BEGRÜNDUNG

1. KONTEXT

Der in der Mitteilung KOM(2012) 9 endg. skizzierte Vorschlag der Kommission für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU wird im Folgenden näher erläutert. Die vorgeschlagene neue Datenschutzregelung besteht aus zwei Teilen:

– einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) und

– einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr.

Diese Begründung betrifft den letztgenannten Legislativvorschlag.

Kernstück der EU-Vorschriften zum Schutz personenbezogener Daten ist die Richtlinie 95/46/EG[1] aus dem Jahr 1995, die auf zweierlei abzielt: Schutz des Grundrechts auf Datenschutz und Garantie des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Sie wurde durch einige Instrumente mit spezifischen Datenschutzbestimmungen im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen[2] (frühere dritte Säule), darunter den Rahmenbeschluss 2008/977/JI[3] ergänzt.

Der Europäische Rat hat die Kommission ersucht, die Funktionsweise der verschiedenen Rechtsinstrumente zum Datenschutz zu bewerten und erforderlichenfalls weitere Initiativen legislativer und nicht-legislativer Art vorzulegen.[4] In seiner Entschließung zum Stockholmer Programm begrüßte das Europäische Parlament[5] den Vorschlag, eine umfassende Regelung für den Schutz personenbezogener Daten innerhalb der Europäischen Union zu schaffen, und forderte unter anderem eine Überarbeitung des Rahmenbeschlusses 2008/977/JI. In ihrem Aktionsplan zur Umsetzung des Stockholmer Programms[6] betonte die Kommission die Notwendigkeit, in allen Bereichen der EU-Politik für eine konsequente Anwendung des Grundrechts auf Datenschutz zu sorgen. In dem Aktionsplan wurde Folgendes hervorgehoben: „In einer globalen Gesellschaft, die durch raschen technologischen Wandel mit grenzenlosem Informationsaustausch geprägt ist, kommt der Sicherung der Privatsphäre größte Bedeutung zu. Die Union muss deshalb für eine konsequente Anwendung des Grundrechts auf Datenschutz sorgen. Wir müssen die Position der EU bezüglich des Schutzes personenbezogener Daten bei allen EU-Maßnahmen, einschließlich jener in den Bereichen Strafverfolgung und Kriminalprävention, sowie in unseren internationalen Beziehungen stärken.“

Wie die Kommission in ihrer Mitteilung über ein Gesamtkonzept für den Datenschutz in der Europäischen Union[7] feststellte, braucht die EU ein umfassenderes, kohärenteres Konzept für das Grundrecht auf Schutz personenbezogener Daten.

Der Anwendungsbereich des Rahmenbeschlusses 2008/977/JI ist begrenzt, da er sich auf die grenzübergreifende Datenverarbeitung beschränkt und die Verarbeitung durch Polizei- und Justizbehörden auf innerstaatlicher Ebene nicht einschließt. Daraus können sich für die Polizei und andere zuständige Behörden bei der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit Probleme ergeben. Sie können nicht in jedem Fall ohne Weiteres zwischen rein innerstaatlicher und grenzübergreifender Verarbeitung unterscheiden oder vorhersehen, ob es zu bestimmten personenbezogenen Daten in einer späteren Phase vielleicht einen grenzübergreifenden Austausch geben wird (siehe Abschnitt 2). Hinzu kommt, dass der Rahmenbeschluss aufgrund seines Charakters und seines Inhalts den Rechtsvorschriften der Mitgliedstaaten zu seiner Umsetzung sehr großen Spielraum einräumt. Außerdem sieht er keinerlei Mechanismus oder beratende Gruppe vor, die – ähnlich wie die Artikel-29-Arbeitsgruppe – die gemeinsame Auslegung seiner Bestimmungen unterstützen würden, und legt auch keine Durchführungsbefugnisse für die Kommission fest, um ein gemeinsames Herangehen bei seiner Anwendung zu gewährleisten.

In Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ist der Grundsatz verankert, dass jede Person das Recht auf Schutz ihrer personenbezogenen Daten hat. Seit dem Vertrag von Lissabon verfügt die Union mit Artikel 16 Absatz 2 AEUV überdies über eine besondere Rechtsgrundlage für den Erlass von Datenschutzvorschriften, die auch für die polizeiliche und justizielle Zusammenarbeit in Strafsachen gilt. Der Schutz personenbezogener Daten ist in Artikel 8 der EU-Grundrechtecharta als Grundrecht ausgestaltet. Gemäß Artikel 16 AEUV hat der Gesetzgeber Vorschriften über den Schutz natürlicher Personen bei der grenzübergreifenden sowie der innerstaatlichen Verarbeitung personenbezogener Daten auch für den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zu erlassen. So wird der Schutz der Grundrechte und ‑freiheiten natürlicher Personen und insbesondere deren Recht auf Schutz ihrer personenbezogenen Daten ermöglicht und gleichzeitig der Austausch personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sichergestellt. Dies erleichtert auch die Zusammenarbeit bei der Verbrechensbekämpfung in Europa.

Aufgrund der Besonderheit der polizeilichen und justiziellen Zusammenarbeit in Strafsachen wurde in der Erklärung 21[8] anerkannt, dass spezifische Vorschriften für den Schutz personenbezogener Daten und den freien Verkehr derartiger Daten bei der polizeilichen und justiziellen Zusammenarbeit in Strafsachen gemäß Artikel 16 AEUV erforderlich sein können.

2. ERGEBNISSE DER ANHÖRUNGEN INTERESSIERTER KREISE UND DER FOLGENABSCHÄTZUNGEN

Diese Initiative zur Überarbeitung der geltenden Datenschutzbestimmungen ist das Ergebnis einer umfassenden Konsultation aller wichtigen Beteiligten, die in zwei Phasen erfolgte:

– 9. Juli bis 31. Dezember 2009 – Konsultation zum Rechtsrahmen für das Grundrecht auf Schutz personenbezogener Daten: Die Kommission erhielt 168 Antworten: 127 von Einzelpersonen, Vereinigungen, Wirtschafts- und Fachverbänden sowie 12 von öffentlicher Seite. Die nicht vertraulichen Beiträge können auf der Website der Kommission eingesehen werden[9].

– 4. November 2010 bis 15. Januar 2011 – Konsultation zum Gesamtkonzept der Kommission für den Datenschutz in der Europäischen Union. Die Kommission erhielt 305 Antworten: 54 von Bürgern, 31 von staatlicher Seite und 220 von privaten Organisationen, insbesondere von Unternehmensverbänden und Nichtregierungsorganisationen. Die nicht vertraulichen Beiträge können auf der Website der Kommission eingesehen werden[10].

Neben diesen weitgehend auf die Überarbeitung der Richtlinie 95/46/EG ausgerichteten Anhörungen wurden mit Vertretern von Strafverfolgungsbehörden gezielte Konsultationen durchgeführt. So fand am 29. Juni 2010 mit den Behörden der Mitgliedstaaten ein Workshop über die Anwendung der Datenschutzbestimmungen auf öffentliche Stellen statt, bei dem es auch um die polizeiliche und justizielle Zusammenarbeit in Strafsachen ging. Die Kommission organisierte ferner am 2. Februar 2011 einen Workshop mit den Behörden der Mitgliedstaaten, um die Umsetzung des Rahmenbeschlusses 2008/977/JI und in einem allgemeineren Rahmen Datenschutzthemen im Bereich der polizeilichen Zusammenarbeit und der justiziellen Zusammenarbeit in Strafsachen zu erörtern.

Die EU-Bürger konnten sich bei einer Eurobarometer-Umfrage äußern, die von November bis Dezember 2010 durchgeführt wurde.[11] Darüber hinaus wurde auch eine Reihe von Studien in Auftrag gegeben.[12] Die Artikel-29-Datenschutzgruppe[13] gab mehrere Stellungnahmen mit sachdienlichen Beiträgen für die Kommission ab[14]. Zu den Fragen, die die Kommission in ihrer Mitteilung vom November 2010 aufgeworfen hatte, nahm auch der Europäische Datenschutzbeauftragte umfassend Stellung[15].

Das Europäische Parlament nahm mit seiner Entschließung vom 6. Juli 2011 einen Bericht an, der das Kommissionskonzept für die Reform der Datenschutzregelung unterstützte[16]. Der Rat der Europäischen Union nahm am 24. Februar 2011 Schlussfolgerungen an, in denen er das Reformvorhaben der Kommission generell befürwortete und der Vorgehensweise der Kommission in vielen Punkten zustimmte. Auch der Europäische Wirtschafts- und Sozialausschuss unterstützte eine angemessene Überarbeitung der Richtlinie 95/46/EG ebenso wie die allgemeine Ausrichtung der Kommissionsvorschläge im Hinblick auf eine kohärentere Anwendung der EU-Datenschutzregelung in allen Mitgliedstaaten.[17]

Entsprechend ihrer Strategie für eine bessere Rechtsetzung hat die Kommission eine Folgenabschätzung der möglichen Optionen vorgenommen[18]. Grundlage der Folgenabschätzung waren drei Zielsetzungen: Stärkung der Binnenmarktdimension beim Datenschutz, wirksamere Ausübung der Datenschutzrechte durch den Einzelnen und Schaffung einer umfassenden, kohärenten Regelung für alle Zuständigkeitsbereiche der Union einschließlich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Zu dieser letztgenannten Zielsetzung wurden zwei Optionen bewertet: eine erste Option, bei der der Geltungsbereich der Datenschutzvorschriften auf diesem Gebiet grundlegend erweitert und auf die Lücken des Rahmenbeschlusses sowie andere durch ihn aufgeworfenen Fragen eingegangen wird, und eine weitreichendere zweite Option mit sehr strikten, präskriptiven Bestimmungen, die auch die sofortige Änderung aller anderen Instrumente der ehemaligen dritten Säule nach sich zöge. Eine dritte, „minimalistische” Option, die sich weitgehend auf Mitteilungen zu Auslegungsfragen und unterstützende Maßnahmen wie Finanzierungsprogramme und technische Hilfsmittel konzentriert, wurde für die Bewältigung der Fragen nicht für geeignet erachtet, die sich beim Datenschutz auf diesem Gebiet stellen.

Bei jeder Option wurde entsprechend der üblichen Vorgehensweise der Kommission mithilfe einer Lenkungsgruppe mit Vertretern aus den beteiligten Generaldirektionen der Kommission geprüft, inwieweit mit der Option die Zielvorgaben erreicht werden, wie sich die Option wirtschaftlich auswirkt (auch auf den Haushalt der EU-Organe), welche sozialen Auswirkungen mit ihr verbunden und welche Auswirkungen auf die Grundrechte zu erwarten sind. Auswirkungen auf die Umwelt wurden nicht festgestellt.

Nach Betrachtung der einzelnen Optionen in ihrer Gesamtwirkung wurde die hier favorisierte Option ausgearbeitet und in den vorliegenden Vorschlag aufgenommen. Der Folgenabschätzung zufolge wird dessen Umsetzung den Datenschutz in diesem Bereich insbesondere durch die Einbeziehung der innerstaatlichen Datenverarbeitung weiter stärken und damit im Bereich der polizeilichen und justiziellen Zusammenarbeit auch zu mehr Rechtssicherheit für die zuständigen Behörden führen.

Der Ausschuss für Folgenabschätzung (IAB) nahm am 9. September 2011 zum Entwurf der Folgenabschätzung Stellung. Die Folgenabschätzung wurde daraufhin wie folgt abgeändert:

– Präzisiert wurde, inwieweit die Ziele der derzeitigen Datenschutzregelung erreicht oder nicht erreicht worden sind. Die Reformziele wurden klarer formuliert.

– Die Dokumentation im Abschnitt „Problemstellung“ wurde ergänzt und es wurden zusätzliche Erläuterungen eingefügt.

Die Kommission erstellte ferner einen Bericht über die Umsetzung des Rahmenbeschlusses 2008/977/JI gemäß Artikel 29 Absatz 2 des Rahmenbeschlusses. Dieser Bericht liegt als Teil des Datenschutz-Reformpakets zur Annahme vor.[19] Die Ergebnisse des Berichts, der sich auf Beiträge der Mitgliedstaaten stützt, wurden auch bei der Ausarbeitung der Folgenabschätzung berücksichtigt.

3. RECHTLICHE ASPEKTE 3.1. Rechtsgrundlage

Dieser Vorschlag stützt sich auf Artikel 16 Absatz 2 AEUV, einer durch den Lissabonner Vertrag eingeführten neuen, spezifischen Rechtsgrundlage für Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union und durch die Mitgliedstaaten, sowie bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts und der Vorschriften über den freien Datenverkehr fallen.

Der Vorschlag zielt darauf ab, ein hohes, einheitliches Datenschutzniveau in diesem Bereich zu garantieren und damit das gegenseitige Vertrauen zwischen den Polizei- und Justizbehörden verschiedener Mitgliedstaaten zu stärken und den freien Datenverkehr und die Zusammenarbeit zwischen Polizei- und Justizbehörden zu erleichtern.

3.2. Subsidiarität und Verhältnismäßigkeit

Nach dem Subsidiaritätsprinzip (Artikel 5 Absatz 3 EUV) wird die Union nur tätig, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten allein nicht ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind. Im Hinblick auf die beschriebene Problematik zeigt die Subsidiaritätsanalyse, dass aus folgenden Gründen im Bereich der polizeilichen und justiziellen Zusammenarbeit Maßnahmen auf EU-Ebene notwendig sind:

– Das Recht auf Schutz personenbezogener Daten, das in Artikel 8 der Grundrechtecharta und in Artikel 16 Absatz 1 AEUV verankert ist, verlangt ein unionsweit einheitliches Datenschutzniveau. Auf innerstaatlicher Ebene muss dasselbe Schutzniveau für den Austausch und die Verarbeitung von Daten gelten.

– Der Bedarf der Strafverfolgungsbehörden in den Mitgliedstaaten an immer schnellerer Datenverarbeitung und immer schnellerem Datenaustausch zur Verhütung und Bekämpfung von Kriminalität und Terrorismus, die nicht an Landesgrenzen haltmachen, nimmt ständig zu. Hier werden einheitliche, klare Datenschutzvorschriften auf EU-Ebene zu verstärkter Zusammenarbeit dieser Behörden beitragen.

– Die praktischen Schwierigkeiten bei der Durchsetzung der Datenschutzvorschriften und die notwendige Zusammenarbeit zwischen den Mitgliedstaaten und ihren Behörden erfordern eine Organisation auf EU-Ebene, um die einheitliche Anwendung des Unionsrechts zu gewährleisten. In bestimmten Situationen ist die EU die bestgeeignete Ebene, um sicherzustellen, dass alle Betroffenen bei der Übermittlung personenbezogener Daten in Drittländer wirksam und in gleichem Maße geschützt sind.

– Die Mitgliedstaaten können die derzeitigen Probleme – vor allem die durch die Uneinheitlichkeit der nationalen Vorschriften bedingten Probleme – nicht allein bewältigen. Es besteht daher ein besonderer Bedarf an einer harmonisierten, kohärenten Regelung, die einen reibungslosen Transfer personenbezogener Daten innerhalb der EU ermöglicht und gleichzeitig EU-weit allen Betroffenen einen wirksamen Datenschutz garantiert.

– Wegen Art und Umfang der Probleme, die nicht auf einen oder mehrere Mitgliedstaaten beschränkt sind, dürften die vorgeschlagenen Legislativmaßnahmen der EU wirksamer sein als vergleichbare Maßnahmen auf Ebene der Mitgliedstaaten.

Nach dem Verhältnismäßigkeitsprinzip muss jedes Handeln zielgerichtet sein und darf nicht über das hinausgehen, was für die Erreichung der angestrebten Ziele notwendig ist. An diesem Grundsatz hat sich die Ausarbeitung dieses Vorschlags von der Feststellung und Analyse der möglichen Optionen bis hin zu seiner Formulierung orientiert.

Eine Richtlinie ist deshalb am besten geeignet, die EU-weite Harmonisierung auf diesem Gebiet zu gewährleisten und gleichzeitig den Mitgliedstaaten bei der Umsetzung der Grundsätze, der Durchführung der Vorschriften und der Anwendung der Ausnahmebestimmungen auf nationaler Ebene den notwendigen Spielraum zu geben. Angesichts der komplexen nationalen Vorschriften, die derzeit für den Schutz von personenbezogenen Daten gelten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, und des Ziels der umfassenden Harmonisierung dieser Vorschriften durch diese Richtlinie wird die Kommission die Mitgliedstaaten ersuchen müssen, erläuternde Dokumente zum Verhältnis zwischen den Komponenten der Richtlinie und den entsprechenden Teilen der nationalen Umsetzungsinstrumente bereitzustellen, um ihrer Kontrollaufgabe im Hinblick auf die Umsetzung der Richtlinie gerecht werden zu können.

3.3. Zusammenfassung der Grundrechtsaspekte

Das Recht auf Schutz personenbezogener Daten ist in Artikel 8 der Charta der Grundrechte der EU, Artikel 16 AEUV und Artikel 8 der EMRK verankert. Wie der Gerichtshof der EU betont hat,[20] kann das Recht auf Schutz der personenbezogenen Daten jedoch keine uneingeschränkte Geltung beanspruchen, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen werden.[21] Datenschutz und Achtung des Privat- und Familienlebens, das durch Artikel 7 der Charta geschützt ist, hängen eng zusammen. Dies geht aus Artikel 1 Absatz 1 der Richtlinie 95/46/EG hervor, wonach die Mitgliedstaaten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleisten.

Andere möglicherweise betroffene, in der Charta verankerte Grundrechte sind das Verbot einer Diskriminierung unter anderem wegen der Rasse, der ethnischen Herkunft, der genetischen Merkmale, der Religion oder der Weltanschauung, der politischen oder sonstigen Anschauung, einer Behinderung oder der sexuellen Ausrichtung (Artikel 21), die Rechte des Kindes (Artikel 24) und das Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren (Artikel 47).

3.4. Erläuterung des Vorschlags im Einzelnen 3.4.1. KAPITEL I – ALLGEMEINE BESTIMMUNGEN

In Artikel 1 wird der Gegenstand der Richtlinie definiert, d. h. die Bestimmungen für die Verarbeitung personenbezogener Daten zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten festlegt; ferner wird das zweifache Ziel der Richtlinie dargelegt, die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf den Schutz personenbezogener Daten zu schützen und gleichzeitig ein hohes Maß an öffentlicher Sicherheit zu gewährleisten sowie den Austausch personenbezogener Daten zwischen zuständigen Behörden in der Europäischen Union zu gewährleisten.

Artikel 2 bestimmt den Anwendungsbereich der Richtlinie. Der Anwendungsbereich der Richtlinie ist nicht auf grenzübergreifende Datenverarbeitung beschränkt, sondern umfasst alle Verarbeitungen, die von „zuständigen Behörden“ (gemäß der Definition in Artikel 3 Nummer 14) für die Zwecke dieser Richtlinie durchgeführt werden. Die Richtlinie gilt weder für eine Verarbeitung im Rahmen von Tätigkeiten, die nicht in den Bereich des Unionsrechts fallen, noch für eine Verarbeitung durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union, die in der Verordnung (EG) Nr. 45/2001 und anderen spezifischen Rechtsvorschriften geregelt ist.

Artikel 3 enthält die Begriffsbestimmungen. Einige Begriffsbestimmungen wurden von der Richtlinie 95/46/EG und dem Rahmenbeschluss 2008/977/JI übernommen, andere wurden abgeändert, ergänzt oder neu eingeführt. Die neuen Begriffsbestimmungen sind: „Verletzung des Schutzes personenbezogener Daten“, „genetische Daten“, „zuständige Behörden“ (gemäß Artikel 87 AEUV und Artikel 2 Buchstabe h des Rahmenbeschlusses 2008/977/JI) und „Kind“ (im Sinne der UN-Kinderrechtskonvention)[22].

3.4.2. KAPITEL II – GRUNDSÄTZE

Artikel 4 enthält die für die Verarbeitung personenbezogener Daten geltenden Grundsätze entsprechend Artikel 6 der Richtlinie 95/46/EG sowie Artikel 3 des Rahmenbeschlusses 2008/977/JI, die dem Anwendungsbereich dieser Richtlinie angepasst sind.

Nach Artikel 5 muss soweit wie möglich zwischen personenbezogenen Daten verschiedener Kategorien betroffener Personen unterschieden werden. Dabei handelt es sich um eine neue, weder in der Richtlinie 95/46/EG noch im Rahmenbeschluss 2008/977/JI enthaltene Bestimmung, die die Kommission aber ursprünglich für den Rahmenbeschluss vorgeschlagen hatte[23] und die sich an die Empfehlung des Europarats Nr. R (87)15 anlehnt. Entsprechende Vorschriften gelten bereits für Europol[24] und Eurojust[25].

Artikel 6 zur Unterscheidung nach Richtigkeit und Zuverlässigkeit entspricht dem Grundsatz 3.2 der Empfehlung des Europarats Nr. R (87)15. Ähnliche Bestimmungen, die ebenfalls im Kommissionsvorschlag für den Rahmenbeschluss standen, gelten für Europol[26].

Artikel 7 enthält die Kriterien für eine rechtmäßige Verarbeitung, die für die Wahrnehmung einer Aufgabe durch eine zuständige Behörde aufgrund innerstaatlicher Rechtsvorschriften erforderlich ist, um einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen nachzukommen, lebenswichtige Interessen der betroffenen oder einer anderen Person zu schützen oder eine unmittelbare, schwerwiegende Gefährdung der öffentlichen Sicherheit eines Mitgliedstaats abzuwehren. Die übrigen Kriterien für eine rechtmäßige Verarbeitung gemäß Artikel 7 der Richtlinie 95/46/EG sind für die Verarbeitung im Bereich Polizei und Strafjustiz nicht zweckdienlich.

Artikel 8 enthält in Anlehnung an Artikel 8 der Richtlinie 95/46/EG ein allgemeines Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Ausnahmen von diesem Verbot, in die nach der Rechtsprechung des EGMR[27] die genetischen Daten einbezogen werden.

Im Einklang mit Artikel 7 des Rahmenbeschlusses 2008/977/JI enthält Artikel 9 ein Verbot von ausschließlich automatisierter Verarbeitung personenbezogener Daten, wenn diese nicht aufgrund eines Gesetzes zulässig ist, das angemessene Garantien vorsieht.

3.4.3. KAPITEL III – RECHTE DER BETROFFENEN PERSON

Artikel 10 verpflichtet die Mitgliedstaaten zur Transparenz durch Bereitstellung leicht zugänglicher und verständlicher Informationen in Anlehnung an den Grundsatz 10 der Madrider Entschließung zu Internationalen Standards zum Schutz der Privatsphäre[28] sowie dazu, die für die Verarbeitung Verantwortlichen zu verpflichten, Verfahren vorzusehen und Vorkehrungen zu treffen, damit die betroffenen Personen ihre Rechte besser wahrnehmen können. Hierzu gehört auch das Erfordernis, dass die Inanspruchnahme der Rechte in der Regel kostenlos sein sollte.

Artikel 11 enthält die Verpflichtung der Mitgliedstaaten, die Information der betroffenen Person sicherzustellen. Grundlage hierfür bilden die Artikel 10 und 11 der Richtlinie 95/46/EG, allerdings ohne zu unterscheiden, ob die Daten bei der betroffenen Person selbst erhoben wurden oder nicht, und unter Erweiterung der Informationspflichten. In Anlehnung an Artikel 13 der Richtlinie 95/46/EG und Artikel 17 des Rahmenbeschlusses 2008/977/JI enthält der Artikel auch Ausnahmen von der Informationspflicht, soweit diese Ausnahmen verhältnismäßig und in einer demokratischen Gesellschaft notwendig sind, um den zuständigen Behörden die Wahrnehmung ihrer Aufgaben zu ermöglichen.

Artikel 12 schreibt den Mitgliedstaaten vor sicherzustellen, dass die betroffene Person Auskunft über ihre personenbezogenen Daten erhält. Er basiert auf Artikel 12 Buchstabe a der Richtlinie 95/46/EG, enthält jedoch einige neue Elemente, zu denen die betroffenen Personen Auskunft erhalten müssen (Speicherfrist, Recht auf Berichtigung, auf Löschung oder Einschränkung der Verarbeitung sowie zum Beschwerderecht).

Artikel 13 sieht vor, dass die Mitgliedstaaten Rechtsvorschriften erlassen können, die das Auskunftsrecht beschränken, wenn dies aufgrund der besonderen Art der Datenverarbeitung im polizeilichen Bereich und im Bereich der Strafjustiz geboten scheint, sowie über die Unterrichtung der betroffenen Person über die Beschränkung des Auskunftsrechts; diese Bestimmung entspricht Artikel 17 Absätze 2 und 3 des Rahmenbeschlusses 2008/977/JI.

Artikel 14 regelt, dass in Fällen, in denen das direkte Auskunftsrecht eingeschränkt ist, die betroffene Person über die Möglichkeit unterrichtet werden muss, über die Aufsichtsbehörde mittelbare Auskunft zu erhalten, die das Recht an ihrer Stelle ausüben kann und die betroffene Person über das Ergebnis ihrer Nachforschungen informieren muss.

Artikel 15 zum Recht auf Berichtigung geht auf Artikel 12 Buchstabe b der Richtlinie 95/46/EG zurück und auf Artikel 18 Absatz 1 des Rahmenbeschlusses 2008/977/JI, soweit es um die Pflichten im Fall der Verweigerung dieses Rechts geht.

Artikel 16 zum Recht auf Löschung ist an Artikel 12 Buchstabe b der Richtlinie 95/46/EG angelehnt sowie an Artikel 18 Absatz 1 des Rahmenbeschlusses 2008/977/JI, soweit es um die Pflichten im Fall der Verweigerung dieses Rechts geht. Darüber hinaus wird ein Recht auf Markierung der Datenverarbeitung in bestimmten Fällen eingeführt. Damit wird der in Artikel 12 Buchstabe b der Richtlinie 95/46/EG und in Artikel 18 Absatz 1 des Rahmenbeschlusses 2008/977/JI verwendete mehrdeutige Ausdruck „Sperrung“ ersetzt.

Artikel 17 betrifft die Berichtigung und Löschung sowie die Einschränkung der Verarbeitung in Gerichtsverfahren und liefert eine Klarstellung zu Artikel 4 Absatz 4 des Rahmenbeschlusses 2008/977/JI.

3.4.4. KAPITEL IV - FÜR DIE VERARBEITUNG VERANTWORTLICHER UND AUFTRAGSVERARBEITER 3.4.4.1. ABSCHNITT 1 – ALLGEMEINE PFLICHTEN

Artikel 18 enthält eine Beschreibung der dem für die Verarbeitung Verantwortlichen obliegenden Verpflichtung, dieser Richtlinie nachzukommen, unter anderem durch die Einführung entsprechender Maßnahmen und Verfahren.

Artikel 19 verlangt von den Mitgliedstaaten, dafür zu sorgen, dass der für die Verarbeitung Verantwortliche den Pflichten nachkommt, die ihm aus dem Grundsatz des Datenschutzes durch Technik und dem Gebot datenschutzfreundlicher Voreinstellungen erwachsen.

Artikel 20 präzisiert den Status von gemeinsam für die Verarbeitung Verantwortlichen in Bezug auf ihr Verhältnis untereinander.

Artikel 21, der zum Teil auf Artikel 17 Absatz 2 der Richtlinie 95/46/EG basiert, präzisiert die Stellung und Pflichten eines Auftragsverarbeiters und enthält unter anderem die Neuregelung, wonach ein Auftragsverarbeiter, der über die Anweisungen des für die Verarbeitung Verantwortlichen hinaus Daten verarbeitet, als Mitverantwortlicher für die Verarbeitung gilt.

Artikel 22, der die Verarbeitung unter der Aufsicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters regelt, entspricht Artikel 16 der Richtlinie 95/46/EG.

Artikel 23 führt für den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter die Pflicht ein, alle unter ihrer Verantwortung stehenden Verarbeitungssysteme und -verfahren zu dokumentieren.

Artikel 24 regelt die Aufzeichnungspflichten im Einklang mit Artikel 10 Absatz 1 des Rahmenbeschlusses 2008/977 mit weiteren Klarstellungen.

Artikel 25 regelt die Pflicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters zur Zusammenarbeit mit der Aufsichtsbehörde.

Artikel 26 betrifft Fälle, in denen vor der Verarbeitung der Daten die Aufsichtsbehörde zu Rate zu ziehen ist. Diese Bestimmung fußt auf Artikel 23 des Rahmenbeschlusses 2008/977/JI.

3.4.4.2. ABSCHNITT 2 – DATENSICHERHEIT

Artikel 27 zur Sicherheit der Verarbeitung basiert auf Artikel 17 Absatz 1 der Richtlinie 95/46/EG und Artikel 22 des Rahmenbeschlusses 2008/977/JI; die entsprechenden Pflichten werden jetzt ungeachtet des Vertragsverhältnisses zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter auf Letztere ausgedehnt.

Die Artikel 28 und 29 führen in Anlehnung an Artikel 4 Absatz 3 der Richtlinie 2002/58/EG über den Datenschutz in der elektronischen Kommunikation eine Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten ein, wobei unterschieden wird zwischen der Meldepflicht gegenüber der Aufsichtsbehörde (Artikel 28) und der unter bestimmten Umständen bestehenden Pflicht zur Benachrichtigung der betroffenen Person (Artikel 29). Artikel 29 sieht unter Bezugnahme auf Artikel 11 Absatz 4 auch Ausnahmen vor.

3.4.4.3. ABSCHNITT 3 – DATENSCHUTZBEAUFTRAGTER

Artikel 30 schreibt zwingend vor, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten benennen muss, dem die in Artikel 32 genannten Aufgaben obliegen. Handeln mehrere zuständige Behörden unter der Aufsicht einer zentralen Behörde, die als Verarbeitungsverantwortlicher fungiert, muss zumindest diese Behörde einen Datenschutzbeauftragten benennen. Artikel 18 Absatz 2 der Richtlinie 95/46/EG bot den Mitgliedstaaten die Möglichkeit, als Ersatz für die allgemeine Meldepflicht die Bestellung eines Datenschutzbeauftragten vorzusehen.

Artikel 31 regelt die Stellung des Datenschutzbeauftragten.

Artikel 32 regelt die Aufgaben des Datenschutzbeauftragten.

3.4.5. KAPITEL V – ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN

Artikel 33 regelt, welche allgemeinen Grundsätze für die Übermittlung oder Weitergabe personenbezogener Daten an Drittländer oder internationale Organisationen im Bereich der polizeilichen oder justiziellen Zusammenarbeit in Strafsachen gelten. Es wird klargestellt, dass Daten nur dann in ein Drittland übermittelt werden dürfen, wenn dies für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist.

Nach Artikel 34 dürfen Daten an ein Drittland übermittelt werden, zu dem die Kommission nach der Verordnung…/../201X einen Angemessenheitsbeschluss erlassen hat, oder wenn es speziell um den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen geht oder ansonsten, wenn geeignete Garantien bestehen. Solange keine Angemessenheitsbeschlüsse vorliegen, stellt die Richtlinie sicher, dass auf der Grundlage geeigneter Garantien und Ausnahmen weiterhin Daten übermittelt werden können. Ansonsten erläutert der Artikel die Kriterien, die für die Beurteilung eines angemessenen Schutzniveaus maßgeblich sind; ausdrücklich werden dabei die Rechtsstaatlichkeit, der gerichtliche Rechtsschutz und eine unabhängige Aufsicht genannt. Der Artikel gibt der Kommission die Möglichkeit, das Schutzniveau in einem Gebiet oder einem Verarbeitungssektor eines Drittlands zu beurteilen. Nach diesem Artikel soll ein nach Artikel 38 der Datenschutz-Grundverordnung erlassener Angemessenheitsbeschluss im Rahmen dieser Richtlinie anwendbar sein. Die Kommission kann einen Angemessenheitsbeschluss jedoch auch ausschließlich für die Zwecke dieser Richtlinie erlassen.

Artikel 35 bestimmt, dass bei Fehlen eines Angemessenheitsbeschlusses der Kommission vor einer Datenübermittlung in ein Drittland angemessene Datenschutzgarantien vorhanden sein müssen. Diese Garantien können in einem rechtsverbindlichen Instrument, zum Beispiel in einem internationalen Abkommen, festgelegt sein. Wahlweise kann der für die Verarbeitung Verantwortliche nach Prüfung der für die Datenübermittlung relevanten Umstände zu dem Schluss kommen, dass solche Garantien gegeben sind.

In Artikel 36, der Artikel 26 der Richtlinie 95/46/EG sowie Artikel 13 des Rahmenbeschlusses 2008/977/JI entlehnt ist, ist geregelt, wann Datenübermittlungen vorgenommen werden dürfen.

Artikel 37 verpflichtet die Mitgliedstaaten vorzusehen, dass der für die Verarbeitung Verantwortliche den Empfänger über jede Beschränkung der Verarbeitung unterrichtet und alle zweckdienlichen Maßnahmen ergreift, um zu gewährleisten, dass diese Beschränkungen von den Empfängern der personenbezogenen Daten in dem Drittland oder der internationalen Organisation beachtet werden.

In Artikel 38 ist konkret vorgesehen, dass die Kommission und die Aufsichtsbehörden von Drittländern, insbesondere der Länder, deren Schutzniveau als angemessen angesehen wird, Verfahren für die internationale Zusammenarbeit zum Schutz personenbezogener Daten unter Berücksichtigung der OECD-Empfehlung vom 12. Juni 2007 über die grenzüberschreitende Zusammenarbeit bei der Anwendung von Datenschutzgesetzen entwickeln.

3.4.6. KAPITEL VI – NATIONALE AUFSICHTSBEHÖRDEN 3.4.6.1. ABSCHNITT 1 – UNABHÄNGIGKEIT

Artikel 39 verpflichtet die Mitgliedstaaten in Anlehnung an Artikel 28 Absatz 1 der Richtlinie 95/46/EG und an Artikel 25 des Rahmenbeschlusses 2008/977/JI, Aufsichtsbehörden einzurichten, zu deren Aufgaben auch die Zusammenarbeit untereinander sowie mit der Kommission zählt, um so zur einheitlichen Anwendung dieser Richtlinie in der Union beizutragen. Dabei kann es sich um dieselbe Aufsichtsbehörde wie die aufgrund der Datenschutz-Grundverordnung errichtete Behörde handeln.

Artikel 40 präzisiert die Kriterien für die Unabhängigkeit der Aufsichtsbehörden im Einklang mit der Rechtsprechung des Gerichtshofs der Europäischen Union[29] und in Anlehnung an Artikel 44 der Verordnung (EG) Nr. 45/2001[30].

Artikel 41 regelt in Anlehnung an die einschlägige Rechtsprechung[31] und Artikel 42 Absätze 2 bis 6 der Verordnung (EG) Nr. 45/2001 die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde.

Artikel 42 bestimmt, welche Aspekte in Bezug auf die Aufsichtsbehörden und deren Mitglieder im innerstaatlichen Recht der Mitgliedstaaten zu regeln sind.

Artikel 43 zur Verschwiegenheitspflicht der Mitglieder und Bediensteten der Aufsichtsbehörde basiert auf Artikel 28 Absatz 7 der Richtlinie 95/46/EG und Artikel 25 Absatz 4 des Rahmenbeschlusses 2008/977/JI.

3.4.6.2. ABSCHNITT 2 – AUFGABEN UND BEFUGNISSE

In Artikel 44 sind in Anlehnung an Artikel 28 Absatz 6 der Richtlinie 95/46/EG und Artikel 25 Absatz 1 des Rahmenbeschlusses 2008/977/JI die Zuständigkeiten der Aufsichtsbehörden festgeschrieben. Gerichte unterliegen dem materiellen Datenschutzrecht, sind aber von der Überwachung durch die Aufsichtsbehörde ausgenommen, wenn sie in ihrer Eigenschaft als Rechtsprechungsorgan tätig sind.

Artikel 45 verpflichtet die Mitgliedstaaten, die Pflichten der Aufsichtsbehörde festzulegen, darunter die Prüfung von Beschwerden sowie die Aufklärung der Öffentlichkeit über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Eine besondere Aufgabe der Aufsichtsbehörden im Rahmen dieser Richtlinie besteht darin, das Auskunftsrecht namens der betroffenen Personen für den Fall auszuüben, dass diesen die Auskunft verweigert oder ihr Auskunftsrecht eingeschränkt wird, und die Rechtmäßigkeit der Datenverarbeitung zu prüfen.

Artikel 46, der sich auf Artikel 28 Absatz 3 der Richtlinie 95/46/EG und Artikel 25 Absätze 2 und 3 des Rahmenbeschlusses 2008/977/JI stützt, betrifft die Befugnisse der Aufsichtsbehörde.

Artikel 47 verpflichtet die Aufsichtsbehörden nach dem Vorbild des Artikels 28 Absatz 5 der Richtlinie 95/46/EG zur jährlichen Berichterstattung über ihre Tätigkeit.

3.4.7. KAPITEL VII – ZUSAMMENARBEIT

Artikel 48 verpflichtet die Aufsichtsbehörden, einander Amtshilfe zu leisten, während Artikel 28 Absatz 6 Absatz 2 der Richtlinie 95/46/EG lediglich die Verpflichtung zur Zusammenarbeit ohne weitere Präzisierung enthält.

Gemäß Artikel 49 nimmt der durch die Datenschutz-Grundverordnung eingerichtete Europäische Datenschutzausschuss seine Aufgaben auch in Bezug auf Verarbeitungsvorgänge wahr, die in den Anwendungsbereich dieser Richtlinie fallen. Als zusätzliche Unterstützung wird die Kommission über eine Expertengruppe zu den Strafverfolgungsaspekten des Datenschutzes den Rat von Vertretern der in den Mitgliedstaaten für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten und die Strafvollstreckung zuständigen Behörden sowie von Vertretern von Europol und Eurojust einholen.

3.4.8. KAPITEL VIII – RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

Artikel 50 legt in Anlehnung an Artikel 28 Absatz 4 der Richtlinie 95/46/EG das Recht des Betroffenen auf Beschwerde bei einer Aufsichtsbehörde in Bezug auf jeden den Beschwerdeführer betreffenden Verstoß gegen die Richtlinie fest. Darüber hinaus wird präzisiert, welche Einrichtungen, Organisationen oder Verbände im Namen der betroffenen Person Beschwerde führen können. Im Falle einer Verletzung des Schutzes personenbezogener Daten können sie auch unabhängig von einer Beschwerde der betroffenen Person tätig werden.

Artikel 51 schreibt das Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde fest. Er stützt sich auf die allgemeine Bestimmung des Artikels 28 Absatz 3 der Richtlinie 95/46/EG und bestimmt insbesondere, dass die betroffene Person vor Gericht gehen kann, um eine Aufsichtsbehörde zu zwingen, im Fall einer Beschwerde tätig zu werden.

Artikel 52, der sich auf Artikel 22 der Richtlinie 95/46/EG und Artikel 20 des Rahmenbeschlusses 2008/977/JI stützt, betrifft das Recht auf gerichtlichen Rechtsbehelf gegen einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter.

Artikel 53 legt gemeinsame Vorschriften für Gerichtsverfahren fest, darunter das Recht von Einrichtungen, Organisationen oder Verbänden, betroffene Personen vor Gericht zu vertreten, sowie das Klagerecht der Aufsichtsbehörden. Die Verpflichtung der Mitgliedstaaten, für zügige Gerichtsverfahren zu sorgen, erfolgt in Anlehnung an Artikel 18 Absatz 1 der Richtlinie über den elektronischen Geschäftsverkehr[32].

Nach Artikel 54 sind die Mitgliedstaaten verpflichtet, das Recht auf Schadenersatz vorzusehen. Dieses auf Artikel 23 der Richtlinie 95/46/EG und Artikel 19 Absatz 1 des Rahmenbeschlusses 2008/977/JI basierende Recht wird auf Schäden erweitert, die der Auftragsverarbeiter verursacht hat. Näher geregelt wird auch die Haftung im Fall mehrerer Mitverantwortlicher.

Artikel 55 verpflichtet die Mitgliedstaaten, Vorschriften einzuführen, um Verstöße gegen die Richtlinie zu ahnden und dafür zu sorgen, dass diese Vorschriften angewandt werden.

3.4.9. KAPITEL X – DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

Artikel 56 enthält die Standardbestimmung für die Übertragung der Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 290 AEUV. Der Gesetzgeber kann der Kommission demnach die Befugnis übertragen, Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften eines Gesetzgebungsakts zu erlassen („quasi-legislative Rechtsakte“).

Artikel 57 regelt das Ausschussverfahren für die Übertragung von Durchführungsbefugnissen auf die Kommission in Fällen, in denen es nach Artikel 291 AEUV einheitlicher Bedingungen für die Durchführung der verbindlichen Rechtsakte der Union bedarf. Es gilt das Prüfverfahren.

3.4.10. KAPITEL XI – SCHLUSSBESTIMMUNGEN

Mit Artikel 58 wird der Rahmenbeschluss 2008/977/JI aufgehoben.

Gemäß Artikel 59 sollen die besonderen Bestimmungen für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten oder den Zugang zu den Informationssystemen im Anwendungsbereich der Richtlinie regeln, bestehen bleiben.

Artikel 60 stellt das Verhältnis dieser Richtlinie zu bestehenden internationalen Übereinkünfte der Mitgliedstaaten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen klar.

Nach Artikel 61 ist die Kommission verpflichtet, die Umsetzung der Richtlinie zu bewerten und darüber Bericht zu erstatten, um zu beurteilen, inwieweit eine Anpassung der zuvor erlassenen, in Artikel 59 genannten besonderen Bestimmungen an diese Richtlinie erforderlich ist.

Artikel 62 enthält die Verpflichtung der Mitgliedstaaten, die Richtlinie in innerstaatliches Recht umzusetzen und der Kommission die nach Maßgabe der Richtlinie erlassenen Bestimmungen zu übermitteln.

Artikel 63 legt den Zeitpunkt des Inkrafttretens der Richtlinie fest.

Artikel 64 gibt an, an wen sich diese Richtlinie richtet.

4.         AUSWIRKUNGEN AUF DEN HAUSHALT

Der Finanzbogen zu dem Vorschlag für eine Datenschutz-Grundverordnung gibt Aufschluss über die budgetären Auswirkungen der Verordnung und dieser Richtlinie.

2012/0010 (COD)

Vorschlag für

RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION –

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Anhörung des Europäischen Datenschutzbeauftragten,[33]

gemäß dem ordentlichen Gesetzgebungsverfahren,

in Erwägung nachstehender Gründe:

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union und Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union besagen, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten hat.

(2) Die Verarbeitung personenbezogener Daten steht im Dienste des Menschen; die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten daher gewährleisten, dass ungeachtet der Staatsangehörigkeit oder des Aufenthaltsorts der betreffenden Person deren Grundrechte und Grundfreiheiten und insbesondere deren Anspruch auf Schutz personenbezogener Daten gewahrt bleiben. Die Datenverarbeitung sollte zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts beitragen.

(3) Der rasche technologische Fortschritt und die Globalisierung stellen den Datenschutz vor neue Herausforderungen. Datenerhebung und Datenaustausch haben massive Ausmaße angenommen. Die Technik macht es möglich, dass die zuständigen Behörden in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen.

(4) Dies setzt voraus, dass der Datenverkehr zwischen den zuständigen Behörden innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen erleichtert werden und dabei gleichzeitig ein hohes Maß an Datenschutz gewährleistet wird. Hierzu bedarf es solider und stärker aufeinander abgestimmter Datenschutzbestimmungen in der Union, die konsequent durchgesetzt werden.

(5) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr[34] gilt für jegliche Verarbeitung personenbezogener Daten in den Mitgliedstaaten sowohl im öffentlichen als auch im privaten Bereich. Ausgenommen ist jedoch die „Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen“, beispielsweise im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit.

(6) Für den Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit gilt der Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit verarbeitet werden[35]. Der Anwendungsbereich dieses Rahmenbeschlusses beschränkt sich auf die Verarbeitung personenbezogener Daten, die zwischen Mitgliedstaaten weitergegeben oder bereitgestellt werden.

(7) Für den Zweck der wirksamen justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ist es entscheidend, einen durchweg hohen Schutz der personenbezogenen Daten natürlicher Personen zu gewährleisten und den Austausch personenbezogener Daten zwischen den zuständigen Behörden der Mitgliedstaaten zu erleichtern. Im Hinblick darauf muss dafür gesorgt werden, dass die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung in allen Mitgliedstaaten gleichermaßen geschützt werden. Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert nicht nur eine Stärkung der Rechte der betroffenen Personen und eine Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sondern auch gleiche Befugnisse der Mitgliedstaaten bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten.

(8) Artikel 16 Absatz 2 des Vertrags über die Arbeitsweise der Europäischen Union sieht den Erlass von Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten durch das Europäische Parlament und den Rat vor.

(9) Auf dieser Grundlage sind in der Verordnung EU …../2012 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) allgemeine Bestimmungen für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr personenbezogener Daten in der Union niedergelegt.

(10) In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den Vertrag von Lissabon annahm, erkannte die Regierungskonferenz an, dass es sich aufgrund des spezifischen Charakters dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Datenverkehr zu erlassen.

(11) Daher sollte eine Richtlinie verabschiedet werden, die den Besonderheiten dieses Bereichs Rechnung trägt und Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung enthält.

(12) Um zu gewährleisten, dass jeder in der Union auf der Grundlage unionsweit durchsetzbarer Rechte das gleiche Maß an Schutz genießt und Unterschiede, die den Austausch personenbezogener Daten zwischen den zuständigen Behörden behindern könnten, beseitigt werden, sollte die Richtlinie harmonisierte Vorschriften für den Schutz personenbezogener Daten und den freien Datenverkehr im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit festlegen.

(13) Diese Richtlinie erlaubt bei der Anwendung ihrer Bestimmungen die Berücksichtigung des Grundsatzes des Zugangs der Öffentlichkeit zu amtlichen Dokumenten.

(14) Der durch diese Richtlinie gewährte Schutz sollte für die Verarbeitung personenbezogener Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten.

(15) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht von den verwendeten Verfahren abhängen, da andernfalls ein ernsthaftes Risiko einer Umgehung der Vorschriften bestünde. Er sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung solcher Daten, wenn diese in einem Ablagesystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten vom Anwendungsbereich der Richtlinie ausgenommen werden. Diese Richtlinie sollte nicht für die Verarbeitung von personenbezogenen Daten im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, insbesondere im Bereich der nationalen Sicherheit, oder für Daten gelten, die von den Organen, Einrichtungen, Ämtern und Agenturen der Europäischen Union verarbeitet werden.

(16) Die Schutzprinzipien sollten für alle Informationen gelten, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Um festzustellen, ob eine natürliche Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die von dem für die Verarbeitung Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen zur Identifizierung der Person genutzt werden dürften. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann.

(17) Zu den personenbezogenen Gesundheitsdaten sollten alle Daten gezählt werden, die sich auf den Gesundheitszustand einer betroffenen Person beziehen, außerdem Informationen über die Vormerkung der betreffenden Person zur Erbringung medizinischer Leistungen, Angaben über Zahlungen oder die Berechtigung zum Empfang medizinischer Dienstleistungen, Nummern, Symbole oder Kennzeichen, die einer bestimmten Person zugeteilt wurden, um diese für medizinische Zwecke eindeutig zu identifizieren, jede Art von Informationen über die betreffende Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, darunter biologischer Proben, abgeleitet wurden, die Identifizierung einer Person als Erbringer einer Gesundheitsleistung für die betroffene Person sowie Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, gleich, ob sie von einem Arzt oder sonstigem medizinischen Personal, einem Krankenhaus, einem medizinischen Gerät oder einem In-Vitro-Diagnose-Test stammen.

(18) Jede Verarbeitung personenbezogener Daten sollte gegenüber den betroffenen Personen nach Treu und Glauben sowie nach Recht und Gesetz erfolgen. Vor allem sollten die jeweiligen Zwecke der Datenverarbeitung eindeutig festgelegt sein.

(19) Zur Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten müssen die zuständigen Behörden personenbezogene Daten, die im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat erhoben wurden, auch speichern und in einem anderen Kontext verarbeiten können, um sich ein Bild der kriminellen Erscheinungen und Trends machen, Erkenntnisse über Netzwerke der organisierten Kriminalität sammeln und Verbindungen zwischen verschiedenen aufgedeckten Straftaten herstellen zu können.

(20) Personenbezogene Daten sollten nur für Zwecke verarbeitet werden, die mit dem Zweck ihrer Erhebung vereinbar sind. Personenbezogene Daten sollten dem Zweck angemessen und sachlich relevant sowie im Verhältnis zu den Zwecken der Datenverarbeitung nicht exzessiv sein. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige oder unvollständige personenbezogene Daten berichtigt oder gelöscht werden.

(21) Der Grundsatz der sachlichen Richtigkeit der Daten sollte unter Berücksichtigung von Art und Zweck der jeweiligen Verarbeitung angewandt werden. Aussagen, die personenbezogene Daten enthalten, basieren gerade in Gerichtsverfahren auf der subjektiven Wahrnehmung von Personen und sind nicht immer nachprüfbar. Infolgedessen sollte sich der Grundsatz der sachlichen Richtigkeit nicht auf die Richtigkeit einer Aussage beziehen, sondern lediglich auf die Tatsache, dass eine bestimmte Aussage gemacht worden ist.

(22) Bei der Auslegung und Anwendung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sollte den Besonderheiten dieses Bereichs und dessen spezifischen Zielen Rechnung getragen werden.

(23) Bei der Verarbeitung personenbezogener Daten im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geht es naturgemäß um betroffene Personen verschiedener Kategorien. Daher sollte so weit wie möglich klar zwischen den personenbezogenen Daten der einzelnen Kategorien betroffener Personen unterschieden werden wie Verdächtigte, verurteilte Straftäter, Opfer und Dritte, beispielsweise Zeugen, Personen, die über einschlägige Informationen verfügen, oder Personen, die mit Verdächtigten oder verurteilten Straftätern in Kontakt oder in Verbindung stehen.

(24) Die personenbezogenen Daten sollten so weit wie möglich nach ihrer Richtigkeit und Zuverlässigkeit unterschieden werden. Fakten sollten von persönlichen Einschätzungen unterschieden werden, um den Schutz des Betroffenen und gleichzeitig auch die Qualität und Zuverlässigkeit der von den zuständigen Behörden verarbeiteten Informationen zu gewährleisten.

(25) Die Verarbeitung personenbezogener Daten sollte nur dann als rechtmäßig gelten, wenn sie zur Erfüllung einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen, zur Wahrnehmung einer Aufgabe, die eine zuständige Behörde im öffentlichen Interesse aufgrund des Gesetzes oder zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person ausführt, oder zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit erforderlich ist.

(26) Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte oder der Privatsphäre besonders sensibel sind, wie zum Beispiel genetische Daten, bedürfen eines besonderen Schutzes. Solche Daten sollten nur dann verarbeitet werden, wenn die Verarbeitung durch eine Rechtsvorschrift, die geeignete Garantien für die rechtmäßigen Interessen der betroffenen Person enthält, ausdrücklich erlaubt ist, die Verarbeitung zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist oder sich auf Daten bezieht, die die betroffene Person offenkundig öffentlich gemacht hat.

(27) Eine natürliche Person sollte das Recht haben, keiner Maßnahme unterworfen zu werden, die allein auf automatischer Datenverarbeitung basiert, wenn dadurch eine nachteilige Rechtsfolge für die betroffene Person entsteht, es sei denn, sie ist gesetzlich erlaubt und mit geeigneten Garantien für die rechtmäßigen Interessen der betroffenen Person verbunden.

(28) Damit die betroffene Person ihre Rechte wahrnehmen kann, sollten die Informationen für sie leicht zugänglich und verständlich, also unter anderem klar und einfach abgefasst sein.

(29) Es gilt, die Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr durch diese Richtlinie gewährten Rechte wahrzunehmen, etwa dafür, wie sie kostenfrei Auskunft über die Daten erlangen oder deren Berichtigung oder Löschung fordern kann. Der für die Verarbeitung Verantwortliche sollte verpflichtet werden, ohne unangemessene Verzögerung auf das Ansuchen der betroffenen Person zu antworten.

(30) Der Grundsatz von Treu und Glauben bei der Verarbeitung verlangt, dass die betroffene Person insbesondere über die Existenz des Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht informiert wird. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen die Verweigerung der Daten hat.

(31) Die Unterrichtung einer betroffenen Person darüber, dass sie betreffende personenbezogene Daten verarbeitet werden, sollte zum Zeitpunkt der Erhebung erfolgen oder, falls die Daten nicht bei der betroffenen Person erhoben werden, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

(32) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, haben und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden und wer die Empfänger der Daten sind, auch wenn es sich um Empfänger in Drittländern handelt. Die betroffenen Personen sollten eine Kopie ihrer personenbezogenen Daten, die einer Verarbeitung unterzogen werden, erhalten können.

(33) Den Mitgliedstaaten sollte gestattet sein, Rechtsvorschriften zu erlassen, mit denen die Information der betroffenen Person oder die Auskunft über ihre personenbezogenen Daten in einem solchen Umfang und so lange zeitweilig oder dauerhaft zurückgestellt oder eingeschränkt wird, wie diese teilweise oder vollständige Einschränkung dieser Rechte in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den berechtigten Interessen der betroffenen Person Rechnung getragen wurde, wenn dadurch gewährleistet wird, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen und Verfahren nicht behindert, die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder die Strafvollstreckung nicht gefährdet, die öffentliche und die nationale Sicherheit oder die betroffene Person oder die Rechte und Freiheiten anderer geschützt werden.

(34) Eine Verweigerung oder Einschränkung der Auskunft sollte der betroffenen Person unter Angabe der sachlichen oder rechtlichen Gründe hierfür schriftlich mitgeteilt werden.

(35) Erlassen Mitgliedstaaten Rechtsvorschriften, mit denen das Auskunftsrecht vollständig oder teilweise eingeschränkt wird, sollte die betroffene Person die zuständige nationale Aufsichtsbehörde ersuchen können, die Rechtmäßigkeit der Verarbeitung zu überprüfen. Die betroffene Person sollte über dieses Recht unterrichtet werden. Nimmt die Aufsichtsbehörde im Namen der betroffenen Person das Auskunftsrecht wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat.

(36) Jede Person sollte das Recht auf Berichtigung sie betreffender unrichtiger personenbezogener Daten sowie das Recht auf Löschung besitzen, wenn die Verarbeitung ihrer Daten unter Verstoß gegen die Grundprinzipien dieser Richtlinie erfolgt. Werden personenbezogene Daten im Zusammenhang mit strafrechtlichen Ermittlungen oder einem Strafverfahren verarbeitet, erfolgen Berichtigung, Information, Auskunft, Löschung oder Einschränkung der Verarbeitung nach Maßgabe des einzelstaatlichen Strafprozessrechts.

(37) Es sollten umfassende Bestimmungen über die Verantwortung und die Haftung des für die Verarbeitung Verantwortlichen für jedwede durch diesen oder in dessen Namen erfolgende Verarbeitung personenbezogener Daten festgelegt werden. Vor allem sollte der für die Verarbeitung Verantwortliche dafür Sorge tragen, dass die Verarbeitung nach den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt ist.

(38) Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten der betroffenen Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Richtlinie erfüllt werden. Um zu gewährleisten, dass die nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfüllt werden, sollte der für die Verarbeitung Verantwortliche Strategien festlegen und geeignete Maßnahmen ergreifen, die den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen entsprechen.

(39) Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie zur Klärung der Verantwortung und der Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuteilung der Verantwortlichkeiten durch diese Richtlinie, insbesondere für Fälle, in denen ein für die Verarbeitung Verantwortlicher die Verarbeitungszwecke, -bedingungen und ‑mittel gemeinsam mit anderen für die Verarbeitung Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird.

(40) Verarbeitungsvorgänge sollten zur Kontrolle der Einhaltung der Richtlinie von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter dokumentiert werden. Jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anforderung seine dokumentarischen Unterlagen vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Unterlagen kontrolliert werden können.

(41) Um einen wirksamen Schutz der Rechte und Freiheiten der betroffenen Personen durch Präventivmaßnahmen zu gewährleisten, sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in bestimmten Fällen vor der Verarbeitung die Aufsichtsbehörde zu Rate ziehen.

(42) Eine Verletzung des Schutzes personenbezogener Daten kann Schäden, beispielsweise eine Rufschädigung der betroffenen Person, hervorrufen, wenn nicht rechtzeitig und angemessen reagiert wird. Deshalb sollte der für die Verarbeitung Verantwortliche nach Bekanntwerden einer derartigen Verletzung die zuständige nationale Behörde unverzüglich in Kenntnis setzen. Natürliche Personen, deren personenbezogene Daten oder Privatsphäre durch eine Datenschutzverletzung beeinträchtigt werden könnten, sollten ohne unangemessene Verzögerung benachrichtigt werden, so dass sie die notwendigen Vorkehrungen treffen können. Die Auswirkungen einer solchen Verletzung sollten als für den Schutz der personenbezogenen Daten oder der Privatsphäre einer natürlichen Person nachteilig erachtet werden, wenn sie in Verbindung mit der Verarbeitung personenbezogener Daten zum Beispiel in Identitätsdiebstahl oder Betrug, einer körperlichen Schädigung, erheblichen Demütigung oder einer Rufschädigung bestehen können.

(43) Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung einer Verletzung des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Schutzvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Missbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der zuständigen Behörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände der Verletzung durch ein frühzeitiges Bekanntwerden in unnötiger Weise behindert würde.

(44) Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sollte eine Person benennen, die ihn dabei unterstützt, die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu überwachen. Mehrere Dienststellen der zuständigen Behörde können gemeinsam einen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte muss seinen Auftrag und seine Aufgaben unabhängig und wirksam wahrnehmen können.

(45) Die Mitgliedstaaten sollten dafür sorgen, dass Daten nur dann in ein Drittland übermittelt werden, wenn dies für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten oder für die Strafvollstreckung notwendig ist und es sich bei dem für die Verarbeitung Verantwortlichen in dem Drittland oder in der internationalen Organisation um eine zuständige Behörde im Sinne dieser Richtlinie handelt. Daten dürfen übermittelt werden, wenn die Kommission durch Beschluss festgestellt hat, dass das betreffende Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet, oder wenn geeignete Garantien bestehen.

(46) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer, bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten und somit in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, für Rechtssicherheit und eine einheitliche Rechtsanwendung in der gesamten Union sorgen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung in diese Länder übermittelt werden.

(47) In Übereinstimmung mit den Grundwerten der Union, insbesondere dem Schutz der Menschenrechte, sollte die Kommission bei der Bewertung eines Drittlands berücksichtigen, inwieweit dort die Rechtsstaatlichkeit geachtet wird, Zugang zur Justiz möglich ist und die internationalen Menschenrechtsbestimmungen eingehalten werden.

(48) Die Kommission sollte gleichfalls feststellen können, dass ein Drittland, ein Gebiet oder Verarbeitungssektor eines Drittlands oder eine internationale Organisation keinen angemessenen Datenschutz bietet. Folglich sollte in diesem Fall die Übermittlung personenbezogener Daten in dieses Drittland verboten werden, es sei denn, die Daten werden auf der Grundlage einer internationalen Übereinkunft, geeigneter Garantien oder einer Ausnahmeregelung übermittelt. Es sollten Verfahren für Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. Ungeachtet eines entsprechenden Kommissionsbeschlusses sollte jedoch die Möglichkeit bestehen, Daten auf der Grundlage geeigneter Garantien oder einer in dieser Richtlinie geregelten Ausnahme zu übermitteln.

(49) Datenübermittlungen, die nicht auf der Grundlage eines Angemessenheitsbeschlusses erfolgen, sollten nur dann zulässig sein, wenn in einem rechtsverbindlichen Instrument geeignete Garantien festgelegt sind, die den Schutz personenbezogener Daten gewährleisten, oder wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Datenübermittlung oder bei der Kategorie von Datenübermittlungen eine Rolle spielen, und auf der Grundlage dieser Beurteilung zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen. In Fällen, in denen es keine Gründe gibt, die eine Datenübermittlung zulassen würden, sollten Ausnahmen erlaubt sein, wenn dies notwendig ist zur Wahrung lebenswichtiger Interessen der betroffenen oder einer anderen Person, wenn dies nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, notwendig ist oder wenn dies zur Abwehr einer unmittelbaren, ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands oder in Einzelfällen zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen unerlässlich ist.

(50) Wenn personenbezogene Daten in ein anderes Land übermittelt werden, kann dies dazu führen, dass die betroffene Person weniger Möglichkeiten hat, ihre Datenschutzrechte wahrzunehmen und sich gegen eine unrechtmäßige Nutzung oder Weitergabe ihrer Daten zu schützen. Ebenso kann es vorkommen, dass Aufsichtsbehörden Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats haben. Ihre Bemühungen um grenzübergreifende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse und durch nicht übereinstimmende rechtliche Regelungen behindert werden. Die Zusammenarbeit zwischen den Datenschutzbehörden muss daher gefördert werden, um ihnen den Informationsaustausch mit Aufsichtsbehörden in anderen Ländern zu erleichtern.

(51) Die Einrichtung von Aufsichtsbehörden in den Mitgliedstaaten, die ihre Aufgaben völlig unabhängig erfüllen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Aufsichtsbehörden sollten die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden untereinander und mit der Kommission.

(52) Die Mitgliedstaaten können einer bereits gemäß der Verordnung (EU) Nr. …./2012 in den Mitgliedstaaten errichteten Aufsichtsbehörde die Verantwortung für die Aufgaben übertragen, die von den nach Maßgabe dieser Richtlinie einzurichtenden nationalen Aufsichtsbehörden auszuführen sind.

(53) Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde einrichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, die für die effektive Wahrnehmung ihrer Aufgaben, auch der Aufgaben im Zusammenhang mit der Amtshilfe und der Zusammenarbeit mit anderen Aufsichtsbehörden in der Union, notwendig und angemessen sind.

(54) Die allgemeinen Anforderungen an die Mitglieder der Aufsichtsbehörde sollten gesetzlich von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder entweder vom Parlament oder von der Regierung des Mitgliedstaats ernannt werden; ferner sollten sie Bestimmungen über die persönliche Eignung der Mitglieder und ihren Status enthalten.

(55) Obgleich diese Richtlinie auch für die Tätigkeit der nationalen Gerichte gilt, sollte sich die Zuständigkeit der Aufsichtsbehörden nicht auf die von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Datenverarbeitungen erstrecken, damit die Unabhängigkeit der Richter bei der Ausübung ihrer richterlichen Aufgaben gewahrt bleibt. Diese Ausnahme sollte allerdings begrenzt werden auf rein justizielle Tätigkeiten in Gerichtssachen und sich nicht auf andere Tätigkeiten beziehen, mit denen Richter nach nationalem Recht betraut werden können.

(56) Um die einheitliche Überwachung und Durchsetzung dieser Richtlinie in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und Befugnisse haben, unter anderem – insbesondere im Fall von Beschwerden natürlicher Personen – Untersuchungsbefugnisse sowie rechtsverbindliche Interventions-, Beschluss- und Sanktionsbefugnisse sowie die Befugnis, Gerichtsverfahren anzustrengen.

(57) Zu den Aufgaben der Aufsichtsbehörde sollte die Bearbeitung und Untersuchung von Beschwerden betroffener Personen gehören. Die Untersuchung aufgrund einer Beschwerde sollte vorbehaltlich einer gerichtlichen Nachprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb einer angemessenen Frist über den Stand und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden.

(58) Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und einander Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet ist.

(59) Der auf der Grundlage der Verordnung (EU) Nr. …/2012 eingerichtete Europäische Datenschutzausschuss sollte zur einheitlichen Anwendung dieser Richtlinie in der Union beitragen, die Kommission beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern.

(60) Jede betroffene Person, die sich in ihren Rechten verletzt sieht, die ihr aufgrund dieser Richtlinie zustehen, sollte das Recht auf Beschwerde bei einer Aufsichtsbehörde in einem Mitgliedstaat sowie das Recht auf einen gerichtlichen Rechtsbehelf haben, wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird oder wenn sie nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist.

(61) Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen im Bereich des Datenschutzes zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, sollten das Recht haben, im Namen der betroffenen Person Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen, wenn sie von dieser Person hierzu bevollmächtigt wurden, oder unabhängig von der Beschwerde einer betroffenen Person eine eigene Beschwerde zu erheben, wenn ihrer Ansicht nach der Schutz personenbezogener Daten verletzt wurde.

(62) Jede natürliche oder juristische Person sollte das Recht auf einen gerichtlichen Rechtsbehelf gegen sie betreffende Entscheidungen einer Aufsichtsbehörde haben. Für Verfahren gegen eine Aufsichtsbehörde sollten die Gerichte des Mitgliedstaats zuständig sein, in dem die Aufsichtsbehörde ihren Sitz hat.

(63) Die Mitgliedstaaten sollten sicherstellen, dass effiziente Klagemöglichkeiten vorhanden sind, mit denen rasch Maßnahmen zur Abstellung oder Verhinderung eines Verstoßes gegen diese Richtlinie erwirkt werden können.

(64) Schäden, die einer Person aufgrund einer rechtswidrigen Verarbeitung entstehen, sollten von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter ersetzt werden, der von seiner Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt.

(65) Gegen jede natürliche oder juristische – privatem oder öffentlichem Recht unterliegende – Person, die gegen diese Richtlinie verstößt, sollten Sanktionen verhängt werden. Die Mitgliedstaaten sollten dafür sorgen, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind, und alle Maßnahmen zur Anwendung der Sanktionen treffen.

(66) Um die Zielvorgaben dieser Richtlinie zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Insbesondere sollten für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten an die Aufsichtsbehörde delegierte Rechtsakte erlassen werden. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.

(67) Der Kommission sollten Durchführungsbefugnisse übertragen werden, um bezüglich der Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, der Sicherheit der Verarbeitung, insbesondere in Bezug auf Verschlüsselungsstandards, der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie der Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation einheitliche Bedingungen für die Umsetzung dieser Richtlinie zu gewährleisten. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren,[36] ausgeübt werden.

(68) Maßnahmen, die die Dokumentation der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter betreffen sowie die Sicherheit der Verarbeitung, die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

(69) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, sofort geltende Durchführungsrechtsakte erlassen.

(70) Da die Ziele dieser Richtlinie, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten und den ungehinderten Austausch personenbezogener Daten im Verkehr zwischen den zuständigen Behörden innerhalb der Union zu gewährleisten, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Richtlinie nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus.

(71) Der Rahmenbeschluss 2008/977/JI sollte durch diese Richtlinie aufgehoben werden.

(72) Die besonderen Bestimmungen für die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, sollten bestehen bleiben. Die Kommission sollte das Verhältnis zwischen dieser Richtlinie und den vor ihrem Erlass angenommenen Rechtsakten, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander oder den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen regeln, daraufhin prüfen, inwieweit die besonderen Bestimmungen dieser Rechtsakte an diese Richtlinie angepasst werden müssen.

(73) Damit personenbezogene Daten in der Union umfassend und in gleicher Weise geschützt werden, sollten die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen Übereinkünfte im Sinne dieser Richtlinie geändert werden.

(74) Diese Richtlinie lässt die Vorschriften zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie nach Maßgabe der Richtlinie 2011/92/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011[37] unberührt.

(75) Nach Artikel 6a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position des Vereinigten Königreichs und Irlands hinsichtlich des Raums der Freiheit, der Sicherheit und des Rechts sind die Bestimmungen dieser Richtlinie für das Vereinigte Königreich und Irland nicht bindend, wenn das Vereinigte Königreich und Irland nicht durch Unionsvorschriften gebunden sind, die Formen der justiziellen Zusammenarbeit in Strafsachen oder der polizeilichen Zusammenarbeit regeln, in deren Rahmen die auf der Grundlage des Artikels 16 des Vertrags über die Arbeitsweise der Europäischen Union festgelegten Vorschriften eingehalten werden müssen.

(76) Nach den Artikeln 2 und 2a des dem Vertrag über die Europäische Union und dem Vertrag über die Arbeitsweise der Europäischen Union beigefügten Protokolls über die Position Dänemarks gilt diese Richtlinie nicht für Dänemark und ist Dänemark gegenüber nicht anwendbar. Da diese Richtlinie auf dem Schengen-Besitzstand auf der Grundlage des Dritten Teils Titel V des Vertrags über die Arbeitsweise der Europäischen Union aufbaut, beschließt Dänemark gemäß Artikel 4 dieses Protokolls innerhalb von sechs Monaten nach Erlass dieser Richtlinie, ob es die Richtlinie in innerstaatliches Recht umsetzt.

(77) Für Island und Norwegen stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Übereinkommens zwischen dem Rat der Europäischen Union sowie der Republik Island und dem Königreich Norwegen über die Assoziierung der beiden letztgenannten Staaten bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands[38] dar.

(78) Für die Schweiz stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Abkommens zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands[39] dar.

(79) Für Lichtenstein stellt diese Richtlinie eine Weiterentwicklung von Bestimmungen des Schengen-Besitzstands im Sinne des Protokolls zwischen der Europäischen Union, der Europäischen Gemeinschaft, der Schweizerischen Eidgenossenschaft und dem Fürstentum Liechtenstein über den Beitritt des Fürstentums Liechtenstein zu dem Abkommen zwischen der Europäischen Union, der Europäischen Gemeinschaft und der Schweizerischen Eidgenossenschaft über die Assoziierung der Schweizerischen Eidgenossenschaft bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands[40] dar.

(80) Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die mit der Charta der Grundrechte der Europäischen Union anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere mit dem Recht auf Achtung des Privat- und Familienlebens, dem Recht auf Schutz personenbezogener Daten sowie dem Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren. Die Einschränkungen dieser Rechte stehen im Einklang mit Artikel 52 Absatz 1 der Charta, da sie erforderlich sind, um den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und der Freiheiten anderer zu entsprechen.

(81) Gemäß der Gemeinsamen Politischen Erklärung der Mitgliedstaaten und der Kommission zu erläuternden Dokumenten vom 28. September 2011 haben sich die Mitgliedstaaten verpflichtet, in begründeten Fällen zusätzlich zur Mitteilung ihrer Umsetzungsmaßnahmen ein oder mehrere Dokumente zu übermitteln, in denen der Zusammenhang zwischen den Bestandteilen einer Richtlinie und den entsprechenden Teilen einzelstaatlicher Umsetzungsinstrumente erläutert wird. In Bezug auf diese Richtlinie hält der Gesetzgeber die Übermittlung derartiger Dokumente für gerechtfertigt.

(82) Diese Richtlinie sollte die Mitgliedstaaten nicht daran hindern, die Bestimmungen über die Ausübung der Rechte der betroffenen Person auf Unterrichtung, Auskunft, Berichtigung, Löschung und Beschränkung ihrer im Rahmen eines Strafverfahrens verarbeiteten personenbezogenen Daten sowie mögliche Beschränkungen dieser Rechte in ihr einzelstaatliches Strafprozessrecht umzusetzen –

HABEN FOLGENDE RICHTLINIE ERLASSEN:

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

Artikel 1 Gegenstand und Ziele

1.           Diese Richtlinie enthält Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung.

2.           Gemäß dieser Richtlinie stellen die Mitgliedstaaten Folgendes sicher:

a)      Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere Gewährleistung ihres Rechts auf Schutz personenbezogener Daten und

b)      Sicherstellung, dass der Austausch personenbezogener Daten zwischen den zuständigen Behörden in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird.

Artikel 2 Anwendungsbereich

1.           Diese Richtlinie gilt für die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zu den in Artikel 1 Absatz 1 genannten Zwecken.

2.           Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

3.           Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten

a)      im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, etwa im Bereich der nationalen Sicherheit,

b)      durch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union.

Artikel 3 Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

(1) „betroffene Person“ eine bestimmte natürliche Person oder eine natürliche Person, die direkt oder indirekt mit Mitteln bestimmt werden kann, die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, etwa durch Zuordnung zu einer Kennnummer, zu Standortdaten, zu Online-Kennungen oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

(2) „personenbezogene Daten“ alle Informationen, die sich auf eine betroffene Person beziehen;

(3) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, das Löschen oder Vernichten der Daten sowie die Beschränkung des Zugriffs auf Daten;

(4) „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

(5) „Datei“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder aufgeschlüsselt nach funktionalen oder geografischen Gesichtspunkten geführt wird;

(6) „für die Verarbeitung Verantwortlicher“ die zuständige Behörde, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten durch einzelstaatliches oder Unionsrecht vorgegeben, kann das einzelstaatliche oder das Unionsrecht den für die Verarbeitung Verantwortlichen beziehungsweise die Modalitäten für seine Benennung bestimmen;

(7) „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(8) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, an die personenbezogene Daten weitergegeben werden;

(9) „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(10) „genetische Daten“ Daten jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(11) „biometrische Daten“ Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(12) „Gesundheitsdaten“ Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(13) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(14) „zuständige Behörde“ jede Behörde, die für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig ist;

(15) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 39 eingerichtete staatliche Stelle.

KAPITEL II

GRUNDSÄTZE

Artikel 4 Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten

Die Mitgliedstaaten tragen dafür Sorge, dass personenbezogene Daten

a)      nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b)      für genau festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen;

c)      im Hinblick auf die Zwecke der Datenverarbeitung angemessen, sachlich relevant und nicht exzessiv sind;

d)      sachlich richtig und, wenn nötig, auf dem neuesten Stand sind; alle angemessenen Maßnahmen müssen getroffen werden, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

e)      nicht länger, als es für die Realisierung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht;

f)       unter der Verantwortung und Haftung des für die Verarbeitung Verantwortlichen verarbeitet werden, der die Einhaltung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

Artikel 5 Unterscheidung verschiedener Kategorien von betroffenen Personen

1.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche so weit wie möglich zwischen den personenbezogenen Daten verschiedener Kategorien von betroffenen Personen klar unterscheidet, darunter:

a)      Personen, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben oder in naher Zukunft begehen werden;

b)      verurteilte Straftäter;

c)      Opfer einer Straftat oder Personen, bei denen bestimmte Fakten darauf hindeuten, dass sie Opfer einer Straftat sein könnten;

d)      Dritte bei einer Straftat, wie Personen, die bei Ermittlungen in Verbindung mit der betreffenden Straftat oder beim anschließenden Strafverfahren als Zeugen in Betracht kommen, Personen, die Hinweise zur Straftat geben können, oder Personen, die mit den unter Buchstaben a und b genannten Personen in Kontakt oder in Verbindung stehen sowie

e)      Personen, die keiner dieser Kategorien zugerechnet werden können.

Artikel 6 Unterscheidung der personenbezogenen Daten nach Richtigkeit und Zuverlässigkeit

1.           Die Mitgliedstaaten tragen dafür Sorge, dass die zu verarbeitenden Datenkategorien so weit wie möglich nach ihrer sachlichen Richtigkeit und Zuverlässigkeit unterschieden werden.

2.           Die Mitgliedstaaten tragen dafür Sorge, dass bei personenbezogenen Daten so weit wie möglich zwischen solchen unterschieden werden, die auf Fakten beruhen, und solchen, die auf persönlichen Einschätzungen beruhen.

Artikel 7 Rechtmäßigkeit der Verarbeitung

Die Mitgliedstaaten legen fest, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn und soweit die Verarbeitung zu folgenden Zwecken notwendig ist:

(a) zur Wahrnehmung einer gesetzlichen Aufgabe, die eine zuständige Behörde zu den in Artikel 1 Absatz 1 genannten Zwecken ausführt,

(b) zur Erfüllung einer gesetzlichen Verpflichtung, der der für die Verarbeitung Verantwortliche unterliegt,

(c) zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person oder

(d) zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentlichen Sicherheit.

Artikel 8 Verarbeitung besonderer Kategorien von personenbezogenen Daten

1.           Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die Rasse und ethnische Herkunft, politische Meinungen, Religion oder Überzeugungen, die Gewerkschaftszugehörigkeit hervorgehen, sowie von genetischen Daten oder die Gesundheit oder das Sexualleben betreffenden Daten.

2.           Absatz 1 gilt nicht in folgenden Fällen:

a)      Die Verarbeitung ist durch eine Vorschrift gestattet, die geeignete Garantien vorsieht;

b)      die Verarbeitung ist zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich oder

c)      die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat.

Artikel 9 Auf Profiling und automatischer Datenverarbeitung basierende Maßnahmen

1.           Die Mitgliedstaaten legen fest, dass Maßnahmen, die eine nachteilige Rechtsfolge für die betroffene Person haben oder sie erheblich beeinträchtigen und die ausschließlich aufgrund einer automatisierten Verarbeitung von personenbezogenen Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergehen, verboten sind, es sei denn, dies ist durch ein Gesetz erlaubt, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.

2.           Die automatisierte Verarbeitung personenbezogener Daten zum Zwecke der Auswertung bestimmter persönlicher Aspekte der betroffenen Person darf sich nicht ausschließlich auf die in Artikel 8 genannten besonderen Kategorien personenbezogener Daten stützen.

KAPITEL III

RECHTE DER BETROFFENEN PERSON

Artikel 10 Modalitäten für die Ausübung der Rechte der betroffenen Person

1.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle vertretbaren Schritte unternimmt, um in Bezug auf die Verarbeitung personenbezogener Daten und die der betroffenen Person zustehenden Rechte nachvollziehbare und für jedermann leicht zugängliche Strategien zu verfolgen.

2.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten in verständlicher Form unter Verwendung einer klaren, einfachen Sprache zur Verfügung stellt.

3.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle zumutbaren Schritte unternimmt, um Verfahren für die Bereitstellung der Informationen gemäß Artikel 11 und für die Ausübung der den betroffenen Personen gemäß den Artikeln 12 bis 17 zustehenden Rechte einzuführen.

4.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die betroffene Person ohne unangemessene Verzögerung von den Maßnahmen in Kenntnis setzt, die im Zusammenhang mit etwaigen Anträgen getroffen wurden.

5.           Die Mitgliedstaaten legen fest, dass die Unterrichtung und jegliche im Zusammenhang mit einem Antrag nach den Absätzen 3 und 4 getroffene Maßnahme des für die Verarbeitung Verantwortlichen kostenfrei ist. Bei missbräuchlichen Anträgen, besonders im Fall ihrer Häufung oder ihres zu großen Umfangs oder Volumens, kann der für die Verarbeitung Verantwortliche ein Entgelt für die Unterrichtung oder die Durchführung der beantragten Maßnahme verlangen oder die beantragte Maßnahme unterlassen. In diesem Fall trägt der für die Verarbeitung Verantwortliche die Beweislast für den missbräuchlichen Charakter des Antrags.

Artikel 11 Information der betroffenen Person

1.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche alle geeigneten Maßnahmen ergreift, um einer Person, von der personenbezogene Daten erhoben werden, zumindest Folgendes mitzuteilen:

a)      den Namen sowie die Kontaktdaten des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten,

b)      die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind,

c)      die Speicherfrist,

d)      das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

e)      das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde gemäß Artikel 39 sowie deren Kontaktdaten,

f)       die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, auch der Empfänger in Drittländern oder in internationalen Organisationen,

g)      sonstige Informationen, soweit diese die unter Berücksichtigung der spezifischen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

2.           Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der für die Verarbeitung Verantwortliche dieser Person neben den in Absatz 1 genannten Informationen außerdem mit, ob die Bereitstellung der Daten obligatorisch oder freiwillig ist und welche mögliche Folgen die Zurückhaltung der Daten hätte.

3.           Der für die Verarbeitung Verantwortliche erteilt die Auskünfte gemäß Absatz 1

a)      zum Zeitpunkt der Erhebung der personenbezogenen Daten bei der betroffenen Person oder

b)      im Fall, die Daten werden nicht bei der betroffenen Person erhoben, zum Zeitpunkt der Erfassung oder innerhalb einer angemessenen Frist nach der Erhebung unter Berücksichtigung der jeweiligen Umstände der Verarbeitung.

4.           Die Mitgliedstaaten dürfen Rechtsvorschriften erlassen, die die Unterrichtung der betroffenen Person zu folgenden Zwecken in einem solchen Umfang und so lange hinauszögern, einschränken oder unterbinden, wie diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und sofern den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

(a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

(b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten nicht beeinträchtigt oder dass strafrechtliche Sanktionen vollstreckt werden;

(c) zum Schutz der öffentlichen Sicherheit;

(d) zum Schutz der nationalen Sicherheit;

(e) zum Schutz der Rechte und Freiheiten anderer.

5.           Die Mitgliedstaaten können die Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 4 vollständig oder teilweise zur Anwendung kommt.

Artikel 12 Auskunftsrecht der betroffenen Person

1.           Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht. Werden personenbezogene Daten verarbeitet, teilt der für die Verarbeitung Verantwortliche Folgendes mit:

a)      die Verarbeitungszwecke,

b)      die Kategorien personenbezogener Daten, die verarbeitet werden,

c)      die Empfänger oder Arten von Empfängern, an die die personenbezogenen Daten weitergegeben wurden, speziell bei Empfängern in Drittländern,

d)      die Speicherfrist,

e)      das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten und auf Einschränkung der Verarbeitung dieser Daten durch den für die Verarbeitung Verantwortlichen,

f)       das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde sowie deren Kontaktdaten,

g)      diejenigen personenbezogenen Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten.

2.           Die Mitgliedstaaten legen fest, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu verlangen.

Artikel 13 Einschränkung des Auskunftsrechts

1. Die Mitgliedstaaten können Rechtsvorschriften erlassen, die zu nachstehenden Zwecken das Recht der betroffenen Person auf Auskunft teilweise oder vollständig einschränken, soweit diese teilweise oder vollständige Einschränkung in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist und den berechtigten Interessen der betroffenen Person Rechnung getragen wurde:

(a) zur Gewährleistung, dass behördliche oder gerichtliche Ermittlungen, Untersuchungen oder Verfahren nicht behindert werden;

(b) zur Gewährleistung, dass die Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden;

(c) zum Schutz der öffentlichen Sicherheit;

(d) zum Schutz der nationalen Sicherheit;

(e) zum Schutz der Rechte und Freiheiten anderer.

2. Die Mitgliedstaaten können gesetzlich Datenverarbeitungskategorien festlegen, für die die Ausnahmeregelung nach Absatz 1 vollständig oder teilweise zur Anwendung kommt.

3. Für die in den Absätzen 1 und 2 genannten Fälle legen die Mitgliedstaaten fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Auskunft und die Gründe hierfür beziehungsweise die Einschränkung der Auskunft sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten. Von der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung kann abgesehen werden, wenn dies einem der in Absatz 1 genannten Zwecke zuwiderliefe.

4. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche die Gründe für die Unterlassung der Angabe der sachlichen oder rechtlichen Gründe für die Entscheidung dokumentiert.

Artikel 14 Modalitäten der Wahrnehmung des Auskunftsrechts

1.           Die Mitgliedstaaten legen fest, dass die betroffene Person besonders in den in Artikel 13 genannten Fällen das Recht hat, die Aufsichtsbehörde um Prüfung der Rechtmäßigkeit der Verarbeitung zu ersuchen.

2.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person über ihr Recht auf Befassung der Aufsichtsbehörde gemäß Absatz 1 unterrichtet.

3.           Nimmt die Aufsichtsbehörde das Recht nach Absatz 1 wahr, sollte sie die betroffene Person mindestens darüber informieren, ob sie alle erforderlichen Überprüfungen vorgenommen und was die Prüfung der Rechtmäßigkeit der fraglichen Verarbeitung erbracht hat.

Artikel 15 Recht auf Berichtigung

1.           Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Berichtigung von sie betreffenden unzutreffenden personenbezogenen Daten zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Daten, besonders in Form eines Korrigendums, zu verlangen.

2.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Berichtigung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Artikel 16 Recht auf Löschung

1. Die Mitgliedstaaten sehen vor, dass die betroffene Person das Recht hat, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Daten zu verlangen, wenn die Verarbeitung nicht mit den Vorschriften zur Umsetzung von Artikel 4 Buchstaben a bis e sowie von Artikel 7 und 8 dieser Richtlinie vereinbar ist.

2. Der für die Verarbeitung Verantwortliche nimmt die Löschung unverzüglich vor.

3. Anstatt die personenbezogenen Daten zu löschen, markiert der für die Verarbeitung Verantwortliche diese, wenn

(a) ihre Richtigkeit von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit zu überprüfen;

(b) die personenbezogenen Daten für Beweiszwecke weiter aufbewahrt werden müssen;

(c) die betroffene Person Einspruch gegen die Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert.

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche die betroffene Person schriftlich über die Verweigerung der Löschung oder der Markierung der Verarbeitung und die Gründe hierfür sowie über die Möglichkeit unterrichtet, bei der Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten.

Artikel 17 Rechte der betroffenen Person in strafrechtlichen Ermittlungen und in Strafverfahren

Die Mitgliedstaaten können vorsehen, dass für die Ausübung der in den Artikeln 11 bis 16 genannten Rechte auf Information, Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung das einzelstaatliche Strafprozessrecht zur Anwendung kommt, wenn es um personenbezogene Daten in einem Gerichtsbeschluss oder einem Gerichtsdokument geht, die in strafrechtlichen Ermittlungen und in Strafverfahren verarbeitet werden.

KAPITEL IV FÜR DIE VERARBEITUNG VERANTWORTLICHER UND AUFTRAGSVERARBEITER

ABSCHNITT 1 ALLGEMEINE VERPFLICHTUNGEN

Artikel 18 Pflichten des für die Verarbeitung Verantwortlichen

1.           Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche durch geeignete Strategien und Maßnahmen sicherstellt, dass personenbezogene Daten in Übereinstimmung mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften verarbeitet werden.

2.           Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

a)      die in Artikel 23 genannte Dokumentation;

b)      die Umsetzung der nach Artikel 26 geltenden Anforderungen in Bezug auf die vorherige Zurateziehung;

c)      die Umsetzung der in Artikel 27 vorgesehenen Vorkehrungen für die Datensicherheit;

d)      die Benennung eines Datenschutzbeauftragten gemäß Artikel 30.

3.           Der für die Verarbeitung Verantwortliche setzt geeignete Mechanismen zur Überprüfung der Wirksamkeit der in Absatz 1 genannten Maßnahmen ein. Die Überprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies verhältnismäßig ist.

Artikel 19 Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

1.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen ergreift und Verfahren durchführt, durch die sichergestellt wird, dass die Verarbeitung den Anforderungen der nach Maßgabe dieser Richtlinie erlassenen Vorschriften genügt und die Rechte der betroffenen Person gewahrt werden.

2.           Der für die Verarbeitung Verantwortliche setzt Mechanismen ein, durch die sichergestellt wird, dass grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die für die Zwecke der Verarbeitung benötigt werden.

Artikel 20 Gemeinsam für die Verarbeitung Verantwortliche

Die Mitgliedstaaten schreiben vor, dass in allen Fällen, in denen ein für die Verarbeitung Verantwortlicher die Zwecke, die Bedingungen und die Mittel der Verarbeitung personenbezogener Daten gemeinsam mit anderen Stellen und Personen festlegt, diese gemeinsam für die Verarbeitung Verantwortlichen untereinander vereinbaren müssen, wer von ihnen welche der gemäß den nach Maßgabe dieser Richtlinie erlassenen Vorschriften zu erfüllenden Aufgaben, insbesondere in Bezug auf die Verfahren und Mechanismen für die Wahrnehmung der Rechte der betroffenen Person, erfüllt.

Artikel 21 Auftragsverarbeiter

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche für alle in seinem Auftrag durchzuführenden Verarbeitungsvorgänge einen Auftragsverarbeiter auszuwählen hat, der hinreichende Garantien dafür bietet, dass die betreffenden technischen und organisatorischen Maßnahmen und Verfahren so durchgeführt werden, dass die Verarbeitung im Einklang mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften erfolgt und dass der Schutz der Rechte der betroffenen Person sichergestellt wird.

2. Die Mitgliedstaaten legen fest, dass die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Rechtsakts zu erfolgen hat, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem vor allem vorgesehen ist, dass der Auftragsverarbeiter, insbesondere in Fällen, in denen eine Übermittlung der personenbezogenen Daten nicht zulässig ist, nur auf Weisung des für die Verarbeitung Verantwortlichen handelt.

3. Jeder Auftragsverarbeiter, der personenbezogene Daten auf eine andere als die ihm von dem für die Verarbeitung Verantwortlichen bezeichnete Weise verarbeitet, gilt für diese Verarbeitung als für die Verarbeitung Verantwortlicher und unterliegt folglich den in Artikel 20 festgelegten Bestimmungen für gemeinsam für die Verarbeitung Verantwortliche.

Artikel 22 Verarbeitung unter der Aufsicht des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters

Die Mitgliedstaaten legen fest, dass Personen, die dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen oder nur dann verarbeiten dürfen, wenn das Unionsrecht oder das mitgliedstaatliche Recht dies vorschreibt.

Artikel 23 Dokumentation

1.           Die Mitgliedstaaten legen fest, dass jeder für die Verarbeitung Verantwortliche und jeder Auftragsverarbeiter alle ihrer Zuständigkeit unterliegenden Verarbeitungssysteme und –verfahren dokumentieren.

2.           Die Dokumentation enthält mindestens folgende Informationen:

a)      den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (oder etwaiger gemeinsam für die Verarbeitung Verantwortlicher) oder des Auftragsverarbeiters;

b)      die Verarbeitungszwecke;

c)      die Empfänger oder Arten von Empfängern der personenbezogenen Daten;

d)      Angaben über etwaige Datenübermittlungen in Drittländer oder an internationale Organisationen einschließlich deren Namen.

3.           Der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeiter stellen die Dokumentation der Aufsichtsbehörde auf Anforderung zur Verfügung.

Artikel 24 Aufzeichnung von Vorgängen

1.           Die Mitgliedstaaten stellen sicher, dass mindestens über folgende Verarbeitungsvorgänge Buch geführt wird: Erhebung, Veränderung, Abfrage, Weitergabe, Kombination oder Löschung. Den Aufzeichnungen über Abfragen und Weiterleitungen müssen der Zweck, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person zu entnehmen sein, die die personenbezogenen Daten abgefragt oder weitergeleitet hat.

2.           Die Aufzeichnungen dürfen nur zum Zwecke der Überprüfung der Rechtmäßigkeit der Datenverarbeitung, der Eigenüberwachung und der Sicherstellung der Integrität und Sicherheit der Daten verwendet werden.

Artikel 25 Zusammenarbeit mit der Aufsichtsbehörde

1.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter auf Aufforderung mit der Aufsichtsbehörde bei der Erfüllung von deren Pflichten zusammenarbeiten, indem sie dieser insbesondere die Informationen übermitteln, die sie zur Erfüllung ihrer Pflichten benötigt.

2.           Auf von der Aufsichtsbehörde im Rahmen der Ausübung ihrer Befugnisse erteilte Anordnungen gemäß Artikel 46 Buchstaben a und b antworten der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter der Aufsichtsbehörde binnen einer angemessenen Frist. Ihre Antwort umfasst auch eine Beschreibung der im Anschluss an die Bemerkungen der Aufsichtsbehörde getroffenen Maßnahmen und ihrer Ergebnisse.

Artikel 26 Vorherige Zurateziehung der Aufsichtsbehörde

1. Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter vor der Verarbeitung personenbezogener Daten in neu anzulegenden Dateien die Aufsichtsbehörde zu Rate zieht, wenn

a)      in Artikel 8 genannte besondere Kategorien von Daten verarbeitet werden oder

b)      wegen der Art der Verarbeitung, insbesondere der Verarbeitung mit neuen Technologien, Mechanismen oder Verfahren, andernfalls spezifische Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere für den Schutz ihrer personenbezogener Daten bestehen.

2. Die Mitgliedstaaten können festlegen, dass die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellt, die der Pflicht zur vorherigen Zurateziehung nach Absatz 1 unterliegen.

ABSCHNITT 2 DATENSICHERHEIT

Artikel 27 Sicherheit der Verarbeitung

1.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik und der bei der Durchführung entstehenden Kosten technische und organisatorische Maßnahmen treffen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.

2.           Die Mitgliedstaaten legen im Hinblick auf die automatisierte Datenverarbeitung fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen ergreifen, die Folgendes bezwecken:

(a) Verwehrung des Zugangs zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, für Unbefugte (Zugangskontrolle);

(b) Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle);

(c) Verhinderung der unbefugten Eingabe von Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle);

(d) Verhinderung der Nutzung automatisierter Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle);

(e) Gewährleistung, dass die zur Benutzung eines automatisierten Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle);

(f) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übermittlungskontrolle);

(g) Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle);

(h) Verhinderung, dass bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle);

(i) Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung);

(j) Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität).

3.           Die Kommission kann erforderlichenfalls Durchführungsbestimmungen zu einer situationsabhängigen Konkretisierung der in den Absätzen 1 und 2 genannten Anforderungen, insbesondere Verschlüsselungsstandards, erlassen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

Artikel 28 Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche der Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach deren Feststellung melden muss. Falls die Meldung nicht binnen 24 Stunden erfolgt, legt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde auf Aufforderung eine Begründung vor.

2.           Der Auftragsverarbeiter alarmiert und informiert den für die Verarbeitung Verantwortlichen unmittelbar nach Feststellung einer Verletzung des Schutzes personenbezogener Daten.

3.           Die in Absatz 1 genannte Meldung muss mindestens folgende Informationen enthalten:

a)      eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Datenkategorien und der Zahl der betroffenen Datensätze;

b)      Name und Kontaktdaten des in Artikel 30 genannten Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen;

c)      Empfehlungen für Maßnahmen zur Eindämmung etwaiger negativer Auswirkungen der Verletzung des Schutzes personenbezogener Daten;

d)      eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;

e)      eine Beschreibung der Maßnahmen, die der für die Verarbeitung Verantwortliche infolge der Verletzung des Schutzes personenbezogener Daten vorgeschlagen oder ergriffen hat.

4.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche etwaige Verletzungen des Schutzes personenbezogener Daten unter Beschreibung aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. Die Dokumentation enthält nur die zu diesem Zweck erforderlichen Informationen.

5.           Die Kommission ist ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 56 zu erlassen, um die Kriterien und Anforderungen für die Feststellung der in den Absätzen 1 und 2 genannten Verletzungen des Schutzes personenbezogener Daten und für die konkreten Umstände, unter denen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden haben, festzulegen.

6.           Die Kommission kann eine Standardvorlage für derartige Meldungen an die Aufsichtsbehörde, die Verfahrensvorschriften für Meldungen sowie Form und Modalitäten der in Absatz 4 genannten Dokumentation einschließlich der Fristen für die Löschung der darin enthaltenen Informationen festlegen. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

Artikel 29 Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

1.           Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche im Anschluss an die Meldung nach Artikel 28 die betroffene Person ohne unangemessene Verzögerung von der Verletzung des Schutzes personenbezogener Daten benachrichtigt, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten oder der Privatsphäre der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.

2.           Die in Absatz 1 genannte Benachrichtigung der betroffenen Person umfasst eine Beschreibung der Verletzung personenbezogener Daten sowie mindestens die in Artikel 28 Absatz 3 Buchstaben b und c genannten Informationen und Empfehlungen.

3.           Die Benachrichtigung der betroffenen Person von der Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Schutzmaßnahmen getroffen hat und dass diese Maßnahmen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Diese technischen Schutzmaßnahmen verschlüsseln die Daten für alle Personen, die keine Zugriffsberechtigung haben.

4.           Die Benachrichtigung der betroffenen Person kann aus den in Artikel 11 Absatz 4 genannten Gründen aufgeschoben, eingeschränkt oder unterlassen werden.

ABSCHNITT 3 DATENSCHUTZBEAUFTRAGTER

Artikel 30 Benennung eines Datenschutzbeauftragten

1. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche einen Datenschutzbeauftragten benennt.

2. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 32 genannten Aufgaben.

3. Der Datenschutzbeauftragte kann unter Berücksichtigung der Struktur der zuständigen Behörde für mehrere Stellen benannt werden.

Artikel 31 Stellung des Datenschutzbeauftragten

4. Die Mitgliedstaaten legen fest, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter sicherstellt, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in die Behandlung aller mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

5. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass der Datenschutzbeauftragte die Mittel erhält, die er zur wirksamen und unabhängigen Erfüllung seiner Pflichten und Aufgaben gemäß Artikel 32 benötigt, und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält.

Artikel 32 Aufgaben des Datenschutzbeauftragten

Die Mitgliedstaaten tragen dafür Sorge, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Datenschutzbeauftragten mit mindestens folgenden Aufgaben betraut:

(a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen Pflichten aus den nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie Dokumentation dieser Tätigkeit und der erhaltenen Antworten;

(b) Überwachung der Umsetzung und Anwendung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung des an den Verarbeitungsvorgängen beteiligten Personals und der diesbezüglichen Überprüfungen;

(c) Überwachung der Umsetzung und Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften, insbesondere der Anforderungen in Bezug auf den Datenschutz durch Technik oder durch datenschutzfreundliche Voreinstellungen, die Datensicherheit, die Information der betroffenen Personen und deren Anträge im Zusammenhang mit der Wahrnehmung ihrer Rechte aus den vorstehend genannten Vorschriften;

(d) Sicherstellung, dass die in Artikel 23 genannte Dokumentation vorgenommen wird;

(e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 28 und 29;

(f) Überwachung der Erfüllung der Anforderung der vorherigen Zurateziehung, soweit dies nach Artikel 26 erforderlich ist;

(g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten im Rahmen der Zuständigkeiten des Datenschutzbeauftragten;

(h) Tätigkeit als Ansprechpartner für die Aufsichtsbehörde in Fragen im Zusammenhang mit der Verarbeitung sowie gegebenenfalls Zurateziehung der Aufsichtsbehörde auf eigene Initiative.

KAPITEL V ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER ODER AN INTERNATIONALE ORGANISATIONEN

Artikel 33 Allgemeine Grundsätze für die Übermittlung personenbezogener Daten

Die Mitgliedstaaten sehen vor, dass jedwede von einer zuständigen Behörde vorgenommene Übermittlung von personenbezogenen Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung in ein Drittland oder an eine internationale Organisation verarbeitet werden sollen, einschließlich der Weitergabe an ein anderes Drittland oder eine andere internationale Organisation, nur zulässig ist, wenn

(a)     die Übermittlung zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist und

(b)     der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten.

Artikel 34 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

1.           Die Mitgliedstaaten sehen vor, dass personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Kommission gemäß Artikel 41 der Verordnung (EU) Nr. …/2012 oder gemäß Absatz 3 festgestellt hat, dass das betreffende Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder die betreffende internationale Organisation einen angemessenen Schutz bietet. Derartige Datenübermittlungen bedürfen keiner weiteren Genehmigung.

2.           Liegt kein Beschluss nach Artikel 41 der Verordnung (EU) Nr. …./2012 vor, prüft die Kommission die Angemessenheit des Schutzniveaus unter Berücksichtigung

a)      der Rechtsstaatlichkeit, der geltenden allgemeinen und sektorspezifischen Vorschriften (insbesondere über die öffentliche Sicherheit, die Landesverteidigung, die nationale Sicherheit und das Strafrecht) sowie der in dem betreffenden Land beziehungsweise der betreffenden internationalen Organisation geltenden Sicherheitsvorschriften sowie der Existenz wirksamer und durchsetzbarer Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für in der Union ansässige betroffene Personen, deren personenbezogene Daten übermittelt werden,

b)      der Existenz und der Wirksamkeit einer oder mehrerer in dem betreffenden Drittland beziehungsweise in der betreffenden internationalen Organisation tätiger unabhängiger Aufsichtsbehörden, die für die Einhaltung der Datenschutzvorschriften, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Union und der Mitgliedstaaten zuständig sind, und

c)      der von dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen.

3.           Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation einen angemessenen Schutz im Sinne von Absatz 2 bietet. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 erlassen.

4.           In jedem Durchführungsrechtsakt werden der geografische und der sektorielle Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b genannte Aufsichtsbehörde angegeben.

5.           Die Kommission kann innerhalb des Anwendungsbereichs dieser Richtlinie durch Beschluss feststellen, dass ein Drittland oder ein Gebiet oder ein Verarbeitungssektor in diesem Drittland oder eine internationale Organisation keinen angemessenen Schutz im Sinne von Absatz 2 bietet; dies gilt insbesondere für Fälle, in denen die in dem betreffenden Drittland beziehungsweise der betreffenden internationalen Organisation geltenden allgemeinen und sektorspezifischen Vorschriften keine wirksamen und durchsetzbaren Rechte einschließlich wirksamer administrativer und gerichtlicher Rechtsbehelfe für betroffene Personen und insbesondere für betroffene Personen, deren personenbezogene Daten übermittelt werden, garantieren. Diese Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 57 Absatz 2 oder – in Fällen, in denen es äußerst dringlich ist, das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten zu wahren – nach dem Verfahren gemäß Artikel 57 Absatz 3 erlassen.

6.           Die Mitgliedstaaten stellen sicher, dass jedwede Übermittlung personenbezogener Daten an das betreffende Drittland beziehungsweise an ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder an die betreffende internationale Organisation unbeschadet der Übermittlungen nach Artikel 35 Absatz 1 oder Artikel 36 untersagt wird, wenn die Kommission eine Feststellung im Sinne des Absatzes 5 trifft. Die Kommission nimmt zu geeigneter Zeit Beratungen mit dem betreffenden Drittland beziehungsweise mit der betreffenden internationalen Organisation auf, um Abhilfe für die Situation, die aus dem gemäß Absatz 5 erlassenen Beschluss entstanden ist, zu schaffen.

7.           Die Kommission veröffentlicht im Amtsblatt der Europäischen Union eine Liste aller Drittländer beziehungsweise Gebiete und Verarbeitungssektoren in diesen Drittländern und aller internationalen Organisationen, bei denen sie durch Beschluss festgestellt hat, dass diese einen beziehungsweise keinen angemessenen Schutz personenbezogener Daten bieten.

8.           Die Kommission überwacht die Anwendung der in den Absätzen 3 und 5 genannten Durchführungsrechtsakte.

Artikel 35 Datenübermittlung auf der Grundlage geeigneter Garantien

1.           Hat die Kommission keinen Beschluss nach Artikel 34 erlassen, sorgen die Mitgliedstaaten dafür, dass personenbezogene Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn

a)      in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind oder

b)      der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter alle Umstände beurteilt hat, die bei der Übermittlung personenbezogener Daten eine Rolle spielen, und zu der Auffassung gelangt ist, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.

2.           Die Entscheidung über eine Datenübermittlung nach Absatz 1 Buchstabe b wird von entsprechend bevollmächtigten Mitarbeitern getroffen. Solche Datenübermittlungen müssen dokumentiert werden, und die Dokumentation muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Artikel 36 Ausnahmen

Abweichend von den Artikeln 34 und 35 sehen die Mitgliedstaaten vor, dass personenbezogene Daten nur dann in ein Drittland oder an eine internationale Organisation übermittelt werden dürfen, wenn die Übermittlung

a)       zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich ist,

b)       nach dem Recht des Mitgliedstaats, aus dem die personenbezogenen Daten übermittelt werden, zur Wahrung berechtigter Interessen der betroffenen Person notwendig ist,

c)       zur Abwehr einer unmittelbaren und ernsthaften Gefahr für die öffentliche Sicherheit eines Mitgliedstaats oder eines Drittlands unerlässlich ist,

d)       zur Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder zur Strafvollstreckung erforderlich ist oder

e)       in Einzelfällen zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Verhütung, Aufdeckung, Untersuchung oder Verfolgung einer bestimmten Straftat oder der Vollstreckung einer bestimmten Strafe notwendig ist.

Artikel 37 Besondere Bedingungen für die Übermittlung personenbezogener Daten

Die Mitgliedstaaten sehen vor, dass der für die Verarbeitung Verantwortliche den Empfänger personenbezogener Daten auf Verarbeitungsbeschränkungen hinweist und alle vertretbaren Vorkehrungen trifft, um sicherzustellen, dass diese Beschränkungen eingehalten werden.

Artikel 38 Internationale Zusammenarbeit zum Schutz personenbezogener Daten

1.           In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Mitgliedstaaten geeignete Maßnahmen zur

(a) Entwicklung wirksamer Mechanismen der internationalen Zusammenarbeit, durch die die Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,

(b) gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Mitteilungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,

(c) Einbindung maßgeblich Beteiligter in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,

(d) Förderung des Austausches und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten.

2.           Zu den in Absatz 1 genannten Zwecken ergreift die Kommission geeignete Maßnahmen zur Förderung der Beziehungen zu Drittländern und internationalen Organisationen und insbesondere zu deren Aufsichtsbehörden, wenn sie gemäß Artikel 34 Absatz 3 durch Beschluss festgestellt hat, dass sie einen angemessenen Schutz bieten.

KAPITEL VI UNABHÄNGIGE AUFSICHTSBEHÖRDEN

ABSCHNITT 1 UNABHÄNGIGKEIT

Artikel 39 Aufsichtsbehörde

1. Jeder Mitgliedstaat trägt dafür Sorge, dass eine oder mehrere Behörden für die Überwachung der Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zuständig sind und einen Beitrag zu ihrer einheitlichen Anwendung in der Union leisten, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten geschützt und der freie Verkehr dieser Daten in der Union erleichtert wird. Zu diesem Zweck bedarf es der Zusammenarbeit der Aufsichtsbehörden mit der Kommission sowie der Aufsichtsbehörden untereinander.

2. Die Mitgliedstaaten können vorsehen, dass die gemäß der Verordnung (EU) Nr. …./2012 in den Mitgliedstaaten errichtete Aufsichtsbehörde die Verantwortung für die Aufgaben der nach Absatz 1 zu errichtenden Aufsichtsbehörde übernimmt.

3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die im Interesse einer effektiven Mitwirkung dieser Behörden im Europäischen Datenschutzausschuss als zentrale Kontaktstelle fungiert.

Artikel 40 Unabhängigkeit

1.           Die Mitgliedstaaten stellen sicher, dass die Aufsichtsbehörde bei der Erfüllung der ihr übertragenen Aufgaben und Befugnisse völlig unabhängig handelt.

2.           Jeder Mitgliedstaat sieht vor, dass die Mitglieder der Aufsichtsbehörde in Ausübung ihres Amts weder um Weisung ersuchen noch Weisungen entgegennehmen.

3.           Die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.

4.           Die Mitglieder der Aufsichtsbehörde handeln nach Ablauf ihrer Amtszeit im Hinblick auf die Annahme von Tätigkeiten und Vorteilen ehrenhaft und zurückhaltend.

5.           Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde mit angemessenen personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und mit der erforderlichen Infrastruktur ausgestattet wird, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und aktiven Mitwirkung im Europäischen Datenschutzausschuss effektiv wahrnehmen zu können.

6            Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde über eigenes Personal verfügt, das von ihrem Leiter ernannt wird und ihm untersteht.

7.           Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt. Jeder Mitgliedstaat stellt sicher, dass die Aufsichtsbehörde über einen eigenen jährlichen Haushalt verfügt. Die Haushaltspläne werden veröffentlicht.

Artikel 41 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

1.           Die Mitgliedstaaten tragen dafür Sorge, dass die Mitglieder der Aufsichtsbehörde entweder vom Parlament oder von der Regierung des betreffenden Mitgliedstaats ernannt werden.

2.           Die Mitglieder werden aus einem Kreis von Personen ausgewählt, an deren Unabhängigkeit kein Zweifel besteht, und die nachweislich über die für die Erfüllung ihrer Aufgaben erforderliche Erfahrung und Sachkunde verfügen.

3.           Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder seiner Enthebung aus dem Amt gemäß Absatz 4.

4.           Ein Mitglied kann vom zuständigen nationalen Gericht seines Amtes enthoben oder seiner Ruhegehaltsansprüche oder anderer an ihrer Stelle gewährten Vergünstigungen für verlustig erklärt werden, wenn es die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

5.           Endet die Amtszeit des Mitglieds oder tritt es zurück, übt es sein Amt so lange aus, bis ein neues Mitglied ernannt ist.

Artikel 42 Vorschriften für die Errichtung der Aufsichtsbehörde

Jeder Mitgliedstaat regelt durch Gesetz:

a)           die Errichtung der Aufsichtsbehörde und ihre Stellung gemäß den Artikeln 39 und 40,

b)           die Qualifikation, Erfahrung und fachliche Eignung, die zur Wahrnehmung der Aufgaben eines Mitglieds der Aufsichtsbehörde notwendig ist,

c)           die Vorschriften und Verfahren für die Ernennung der Mitglieder der Aufsichtsbehörde und zur Bestimmung der Handlungen und Tätigkeiten, die mit ihrem Amt unvereinbar sind,

d)           die Amtszeit der Mitglieder der Aufsichtsbehörde, die mindestens vier Jahre beträgt; dies gilt nicht für die erste Amtszeit nach Inkrafttreten dieser Richtlinie, die für einen Teil der Mitglieder kürzer sein kann,

e)           ob die Mitglieder der Aufsichtsbehörde wiederernannt werden können,

f)            die Regelungen und allgemeinen Bedingungen für das Amt eines Mitglieds und die Aufgaben der Bediensteten der Aufsichtsbehörde,

g)           die Regeln und Verfahren für die Beendigung des Amts der Mitglieder der Aufsichtsbehörde, auch für den Fall, dass sie die Voraussetzungen für die Ausübung ihres Amts nicht mehr erfüllen oder eine schwere Verfehlung begangen haben.

Artikel 43 Verschwiegenheitspflicht

Die Mitgliedstaaten sehen vor, dass die Mitglieder und die Bediensteten der Aufsichtsbehörde während ihrer Amts- beziehungsweise Dienstzeit und auch nach deren Beendigung verpflichtet sind, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben bekannt geworden sind, Verschwiegenheit zu bewahren.

ABSCHNITT 2 AUFGABEN UND BEFUGNISSE

Artikel 44 Zuständigkeit

1.           Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde in ihrem Hoheitsgebiet die ihr nach Maßgabe dieser Richtlinie übertragenen Befugnisse ausübt.

2.           Die Mitgliedstaaten sehen vor, dass die Aufsichtsbehörde nicht für die Überwachung der von Gerichten im Rahmen ihrer gerichtlichen Tätigkeit vorgenommenen Verarbeitungen zuständig ist.

Artikel 45 Aufgaben

1.           Die Mitgliedstaaten tragen dafür Sorge, dass die Aufsichtsbehörde

(a) die nach Maßgabe dieser Richtlinie erlassenen Vorschriften sowie deren Durchführungsvorschriften überwacht und deren Anwendung sicherstellt;

(b) sich der Beschwerden von betroffenen Personen oder von Verbänden annimmt, die diese Personen gemäß Artikel 50 vertreten und von diesen hierzu ordnungsgemäß bevollmächtigt wurden, die Angelegenheit in angemessenem Umfang untersucht und die betroffenen Personen oder Verbände über den Stand und das Ergebnis der Beschwerde innerhalb einer angemessenen Frist, vor allem, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist, unterrichtet;

(c) die Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 14 überprüft und die betroffene Person innerhalb einer angemessenen Frist über das Ergebnis der Überprüfung unterrichtet oder ihr die Gründe mitteilt, aus denen die Überprüfung nicht vorgenommen wurde;

(d) anderen Aufsichtsbehörden Amtshilfe leistet und die einheitliche Anwendung und Durchsetzung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften gewährleistet;

(e) Untersuchungen auf eigene Initiative, aufgrund einer Beschwerde oder auf Ersuchen einer anderen Aufsichtsbehörde durchführt und die betroffene Person, falls sie Beschwerde erhoben hat, innerhalb einer angemessenen Frist über das Ergebnis der Untersuchungen unterrichtet;

(f) relevante Entwicklungen verfolgt, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie;

(g) von den Organen und Einrichtungen der Mitgliedstaaten zu Rechts- und Verwaltungsmaßnahmen konsultiert wird, die den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Gegenstand haben;

(h) zu Verarbeitungsvorgängen gemäß Artikel 26 konsultiert wird;

(i) an den Tätigkeiten des Europäischen Datenschutzausschusses mitwirkt.

2.           Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.

3.           Die Aufsichtsbehörde berät auf Antrag jede betroffene Person bei der Wahrnehmung der Rechte, die ihr aufgrund der nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, und arbeitet zu diesem Zweck gegebenenfalls mit den Aufsichtsbehörden anderer Mitgliedstaaten zusammen.

4.           Für die in Absatz 1 Buchstabe b genannten Beschwerden stellt die Aufsichtsbehörde ein Beschwerdeformular zur Verfügung, das elektronisch oder auf anderem Wege ausgefüllt werden kann.

5.           Die Mitgliedstaaten sorgen dafür, dass die Leistungen der Aufsichtsbehörde für die betroffene Person kostenlos sind.

6.           Bei missbräuchlichen Anträgen, insbesondere bei wiederholt gestellten Anträgen, kann die Aufsichtsbehörde eine Gebühr verlangen oder davon absehen, die von der betroffenen Person beantragte Maßnahme zu treffen. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den missbräuchlichen Charakter des Antrags.

Artikel 46 Befugnisse

Die Mitgliedstaaten tragen dafür Sorge, dass jede Aufsichtsbehörde insbesondere verfügt über:

a)      Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihrer Aufsichtspflichten erforderlichen Informationen;

b)      wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, vor der Durchführung der Verarbeitung Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Beschränkung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die nationalen Parlamente oder andere politische Institutionen zu befassen;

c)      das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die nach Maßgabe dieser Richtlinie erlassenen Vorschriften.

Artikel 47 Tätigkeitsbericht

Die Mitgliedstaaten sehen vor, dass jede Aufsichtsbehörde einen Jahresbericht über ihre Tätigkeit erstellt. Der Bericht wird der Kommission und dem Europäischen Datenschutzbeauftragten zugänglich gemacht.

KAPITEL VII ZUSAMMENARBEIT

Artikel 48 Amtshilfe

1.           Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden einander Amtshilfe gewähren, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften einheitlich anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf aufsichtsbezogene Maßnahmen und Auskunftsersuchen, beispielsweise Ersuchen um vorherige Konsultation, um Vornahme von Nachprüfungen oder Untersuchungen.

2.           Die Mitgliedstaaten sorgen dafür, dass die Aufsichtsbehörden alle geeigneten Maßnahmen ergreifen, um dem Ersuchen einer anderen Aufsichtsbehörde nachzukommen.

3.           Die Aufsichtsbehörde, an die das Ersuchen gerichtet wurde, informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen.

Artikel 49 Aufgaben des Europäischen Datenschutzausschusses

1.           Der mit Verordnung (EU) Nr. …./2012 eingerichtete Europäische Datenschutzausschuss nimmt in Bezug auf Verarbeitungsvorgänge im Anwendungsbereich dieser Richtlinie folgende Aufgaben wahr:

(a) Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, darunter auch zu etwaigen Vorschlägen zur Änderung dieser Richtlinie;

(b) Prüfung auf Ersuchen der Kommission, von sich aus oder auf Antrag eines seiner Mitglieder aller Fragen, die die Anwendung der nach Maßgabe dieser Richtlinie erlassenen Vorschriften betreffen, sowie Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken für die Aufsichtsbehörden zur Förderung einer einheitlichen Anwendung dieser Vorschriften;

(c) Überprüfung der praktischen Anwendung der unter Buchstabe b genannten Leitlinien, Empfehlungen und bewährten Praktiken und regelmäßige Berichterstattung über diese an die Kommission;

(d) Abgabe einer Stellungnahme für die Kommission zum Schutzniveau in Drittländern oder internationalen Organisationen;

(e) Förderung der Zusammenarbeit und eines effizienten bilateralen und multilateralen Austauschs von Informationen und Praktiken zwischen den Aufsichtsbehörden;

(f) Förderung von Schulungsprogrammen und Erleichterung des Personalaustauschs zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder internationalen Organisationen;

(g) Förderung des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praktiken mit Datenschutzaufsichtsbehörden in aller Welt.

2.           Die Kommission kann, wenn sie den Europäischen Datenschutzausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist setzen.

3.           Der Europäische Datenschutzausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken an die Kommission und an den in Artikel 57 Absatz 1 genannten Ausschuss weiter und veröffentlicht sie.

4.           Die Kommission setzt den Europäischen Datenschutzausschuss von allen Maßnahmen in Kenntnis, die sie im Anschluss an die von ihm herausgegebenen Stellungnahmen, Leitlinien, Empfehlungen und bewährten Praktiken ergriffen hat.

KAPITEL VIII RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

Artikel 50 Recht auf Beschwerde bei einer Aufsichtsbehörde

1.           Die Mitgliedstaaten sehen vor, dass jede betroffene Person unbeschadet eines anderweitigen administrativen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde hat, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften vereinbar ist.

2.           Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände, die sich den Schutz der Rechte und Interessen der betroffenen Personen in Bezug auf ihre personenbezogene Daten zum Ziel gesetzt haben und die nach dem Recht eines Mitgliedstaats gegründet sind, das Recht haben, im Namen einer oder mehrerer betroffenen Personen Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde zu erheben, wenn sie der Ansicht sind, dass die einer betroffenen Person aufgrund dieser Richtlinie zustehenden Rechte infolge der Verarbeitung personenbezogener Daten verletzt wurden. Die Einrichtungen, Organisationen oder Verbände bedürfen hierzu einer Vollmacht der betroffenen Person(en).

3.           Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Absatzes 2 unabhängig von der Beschwerde einer betroffenen Person das Recht auf Beschwerde bei einer mitgliedstaatlichen Aufsichtsbehörde haben, wenn sie der Ansicht sind, dass der Schutz personenbezogener Daten verletzt wurde.

Artikel 51 Recht auf gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

1. Die Mitgliedstaaten sehen ein Recht auf einen gerichtlichen Rechtsbehelf gegen Entscheidungen einer Aufsichtsbehörde vor.

2. Jede betroffene Person hat das Recht auf einen gerichtlichen Rechtsbehelf, um die Aufsichtsbehörde zu verpflichten, im Fall einer Beschwerde tätig zu werden, wenn keine zum Schutz ihrer Rechte notwendige Entscheidung ergangen ist oder wenn die Aufsichtsbehörde sie nicht gemäß Artikel 45 Absatz 1 Buchstabe b innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde in Kenntnis gesetzt hat.

3. Die Mitgliedstaaten sehen vor, dass für Verfahren gegen eine Aufsichtsbehörde die Gerichte des Mitgliedstaats zuständig sind, in dem die Aufsichtsbehörde ihren Sitz hat.

Artikel 52 Recht auf gerichtlichen Rechtsbehelf gegen für die Verarbeitung Verantwortliche oder Auftragsverarbeiter

Jede natürliche Person hat unbeschadet eines verfügbaren administrativen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde das Recht auf einen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die Rechte, die ihr aufgrund von nach Maßgabe dieser Richtlinie erlassenen Vorschriften zustehen, infolge einer Verarbeitung ihrer personenbezogenen Daten verletzt wurden, die nicht mit diesen Vorschriften vereinbar ist.

Artikel 53 Gemeinsame Vorschriften für Gerichtsverfahren

1.           Die Mitgliedstaaten sehen vor, dass Einrichtungen, Organisationen oder Verbände im Sinne des Artikels 50 Absatz 2 das Recht haben, die in Artikel 51 und 52 genannten Rechte im Namen einer oder mehrerer betroffenen Personen wahrzunehmen.

2.           Jede Aufsichtsbehörde hat das Recht, Klage zu erheben, um die nach Maßgabe dieser Richtlinie erlassenen Vorschriften durchzusetzen oder um einen einheitlichen Schutz der personenbezogenen Daten innerhalb der Union sicherzustellen.

3.           Die Mitgliedstaaten stellen sicher, dass mit den nach innerstaatlichem Recht verfügbaren Klagemöglichkeiten rasch Maßnahmen einschließlich einstweilige Maßnahmen erwirkt werden können, um mutmaßliche Rechtsverletzungen abzustellen und zu verhindern, dass den Betroffenen weiterer Schaden entsteht.

Artikel 54 Haftung und Recht auf Schadenersatz

1.           Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder einer anderen Handlung, die mit den nach Maßgabe dieser Richtlinie erlassenen Vorschriften unvereinbar ist, ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter hat.

2.           Ist mehr als ein für die Verarbeitung Verantwortlicher oder mehr als ein Auftragsverarbeiter an der Verarbeitung beteiligt, haftet jeder für die Verarbeitung Verantwortliche oder jeder Auftragsverarbeiter gesamtschuldnerisch für den gesamten Schaden.

3.           Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter kann teilweise oder vollständig von dieser Haftung befreit werden, wenn er nachweist, dass ihm der Umstand, durch den der Schaden eingetreten ist, nicht zur Last gelegt werden kann.

Artikel 55 Sanktionen

Die Mitgliedstaaten legen fest, welche Sanktionen bei einem Verstoß gegen die Vorschriften zur Umsetzung dieser Richtlinie zu verhängen sind, und treffen die zu deren Anwendung erforderlichen Maßnahmen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

KAPITEL IX DELEGIERTE RECHTSAKTE UND DURCHFÜHRUNGSRECHTSAKTE

Artikel 56 Befugnisübertragung

1.           Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

2.           Die Befugnis gemäß Artikel 28 Absatz 5 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Richtlinie übertragen.

3.           Die Befugnisübertragung gemäß Artikel 28 Absatz 5 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

4.           Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

5.           Ein delegierter Rechtsakt, der gemäß Artikel 28 Absatz 5 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Artikel 57 Ausschussverfahren

1. Die Kommission wird von einem Ausschuss unterstützt. Bei diesem Ausschuss handelt es sich um einen Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011.

2. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011.

3. Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5.

KAPITEL X SCHLUSSBESTIMMUNGEN

Artikel 58 Aufhebung

1.           Der Rahmenbeschluss 2008/977/JI des Rates wird aufgehoben.

2.           Verweise auf den aufgehobenen Rahmenbeschluss gelten als Verweise auf diese Richtlinie.

Artikel 59 Verhältnis zu bestehenden Rechtsakten der Union im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Die besonderen Bestimmungen zum Schutz personenbezogener Daten, die zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung von einer zuständigen Behörde verarbeitet werden und die in vor Erlass dieser Richtlinie erlassenen Rechtsakten der Union enthalten sind, die die Verarbeitung personenbezogener Daten im Verkehr der Mitgliedstaaten untereinander sowie den Zugang der von den Mitgliedstaaten bestimmten Behörden zu den gemäß den Europäischen Verträgen errichteten Informationssystemen im Anwendungsbereich dieser Richtlinie regeln, bleiben von dieser Richtlinie unberührt.

Artikel 60 Verhältnis zu bestehenden internationalen Übereinkünften im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Die von den Mitgliedstaaten vor Inkrafttreten dieser Richtlinie geschlossenen internationalen Übereinkünfte werden erforderlichenfalls innerhalb von fünf Jahren nach Inkrafttreten dieser Richtlinie geändert.

Artikel 61 Bewertung

1.           Die Kommission bewertet die Anwendung dieser Richtlinie.

2.           Die Kommission überprüft innerhalb von drei Jahren nach Inkrafttreten dieser Richtlinie andere Rechtsakte der Europäischen Union über die Verarbeitung personenbezogener Daten durch eine zuständige Behörde zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung, insbesondere die auf der Grundlage von Artikel 59 erlassenen Rechtsakte, um festzustellen, inwieweit eine Anpassung an diese Richtlinie erforderlich ist, und um gegebenenfalls eine Änderung dieser Rechtsakte vorzuschlagen, damit ein einheitliches Vorgehen beim Schutz personenbezogener Daten innerhalb des Anwendungsbereichs dieser Richtlinie gewährleistet ist.

3.           Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig einen Bericht zur Bewertung und Überprüfung dieser Richtlinie vor. Der erste Bericht wird spätestens vier Jahre nach Inkrafttreten dieser Richtlinie vorgelegt. Danach wird alle vier Jahre ein weiterer Bericht vorgelegt. Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Richtlinie und zur Anpassung anderer Rechtsinstrumente vor. Der Bericht wird veröffentlicht.

Artikel 62 Umsetzung

1.           Die Mitgliedstaaten erlassen und veröffentlichen spätestens [Datum/zwei Jahre nach Inkrafttreten] die erforderlichen Rechts- und Verwaltungsvorschriften, um dieser Richtlinie nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Vorschriften mit.

Sie wenden diese Vorschriften ab xx.xx.201x [Datum/zwei Jahre nach Inkrafttreten] an.

Wenn die Mitgliedstaaten diese Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten dieser Bezugnahme.

2.           Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 63 Inkrafttreten und Anwendung

Diese Richtlinie tritt am ersten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 64 Adressaten

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu Brüssel am 25.1.2012

Im Namen des Europäischen Parlaments     Im Namen des Rates

Der Präsident                                                Der Präsident

[1]               Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

[2]               Siehe vollständige Liste in Anhang 3 der Folgenabschätzung (SEC(2012) 72).

[3]               Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden (ABl. L 350 vom 30.12.2008, S. 60).

[4]               Siehe Stockholmer Programm (ABl. C 115 vom 4.5.2010, S. 1).

[5]               Siehe Entschließung des Europäischen Parlaments zum Stockholmer Programm vom 25. November 2009.

[6]               KOM(2010) 171 endg.

[7]               Mitteilung der Europäischen Kommission über ein „Gesamtkonzept für den Datenschutz in der Europäischen Union”, KOM(2010) 609 endg. vom 4. November 2010.

[8]               Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den am 13.12.2007 unterzeichneten Vertrag von Lissabon annahm.

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Siehe Special Eurobarometer 359 – Data Protection and Electronic Identity in the EU (2011):http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Siehe u. a. die Studie über den wirtschaftlichen Nutzen von Technologien zum Schutz der Privatsphäre und die Vergleichende Studie über verschiedene Ansätze zur Bewältigung neuer Herausforderungen für den Schutz der Privatsphäre, insbesondere aufgrund technologischer Entwicklungen, Januar 2010.               (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_de.pdf).

[13]             Die Arbeitsgruppe wurde 1996 auf der Grundlage von Artikel 29 der Richtlinie mit beratender Funktion eingesetzt. Ihr gehören die nationalen Datenschutzbehörden an sowie der Europäische Datenschutzbeauftragte und die Kommission. Weitere Informationen zur Tätigkeit der Datenschutzgruppe unter http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Siehe unter anderem die Stellungnahmen zur Zukunft des Datenschutzes (2009, WP 168), zum Begriff des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters (1/2010, WP 169), zur verhaltensbezogenen Internetwerbung (2/2010, WP 171), zum Rechenschaftsgrundsatz (3/2010, WP 173), zum anwendbaren Recht (8/2010, WP 179) und zur Einwilligung (15/2011, WP 187). Auf Aufforderung der Kommission erstellte die Gruppe zudem drei Gutachten zur Meldepflicht, zu sensiblen Daten und zur Umsetzung von Artikel 28 Absatz 6 der Richtlinie 95/46/EG. Die Arbeiten der Gruppe können eingesehen werden unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Abrufbar auf der Website des EDSB: http://www.edps.europa.eu/EDPSWEB/.

[16]             Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//DE (Berichterstatter: MEP Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC(2012) 72.

[19]             KOM(2012) 12.

[20]             Gerichtshof der EU, Urteil vom 9.11.2010 in den verbundenen Rechtsachen C-92/09 und C-93/09, Volker und Markus Schecke und Hartmut Eifert, Slg. 2010, I-0000.

[21]             Im Einklang mit Artikel 52 Absatz 1 der Charta kann die Ausübung der Datenschutzrechte eingeschränkt werden, sofern diese Einschränkungen gesetzlich vorgesehen sind, den Wesensgehalt dieser Rechte und Freiheiten achten, unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sind und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen.

[22]             Siehe auch Artikel 2 Buchstabe a der Richtlinie 2011/92/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S.1).

[23]             KOM(2005) 475 endg.

[24]             Artikel 14 des Europol-Beschlusses 2009/371/JI.

[25]             Artikel 15 des Eurojust-Beschlusses 2009/426/JI.

[26]             Artikel 14 des Europol-Beschlusses 2009/371/JI.

[27]             EGMR, Urteil vom 4.12.2008, S. und Marper gegen UK (Beschwerden Nrn. 30562/04 und 30566/04).

[28]             Entschließung der Internationalen Konferenz der Datenschutzbeauftragten vom 5.11.2009.

[29]             Gerichtshof der EU, Urteil vom 9.3.2010, Rs. C-518/07, Kommission/Deutschland, Slg. 2010, I-1885.

[30]             Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, (ABl. L 8 vom 12.1.2001, S. 1).

[31]             Siehe Fußnote 27.

[32]             Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1).

[33]             ABl. C [ ] vom [ ] , S. [ ].

[34]             ABl. L 281 vom 23.11.1995, S. 31.

[35]             ABl. L 350 vom 30.12.2008, S. 60.

[36]             ABl. L 55 vom 28.2.2011, S. 13.

[37]             ABl. L 335 vom 17.12.2011, S. 1.

[38]             ABl. L 176 vom 10.7.1999, S. 36.

[39]             ABl. L 53 vom 27.2.2008, S. 52.

[40]             ABl. L 160 vom 18.6.2011, S. 19.