Die internen Vorschriften, auf die in dieser Verordnung Bezug genommen wird, sollten klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein. Sie sollten auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union im Rahmen ihrer Zuständigkeiten und in Bezug auf Angelegenheiten, die ihre Tätigkeit betreffen, erlassen werden. Sie sollten im Amtsblatt der Europäischen Union veröffentlicht werden. Die Anwendung dieser Vorschriften sollte für die ihnen unterliegenden Personen vorhersehbar sein und mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. Interne Vorschriften können auch in Form von Beschlüssen erlassen werden, insbesondere wenn dies durch Organe der Union geschieht.

(25)

Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine weitere Verarbeitung als vereinbar und rechtmäßig erachtet wird. Die weitere Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollten als vereinbare und rechtmäßige Verarbeitungsvorgänge gelten. Die im Unionsrecht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine weitere Verarbeitung dienen. Um festzustellen, ob ein Zweck der weiteren Verarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten weiteren Verarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte weitere Verarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten weiteren Verarbeitungsvorgang geeignete Schutzmaßnahmen angewendet werden.

(26)

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollte mit Hilfe von Schutzmaßnahmen sichergestellt werden, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Nach der Richtlinie 93/13/EWG des Rates (6) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person zumindest wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

(27)

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein derartiger besonderer Schutz sollte insbesondere die Erstellung von Persönlichkeitsprofilen und die Erhebung von personenbezogenen Daten von Kindern bei Diensten, die Kindern auf Websites der Organe und Einrichtungen der Union direkt angeboten werden, betreffen, wie beispielsweise interpersonelle Kommunikationsdienste oder Online-Ticketverkauf, sofern die Verarbeitung personenbezogener Daten mit Einwilligung erfolgt.

(28)

Wünschen in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, die Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union, sollten sie nachweisen, dass die Übermittlung der Daten an diese Empfänger für die Wahrnehmung ihrer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihnen übertragen wurde. Andernfalls sollten diese Empfänger nachweisen, dass die Übermittlung für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche sollte prüfen, ob die begründete Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten. In diesen Fällen sollte der Verantwortliche die unterschiedlichen Interessen gegeneinander abwägen, um einzuschätzen, ob die gewünschte Übermittlung von Daten verhältnismäßig ist. Dieser im öffentlichen Interesse liegende bestimmte Zweck kann etwa in Bezug zur Transparenz der Organe und Einrichtungen der Union stehen. Erfolgt die Übermittlung auf eigene Veranlassung der Organe und Einrichtungen der Union, so sollten diese unter Beachtung des Grundsatzes der Transparenz und der Grundsätze guter Verwaltungspraxis nachweisen, dass die Übermittlung erforderlich ist. Die in der vorliegenden Verordnung festgelegten Anforderungen für die Übermittlung von Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, sollten als Ergänzung zu den Voraussetzungen für die rechtmäßige Verarbeitung verstanden werden.

(29)

Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten nur verarbeitet werden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt sind. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Zusätzlich zu den speziellen Anforderungen an die Verarbeitung sensibler Daten sollten die allgemeinen Grundsätze und anderen Bestimmungen der vorliegenden Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.

(30)

Besondere Kategorien personenbezogener Daten, die einen verbesserten Schutz benötigen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Die vorliegende Verordnung sollte daher die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere in Fällen, in denen die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Unionsrecht sollten angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden.

(31)

Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und gesonderten Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates (7) ausgelegt werden und alle Elemente im Zusammenhang mit Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, sich auf diesen Gesundheitszustand auswirkende Faktoren, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die Ausgaben für die Gesundheitsversorgung und ihre Finanzierung und schließlich die Ursachen der Mortalität umfassen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass derartige personenbezogene Daten zu anderen Zwecken verarbeitet werden.

(32)

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch ein Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen.

(33)

Bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollten geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der vorliegenden Verordnung vorgesehen sein. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Schutzmaßnahmen bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Organe und Einrichtungen der Union sollten im Unionsrecht, gegebenenfalls auch in internen Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen.

(34)

Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Verfahren, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats, zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.

(35)

Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

(36)

Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig gegenüber einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten gegenüber diesem Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.

(37)

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, damit sie über die Rechtmäßigkeit der Verarbeitung informiert ist und diese überprüfen kann. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welchen Grundsätzen die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

(38)

Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten gegen die vorliegende Verordnung oder gegen das Unionsrecht, das für den Verantwortlichen gilt, verstößt. Eine betroffene Person sollte Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. in anderer Weise verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffene Person ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt hat oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen die vorliegende Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Risiken nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

(39)

Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

(40)

Verfahren zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.

(41)

Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung ihm übertragener öffentlicher Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Bezieht sich ein bestimmter Satz personenbezogener Daten auf mehr als eine betroffene Person, so sollte das Recht auf Erhalt der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts nach der vorliegenden Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden.

(42)

Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

(43)

Die betroffene Person sollte das Recht haben, keiner Entscheidung oder Maßnahme zur Bewertung von sie betreffenden personenbezogenen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat, wie etwa Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das Profiling, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der personenbezogenen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten in Bezug auf Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies eine rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat.

Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht ausdrücklich zulässig ist. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Schutzmaßnahmen verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder einer Verarbeitung kommt, die eine solche Wirkung hat. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.

(44)

In auf der Grundlage der Verträge erlassenen Rechtsakten oder in von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften können Beschränkungen hinsichtlich bestimmter Grundsätze und des Rechts auf Unterrichtung, Zugang zu und Berichtigung oder Löschung von personenbezogenen Daten, des Rechts auf Datenübertragbarkeit, Vertraulichkeit elektronischer Kommunikationsdaten sowie gegebenenfalls Mitteilung über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen sein, soweit dies in einer demokratischen Gesellschaft zur Aufrechterhaltung der öffentlichen Sicherheit und zur Verhütung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung notwendig und verhältnismäßig ist. Dies umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit, den Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, den Schutz der inneren Sicherheit der Organe und Einrichtungen der Union und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, vor allem die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaats und das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses oder der Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherung, öffentliche Gesundheit und humanitäre Hilfe.

(45)

Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der vorliegenden Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

(46)

Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Beeinträchtigungen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Auffassungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

(47)

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

(48)

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen der vorliegenden Verordnung erfüllt werden. Um die Einhaltung der Vorschriften der vorliegenden Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

(49)

Die Verordnung (EU) 2016/679 sieht vor, dass die Verantwortlichen die Erfüllung der Anforderungen durch die Einhaltung genehmigter Zertifizierungsverfahren nachweisen können. In gleicher Weise sollten auch die Organe und Einrichtungen der Union die Einhaltung der Vorschriften der vorliegenden Verordnung dadurch nachweisen können, dass sie eine Zertifizierung gemäß Artikel 42 der Verordnung (EU) 2016/679 erlangen.

(50)

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und der Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuweisung der Verantwortlichkeiten durch die vorliegende Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.

(51)

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, sollte auf Grundlage eines Vertrags oder — im Fall von Organen und Einrichtungen der Union, die als Auftragsverarbeiter handeln — aufgrund eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter sollten entscheiden können, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber vom Datenschutzbeauftragten angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(52)

Zum Nachweis der Einhaltung der vorliegenden Verordnung sollten die Verantwortlichen ein Verzeichnis der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter ein Verzeichnis der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen. Die Organe und Einrichtungen der Union sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten und diesem auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Den Organen und Einrichtungen der Union sollte es möglich sein, ein zentrales Register einzurichten, in dem sie ihre Verarbeitungstätigkeiten verzeichnen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Aus Gründen der Transparenz sollte es ihnen zudem möglich sei, dieses Register öffentlich zugänglich zu machen.

(53)

Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die vorliegende Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

(54)

Die Organe und Einrichtungen der Union sollten die Vertraulichkeit der elektronischen Kommunikation nach Artikel 7 der Charta sicherstellen. Insbesondere sollten die Organe und Einrichtungen der Union die Sicherheit ihrer elektronischen Kommunikationsnetze sicherstellen. Sie sollten die sich auf die Endeinrichtungen der Nutzer beziehenden Informationen bei deren Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (8) schützen. Sie sollten auch die in den Nutzerverzeichnissen gespeicherten personenbezogenen Daten schützen.

(55)

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, den Europäischen Datenschutzbeauftragten von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen ohne unangemessene weitere Verzögerung bereitgestellt werden. Ist eine derartige Verzögerung gerechtfertigt, sollten weniger sensible oder weniger konkrete Informationen über die Verletzung so schnell wie möglich offengelegt werden, anstatt mit der Benachrichtigung zu warten, bis die Ursache behoben wurde.

(56)

Der Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person führt, damit diese die erforderlichen Vorkehrungen treffen kann. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit dem Europäischen Datenschutzbeauftragen und nach Maßgabe der von ihm oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen.

(57)

Gemäß der Verordnung (EG) Nr. 45/2001 ist der Verantwortliche generell verpflichtet, dem Datenschutzbeauftragten die Verarbeitung personenbezogener Daten zu melden. Der Datenschutzbeauftragte hat ein Register über die gemeldeten Verarbeitungsvorgänge zu führen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Zusätzlich zu dieser allgemeinen Pflicht sollten wirksame Verfahren und Mechanismen eingerichtet werden, um Verarbeitungsvorgänge zu überwachen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Derartige Verfahren sollten insbesondere auch dann eingerichtet werden, wenn Arten von Verarbeitungsvorgängen zur Anwendung kommen, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Schutzmaßnahmen und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen.

(58)

Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Verfahren zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte der Europäische Datenschutzbeauftragte vor Beginn der Verarbeitung konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Der Europäische Datenschutzbeauftragte sollte das Ersuchen um Konsultation innerhalb einer bestimmten Frist beantworten. Allerdings kann der Europäische Datenschutzbeauftragte, auch wenn er nicht innerhalb dieser Frist reagiert hat, entsprechend seinen in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses sollte es möglich sein, dem Europäischen Datenschutzbeauftragten das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung zu unterbreiten; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen.

(59)

Der Europäische Datenschutzbeauftragte sollte über administrative Maßnahmen unterrichtet und zu von den Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften konsultiert werden, wenn sie die Verarbeitung personenbezogener Daten vorsehen, Bedingungen für Beschränkungen der Rechte betroffener Personen festlegen oder angemessene Schutzmaßnahmen für die Rechte betroffener Personen bieten, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, insbesondere im Hinblick auf die Eindämmung der Risiken für die betroffene Person.

(60)

Mit der Verordnung (EU) 2016/679 wurde der Europäische Datenschutzausschuss als unabhängige Einrichtung der Union mit eigener Rechtspersönlichkeit eingesetzt. Der Ausschuss soll zu einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in der gesamten Union beitragen, unter anderem indem er die Kommission berät. Gleichzeitig sollte der Europäische Datenschutzbeauftragte seine Aufsichts- und Beratungsaufgaben gegenüber allen Organen und Einrichtungen der Union weiterhin wahrnehmen — sowohl von sich aus als auch auf Antrag. Bei der Ausarbeitung von Vorschlägen oder Empfehlungen sollte sich die Kommission darum bemühen, den Europäischen Datenschutzbeauftragten anzuhören, damit in der gesamten Union einheitliche Datenschutzvorschriften gewährleistet sind. Eine Konsultation durch die Kommission nach Annahme eines Rechtsakts oder bei der Ausarbeitung delegierter Rechtsakte und Durchführungsrechtsakte im Sinne der Artikel 289, 290 und 291 AEUV und nach der Annahme von Empfehlungen und Vorschlägen für Übereinkünfte mit Drittländern und internationalen Organisationen nach Artikel 218 AEUV sollte verbindlich vorgeschrieben werden, wenn sich diese auf das Recht auf Schutz personenbezogener Daten auswirken. In diesen Fällen sollte die Kommission verpflichtet sein, den Europäischen Datenschutzbeauftragten zu konsultieren, es sei denn, die Verordnung (EU) 2016/679 sieht eine obligatorische Konsultation des Europäischen Datenschutzausschusses vor — beispielsweise zu Angemessenheitsbeschlüssen oder delegierten Rechtsakten in Bezug auf standardisierte Bildsymbole und die Anforderungen für Zertifizierungsverfahren. Ist der betreffende Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, so sollte es der Kommission zudem möglich sein, den Europäischen Datenschutzausschuss zu konsultieren. In diesen Fällen sollte der Europäische Datenschutzbeauftragte als Mitglied des Europäischen Datenschutzausschusses seine Arbeit mit Letztgenanntem im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Der Europäische Datenschutzbeauftragte und gegebenenfalls der Europäische Datenschutzausschuss sollten ihre schriftliche Empfehlung binnen acht Wochen vorlegen. Diese Frist sollte in dringenden Fällen oder soweit anderweitig angemessen, zum Beispiel, wenn die Kommission delegierte Rechtsakte und Durchführungsrechtsakte ausarbeitet, kürzer sein.

(61)

Gemäß Artikel 75 der Verordnung (EU) 2016/679 sollte das Sekretariat des Europäischen Datenschutzausschusses vom Europäischen Datenschutzbeauftragten gestellt werden.

(62)

In allen Organen und Einrichtungen der Union sollte ein Datenschutzbeauftragter für die Anwendung der Bestimmungen dieser Verordnung Sorge tragen und die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung ihrer Pflichten beraten. Dieser Beauftragte sollte über das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen, das sich insbesondere nach den vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten richten sollte. Diese Datenschutzbeauftragten sollten ihren Auftrag und ihre Aufgaben auf unabhängige Weise wahrnehmen können.

(63)

Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte bei der Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen gewährleistet werden. Dieselben Garantien sollten auch dann gelten, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung der vorliegenden Verordnung und unter Achtung der in der Charta verankerten Grundrechte und Grundfreiheiten zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden.

(64)

Die Kommission kann nach Artikel 45 der Verordnung (EU) 2016/679 oder Artikel 36 der Richtlinie (EU) 2016/680 feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. In derartigen Fällen dürfen personenbezogene Daten durch ein Organ oder eine Einrichtung der Union ohne weitere Genehmigung an dieses Drittland oder diese internationale Organisation übermittelt werden.

(65)

Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Maßnahmen für den Schutz der betroffenen Person vorsehen. Diese geeigneten Schutzmaßnahmen können darin bestehen, dass auf von der Kommission oder von dem Europäischen Datenschutzbeauftragten festgelegte Standarddatenschutzklauseln oder vom Europäischen Datenschutzbeauftragten genehmigte Vertragsklauseln zurückgegriffen wird. Ist der Auftragsverarbeiter kein Organ und keine Einrichtung der Union, so können auch die für internationale Datenübermittlungen nach der Verordnung (EU) 2016/679 geltenden verbindlichen internen Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsverfahren geeignete Schutzmaßnahmen darstellen. Diese Schutzmaßnahmen sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen, einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Organen und Einrichtungen der Union an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung —, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung des Europäischen Datenschutzbeauftragten sollte erlangt werden, wenn die Schutzmaßnahmen in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind.

(66)

Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder dem Europäischen Datenschutzbeauftragten festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch sie daran hindern, ihnen weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder dem Europäischen Datenschutzbeauftragten erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Datenschutzklauseln ergänzen, zusätzliche Schutzmaßnahmen zu bieten.

(67)

Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten durch die Organe und Einrichtungen der Union unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Union gestützt sind. Die Anwendung dieser Gesetze, Vorschriften und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch die vorliegende Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht anerkannt ist.

(68)

Datenübermittlungen sollten in bestimmten Situationen unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen, es sei denn, sie ist nach dem Unionsrecht zulässig; ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.

(69)

Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Organen und Einrichtungen der Union und Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden und Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständig sind, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung bzw. Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden.

(70)

In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin in den Genuss ihrer Grundrechte kommen und die Schutzmaßnahmen für sie gelten.

(71)

Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere nicht gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen schützen können. Ebenso kann es vorkommen, dass nationale Aufsichtsbehörden und der Europäische Datenschutzbeauftragte Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb ihres Zuständigkeitsbereichs haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher sollte eine engere Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden gefördert werden, damit sie Informationen mit den entsprechenden Stellen in anderen Ländern austauschen können.

(72)

Die mit der Verordnung (EG) Nr. 45/2001 erfolgte Einrichtung des Amtes des Europäischen Datenschutzbeauftragten, der befugt ist, seine Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Mit der vorliegenden Verordnung sollte seine Rolle und Unabhängigkeit weiter gestärkt und präzisiert werden. Der Europäische Datenschutzbeauftragte sollte eine Person sein, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über die für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Erfahrung und Sachkunde verfügt, zum Beispiel, weil sie einer der nach Artikel 51 der Verordnung (EU) 2016/679 errichteten Aufsichtsbehörden angehört hat.

(73)

Damit in der gesamten Union eine einheitliche Überwachung und Durchsetzung der Datenschutzvorschriften gewährleistet ist, sollte der Europäische Datenschutzbeauftragte dieselben Aufgaben und wirksamen Befugnisse wie die nationalen Aufsichtsbehörden haben, darunter — insbesondere im Fall von Beschwerden natürlicher Personen — Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse sowie Genehmigungs- und Beratungsbefugnisse, die Befugnis, Verstöße gegen diese Verordnung dem Gerichtshof zur Kenntnis zu bringen, und die Befugnis, Gerichtsverfahren im Einklang mit dem Primärrecht anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Um überflüssige Kosten und übermäßige Unannehmlichkeiten mit gegebenenfalls nachteiligen Auswirkungen für die betroffenen Personen zu vermeiden, sollte jede Maßnahme des Europäischen Datenschutzbeauftragten im Hinblick auf die Einhaltung dieser Verordnung geeignet, erforderlich und angemessen sein, wobei die Umstände des jeweiligen Einzelfalls und das Recht jeder Person, gehört zu werden, bevor die betreffende individuelle Maßnahme getroffen wird, zu berücksichtigen sind. Jede rechtsverbindliche Maßnahme des Europäischen Datenschutzbeauftragten sollte schriftlich erlassen werden, und sie sollte klar und eindeutig sein; das Datum, an dem die Maßnahme erlassen wurde, sollte angegeben werden und die Maßnahme sollte vom Europäischen Datenschutzbeauftragten unterzeichnet sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten.

(74)

Damit die Unabhängigkeit des Gerichtshofs bei der Ausübung seiner gerichtlichen Aufgaben einschließlich seiner Beschlussfassung unangetastet bleibt, sollte die Aufsichtskompetenz des Europäischen Datenschutzbeauftragten nicht die Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit erfassen. Für diese Verarbeitungsvorgänge sollte der Gerichtshof gemäß Artikel 8 Absatz 3 der Charta eine unabhängige Aufsicht einrichten, beispielsweise durch ein internes Verfahren.

(75)

Die Entscheidungen des Europäischen Datenschutzbeauftragten über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann der Europäische Datenschutzbeauftragte Berichte über besondere Themen veröffentlichen.

(76)

Der Europäische Datenschutzbeauftragte sollte die Bestimmungen der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (9) einhalten.

(77)

Die nationalen Aufsichtsbehörden überwachen die Anwendung der Verordnung (EU) 2016/679 und tragen zu ihrer einheitlichen Anwendung in der gesamten Union bei, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Um die einheitliche Anwendung der in den Mitgliedstaaten anwendbaren Datenschutzvorschriften und der für die Organe und Einrichtungen der Union anwendbaren Datenschutzvorschriften zu verbessern, sollte der Europäische Datenschutzbeauftragte mit den nationalen Aufsichtsbehörden wirksam zusammenarbeiten.

(78)

In bestimmten Fällen ist im Unionsrecht ein Modell für eine koordinierte Aufsicht vorgesehen, bei dem die Aufsicht auf den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden aufgeteilt ist. Der Europäische Datenschutzbeauftragte fungiert auch als Aufsichtsbehörde von Europol und für diese Zwecke wurde ein spezielles Modell für die Zusammenarbeit mit den nationalen Aufsichtsbehörden im Wege eines Beirats für die Zusammenarbeit, dem auch eine Beratungsfunktion zukommt, geschaffen. Zur besseren wirksamen Aufsicht und Durchsetzung des materiellen Datenschutzrechts sollte in der Union ein einheitliches, kohärentes Modell für eine koordinierte Aufsicht eingeführt werden. Die Kommission sollte daher erforderlichenfalls Gesetzgebungsvorschläge im Hinblick auf die Änderung von Unionsrechtsakten, die ein Modell für eine koordinierte Aufsicht vorsehen, unterbreiten, um diese an das in dieser Verordnung festgelegte Modell für eine koordinierte Aufsicht anzupassen. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht in allen Bereichen zu gewährleisten.

(79)

Jede betroffene Person sollte das Recht haben, bei dem Europäischen Datenschutzbeauftragten eine Beschwerde einzureichen und im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof einzulegen, wenn sich die betroffene Person in ihren Rechten nach dieser Verordnung verletzt sieht oder wenn der Europäische Datenschutzbeauftragte auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Der Europäische Datenschutzbeauftragte sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollte eine weitere Abstimmung mit einer nationalen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Der Europäische Datenschutzbeauftragte sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(80)

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, sollte — vorbehaltlich der in den Verträgen vorgesehenen Voraussetzungen — Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben.

(81)

Um die Aufsichtsfunktion des Europäischen Datenschutzbeauftragten und die wirksame Durchsetzung der vorliegenden Verordnung zu erleichtern, sollte der Europäische Datenschutzbeauftragte als letztes Mittel die Befugnis haben, Geldbußen zu verhängen. Mit diesen Geldbußen sollten keine Einzelpersonen, sondern vielmehr die Organe oder Einrichtungen der Union für Verstöße gegen diese Verordnung sanktioniert werden, um künftigen Verstößen gegen die vorliegende Verordnung vorzubeugen und eine Kultur des Schutzes personenbezogener Daten innerhalb der Organe und Einrichtungen der Union zu fördern. In der vorliegenden Verordnung sollten die mit Geldbußen zu ahndenden Verstöße sowie die Obergrenzen der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden. Der Europäische Datenschutzbeauftragte sollte die Höhe der Geldbuße in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und der Art, Schwere und Dauer des Verstoßes, seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festsetzen. Wenn er eine Geldbuße gegen ein Organ oder eine Einrichtung der Union verhängt, sollte der Europäische Datenschutzbeauftragte die Verhältnismäßigkeit der Höhe der Geldbuße prüfen. Das Verwaltungsverfahren für das Verhängen von Geldbußen gegen die Organe und Einrichtungen der Union sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts in der Auslegung des Gerichtshofs erfolgen.

(82)

Betroffene Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach Unionsrecht oder nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Diese Einrichtungen, Organisationen oder Vereinigungen sollten ferner das Recht haben, einen gerichtlichen Rechtsbehelf im Namen der betroffenen Person einzulegen oder das Recht auf Schadenersatz im Namen der betroffenen Person in Anspruch zu nehmen.

(83)

Verstoßen Beamte oder sonstige Bedienstete der Union gegen die Verpflichtungen gemäß der vorliegenden Verordnung, so sollte dies für sie disziplinarische oder anderweitige Maßnahmen nach sich ziehen, die im Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates (10) (im Folgenden „Statut“) festgelegt sind.

(84)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (11) ausgeübt werden. Das Prüfverfahren sollte für die Festlegung von Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, für die Annahme einer Liste der Verarbeitungsvorgänge, die eine vorherige Konsultation des Europäischen Datenschutzbeauftragten durch den Verantwortlichen für eine Verarbeitung personenbezogener Daten zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfordert, und für die Festlegung von Standardvertragsklauseln, die geeignete Schutzmaßnahmen für internationale Datenübermittlungen vorsehen, angewendet werden.

(85)

Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (12) enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken.

(86)

Die Verordnung Nr. 45/2001/EG und der Beschluss 1247/2002/EG des Europäischen Parlaments, des Rates und der Kommission (13) sollten aufgehoben werden. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss sollten als Bezugnahmen auf die vorliegende Verordnung gelten.

(87)

Um die uneingeschränkte Unabhängigkeit der Mitglieder der unabhängigen Aufsichtsbehörde zu gewährleisten, sollte die Amtszeit des derzeitigen Europäischen Datenschutzbeauftragten und des derzeitigen stellvertretenden Datenschutzbeauftragten von der vorliegenden Verordnung unberührt bleiben. Der derzeitige stellvertretende Datenschutzbeauftragte sollte sein Amt bis zum Ende seiner Amtszeit ausüben, es sei denn, eine der in der vorliegenden Verordnung vorgesehenen Bedingungen für ein vorzeitiges Ende der Amtszeit des Europäischen Datenschutzbeauftragten tritt ein. Die entsprechenden Bestimmungen der vorliegenden Verordnung sollten für den stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit gelten.

(88)

Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 EUV nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(89)

Der Europäische Datenschutzbeauftragte wurde nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat seine Stellungnahme am 15. März 2017 (14) abgegeben —