Die Überlegungen
Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER
Wir konnten Ihnen die Erwägungsgründe nicht vorenthalten, zumindest die wichtigsten, die die DSGVO motiviert haben. Sie bilden die Philosophie, die in der endgültigen Verordnung und der Richtlinie wiederaufgenommen wurde, sie entschlüsseln und harmonisieren in einem einzigen Prisma alle datenschutzrechtlichen Erwägungen der einzelnen Gesetzgebungen der Mitgliedstaaten. Sie verkörpern die europäische Vielfalt und bilden gleichzeitig ein einheitliches Korpus. Sie erhellen unser Verständnis und geben Sinn, sie zeugen davon, dass etwas Tiefgreifendes geschieht, sicherlich und auf den ersten Blick als Reaktion auf die GAFAs, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat und andere, die unser Verhalten, unsere Wünsche und unsere Wünsche ausplündern ... Akteure, deren einzige Rücksicht auf uns die unseres Geldbeutels ist!
Es erschien mir wichtig, Ihnen die wichtigsten Überlegungen und/oder Passagen mitzuteilen. Wenn Sie tiefer einsteigen möchten, finden Sie auf der Website der CNIL weitere Informationen. Ich lade Sie ein, sie zu besuchen.
(Erwägungsgrund 1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. … sehen vor, dass jeder das Recht auf Schutz der ihn betreffenden personenbezogenen Daten hat.
(Erwägungsgrund 2) Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten unabhängig von der Staatsangehörigkeit oder dem Wohnsitz dieser natürlichen Personen deren Grundrechte und -freiheiten, insbesondere ihr Recht auf Schutz personenbezogener Daten, achten. … um zur Schaffung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Konsolidierung und Konvergenz der Volkswirtschaften innerhalb des Binnenmarkts und zum Wohlergehen natürlicher Personen beizutragen.
(Erwägungsgrund 3) … Ziel des Rates ist es, den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen im Hinblick auf Verarbeitungstätigkeiten zu harmonisieren und den freien Verkehr personenbezogener Daten zwischen den Mitgliedstaaten zu gewährleisten.
(Erwägungsgrund 4) Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz personenbezogener Daten ist kein absolutes Recht; es muss im Hinblick auf seine Funktion in der Gesellschaft betrachtet und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. … Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Meinungs- und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Gericht sowie kulturelle, religiöse und sprachliche Vielfalt.
(Erwägungsgrund 6) Die rasante technologische Entwicklung und die Globalisierung stellen den Schutz personenbezogener Daten vor neue Herausforderungen. Das Ausmaß der Erhebung und Weitergabe personenbezogener Daten hat deutlich zugenommen. Die Technologie ermöglicht es privaten Unternehmen und Behörden, personenbezogene Daten in einem nie dagewesenen Umfang für ihre Aktivitäten zu nutzen. Immer mehr Einzelpersonen machen Informationen über sich öffentlich und weltweit zugänglich. Die Technologie hat sowohl die wirtschaftlichen als auch die sozialen Beziehungen verändert und sollte den freien Verkehr personenbezogener Daten innerhalb der Union sowie deren Übermittlung an Drittländer und internationale Organisationen weiter erleichtern und gleichzeitig ein hohes Maß an Datenschutz gewährleisten.
(Erwägungsgrund 7) …Es ist wichtig, Vertrauen aufzubauen, das der digitalen Wirtschaft im gesamten Binnenmarkt ein erfolgreiches Wachstum ermöglicht. Jeder Einzelne sollte die Kontrolle über seine persönlichen Daten haben. …
(Erwägungsgrund 9) … eine uneinheitliche Umsetzung des Datenschutzes in der Union, Rechtsunsicherheit oder die weit verbreitete öffentliche Wahrnehmung, dass weiterhin erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Online-Umfeld. Unterschiede im Schutzniveau der Rechte und Freiheiten natürlicher Personen, insbesondere des Rechts auf Schutz personenbezogener Daten, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten können den freien Verkehr solcher Daten in der gesamten Union behindern. Solche Unterschiede können daher ein Hindernis für die Ausübung wirtschaftlicher Tätigkeiten auf Unionsebene darstellen, den Wettbewerb verzerren und Behörden daran hindern, ihren Verpflichtungen aus dem Unionsrecht nachzukommen. …
(Erwägungsgrund 10) Um ein einheitliches und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und Hindernisse für den Verkehr personenbezogener Daten innerhalb der Union zu beseitigen, sollte der Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Daher ist es angebracht, eine einheitliche und kohärente Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union sicherzustellen. …
(Erwägungsgrund 11) Ein wirksamer Schutz personenbezogener Daten in der gesamten Union erfordert eine Stärkung und Klarstellung der Rechte der betroffenen Personen und der Pflichten derjenigen, die die Verarbeitung personenbezogener Daten durchführen und bestimmen. Darüber hinaus müssen in den Mitgliedstaaten gleichwertige Befugnisse zur Überwachung und Kontrolle der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleichwertige Sanktionen bei Verstößen vorgesehen werden.
(Erwägungsgrund 13)
Um ein einheitliches Datenschutzniveau für natürliche Personen in der gesamten Union zu gewährleisten und Unterschiede zu vermeiden, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern, bedarf es einer Verordnung, die Wirtschaftsbeteiligten, darunter Kleinstunternehmen sowie kleine und mittlere Unternehmen, Rechtssicherheit und Transparenz bietet, natürlichen Personen in allen Mitgliedstaaten die gleichen durchsetzbaren Rechte und Pflichten sowie die Zuständigkeiten der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter einräumt, eine einheitliche Aufsicht über die Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der verschiedenen Mitgliedstaaten gewährleistet. Damit der Binnenmarkt reibungslos funktioniert, darf der freie Verkehr personenbezogener Daten in der Union weder aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt noch verboten werden. …
(Erwägungsgrund 14) Der durch diese Verordnung gewährte Schutz sollte für natürliche Personen unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitz hinsichtlich der Verarbeitung ihrer personenbezogenen Daten gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen, …
(Erwägungsgrund 17) Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union. …
(Erwägungsgrund 19) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr derartiger Daten sind Gegenstand eines eigenen Rechtsakts der Union. …
(Erwägungsgrund 22) Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters im Gebiet der Union sollte gemäß dieser Verordnung erfolgen, unabhängig davon, ob die Verarbeitung selbst in der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. …
(Erwägungsgrund 23) Damit natürliche Personen nicht von dem Schutz ausgeschlossen werden, der ihnen nach dieser Verordnung zusteht, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, sofern die Verarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese Personen steht, unabhängig davon, ob hierfür ein Entgelt erhoben wird oder nicht. Um festzustellen, ob ein solcher Verantwortlicher oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte geprüft werden, ob klar ist, dass der Verantwortliche oder Auftragsverarbeiter beabsichtigt, Dienstleistungen für betroffene Personen in einem oder mehreren Mitgliedstaaten der Union anzubieten. …
(Erwägungsgrund 24) Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen Verantwortlichen oder Auftragsverarbeiter ohne Niederlassung in der Union sollte auch dann dieser Verordnung unterliegen, wenn diese Verarbeitung der Beobachtung des Verhaltens dieser betroffenen Personen innerhalb der Union dient. Um festzustellen, ob eine Verarbeitungstätigkeit als Beobachtung des Verhaltens von betroffenen Personen gelten kann, sollte ermittelt werden, ob die Aktivitäten natürlicher Personen im Internet verfolgt werden; hierzu gehört auch die mögliche anschließende Verwendung von Techniken zur Verarbeitung personenbezogener Daten, die darin bestehen, ein Profil einer natürlichen Person zu erstellen, insbesondere um sie betreffende Entscheidungen zu treffen oder ihre Vorlieben, Verhaltensweisen und Einstellungen zu analysieren oder vorherzusagen.
(Erwägungsgrund 25) Wenn aufgrund des Völkerrechts das Recht eines Mitgliedstaats gilt, sollte diese Verordnung auch für einen für die Verarbeitung Verantwortlichen gelten, der nicht in der Union niedergelassen ist, …
(Erwägungsgrund 26) Die Grundsätze des Datenschutzes sollten auf alle Informationen angewendet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten, die pseudonymisiert wurden und die durch zusätzliche Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Bei der Feststellung, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die der für die Verarbeitung Verantwortliche vernünftigerweise wahrscheinlich einsetzen würde …
(Erwägungsgrund 27) Diese Verordnung gilt nicht für personenbezogene Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung personenbezogener Daten Verstorbener erlassen.
(Erwägungsgrund 28) Die Pseudonymisierung personenbezogener Daten kann die Risiken für betroffene Personen verringern und Verantwortlichen und Auftragsverarbeitern dabei helfen, ihren Datenschutzpflichten nachzukommen. Die ausdrückliche Einführung der Pseudonymisierung in dieser Verordnung soll andere Datenschutzmaßnahmen nicht ausschließen.
(Erwägungsgrund 29) Um die Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu fördern, sollten Pseudonymisierungsmaßnahmen innerhalb desselben Verantwortlichen möglich sein und gleichzeitig eine allgemeine Analyse ermöglichen, sofern dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um für die betreffende Verarbeitung die Umsetzung dieser Verordnung zu gewährleisten und zusätzliche Informationen, die die Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person ermöglichen, gesondert aufzubewahren. Der Verantwortliche, der die personenbezogenen Daten verarbeitet, sollte die hierzu innerhalb desselben Verantwortlichen befugten Personen benennen.
(Erwägungsgrund 30) Einzelpersonen können über die von ihnen verwendeten Geräte, Anwendungen, Tools und Protokolle mit Online-Kennungen wie IP-Adressen und Cookies oder anderen Kennungen, beispielsweise RFID-Tags, verknüpft werden. Diese Kennungen können Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen von Servern empfangenen Informationen zur Erstellung von Profilen und zur Identifizierung von Einzelpersonen verwendet werden können.
(Erwägungsgrund 31) Behörden, denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung zur Wahrnehmung ihrer amtlichen Aufgaben offengelegt werden, wie etwa Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder für die Regulierung und Beaufsichtigung der Wertpapiermärkte zuständige Finanzmarktbehörden, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die zur Durchführung eines bestimmten im öffentlichen Interesse liegenden Untersuchungsauftrags erforderlich sind, …
(Erwägungsgrund 32) Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der die betroffene Person freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, beispielsweise in Form einer schriftlichen – auch elektronisch möglichen – oder mündlichen Erklärung. Dies kann beispielsweise durch das Ankreuzen eines Kästchens beim Besuch einer Website, durch die Auswahl bestimmter technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine sonstige Erklärung oder Verhaltensweisen geschehen, mit denen die betroffene Person in diesem Kontext eindeutig zum Ausdruck bringt, dass sie mit der vorgeschlagenen Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Eine Einwilligung kann daher nicht durch Schweigen, standardmäßiges Ankreuzen oder Untätigkeit erteilt werden. …
(Erwägungsgrund 36) Die Hauptniederlassung eines Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen; in diesem Fall sollte diese andere Niederlassung als Hauptniederlassung gelten. Die Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollte anhand objektiver Kriterien erfolgen und die effektive und ernsthafte Ausübung von Managementtätigkeiten gewährleisten, in denen die wichtigsten Entscheidungen über die Zwecke und Mittel der Verarbeitung im Rahmen einer festen Einrichtung getroffen werden. …
(Erwägungsgrund 37) Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von ihm abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen das Unternehmen ist, das beispielsweise aufgrund seiner Kapitalbeteiligung, seiner finanziellen Beteiligung, seiner Geschäftsordnung oder seiner Befugnis zur Durchsetzung von Datenschutzvorschriften einen beherrschenden Einfluss auf die anderen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in mit ihm verbundenen Unternehmen kontrolliert, sollte mit diesen Unternehmen als eine Unternehmensgruppe betrachtet werden.
(Erwägungsgrund 38) Kinder verdienen besonderen Schutz in Bezug auf ihre personenbezogenen Daten, da sie sich der damit verbundenen Risiken, Folgen und Garantien sowie ihrer Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Dieser besondere Schutz sollte insbesondere für die Verwendung personenbezogener Daten von Kindern zu Marketingzwecken oder zur Erstellung von Persönlichkeits- oder Nutzerprofilen sowie für die Erhebung personenbezogener Daten von Kindern im Rahmen der Nutzung von Diensten gelten, die Kindern direkt angeboten werden. Für Präventions- oder Beratungsdienste, die Kindern direkt angeboten werden, sollte die Einwilligung des Trägers der elterlichen Verantwortung nicht erforderlich sein.
(Erwägungsgrund 39) Jede Verarbeitung personenbezogener Daten muss rechtmäßig und nach Treu und Glauben erfolgen. Die Tatsache, dass personenbezogene Daten natürlicher Personen erhoben, genutzt, abgerufen oder anderweitig verarbeitet werden und in welchem Umfang diese Daten verarbeitet werden oder werden sollen, sollte für die betroffenen natürlichen Personen transparent sein. Der Grundsatz der Transparenz erfordert, dass alle Informationen und Mitteilungen im Zusammenhang mit der Verarbeitung personenbezogener Daten leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz gilt insbesondere für die Unterrichtung der betroffenen Personen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung sowie für sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen und ihr Recht auf Bestätigung und Mitteilung darüber, ob ihre personenbezogenen Daten verarbeitet werden, gewährleisten sollen. Natürliche Personen sollten über die mit der Verarbeitung personenbezogener Daten verbundenen Risiken, Vorschriften, Garantien und Rechte sowie über die Modalitäten der Ausübung ihrer Rechte in Bezug auf diese Verarbeitung unterrichtet werden. …
(Erwägungsgrund 40) Um rechtmäßig zu sein, muss die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person oder auf einem anderen gesetzlich vorgesehenen legitimen Grund beruhen, …
(Erwägungsgrund 42) Wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, sollte der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person in den Verarbeitungsvorgang eingewilligt hat. …
(Erwägungsgrund 43) Um sicherzustellen, dass die Einwilligung freiwillig erteilt wird, sollte sie in Einzelfällen keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein, wenn zwischen der betroffenen Person und dem Verantwortlichen ein offensichtliches Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt und es unter Berücksichtigung aller Umstände des jeweiligen Einzelfalls unwahrscheinlich ist, dass die Einwilligung freiwillig erteilt wurde. Von einer Nichtfreiwilligkeit der Einwilligung wird ausgegangen, wenn für verschiedene Verarbeitungsvorgänge personenbezogener Daten keine gesonderte Einwilligung erteilt werden kann, obwohl dies im Einzelfall angemessen wäre, oder wenn die Erfüllung eines Vertrags – einschließlich der Erbringung einer Dienstleistung – von einer Einwilligung abhängig gemacht wird, obwohl eine solche Einwilligung hierfür nicht erforderlich ist.
(Erwägungsgrund 44) Die Verarbeitung sollte als rechtmäßig gelten, wenn sie für die Erfüllung eines Vertrags oder die Absicht, einen Vertrag abzuschließen, erforderlich ist.
(Erwägungsgrund 45) Erfolgt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder ist sie für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, muss die Verarbeitung auf einer Grundlage im Unionsrecht oder im Recht der Mitgliedstaaten beruhen. …
(Erwägungsgrund 46) Die Verarbeitung personenbezogener Daten sollte auch dann als rechtmäßig gelten, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Eine Verarbeitung personenbezogener Daten aufgrund lebenswichtiger Interessen einer anderen natürlichen Person sollte grundsätzlich nur dann erfolgen, wenn für die Verarbeitung offensichtlich keine andere Rechtsgrundlage möglich ist. …
(Erwägungsgrund 47) Die Rechtsgrundlage für die Verarbeitung können die berechtigten Interessen eines Verantwortlichen – einschließlich derjenigen eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden können – oder eines Dritten sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, wobei die berechtigten Erwartungen der betroffenen Person aufgrund ihrer Beziehung zu dem Verantwortlichen zu berücksichtigen sind. …
(Erwägungsgrund 48) Verantwortliche, die Teil einer Unternehmensgruppe oder einer Zentralstelle angeschlossener Betriebe sind, können ein berechtigtes Interesse daran haben, personenbezogene Daten innerhalb der Unternehmensgruppe zu internen Verwaltungszwecken zu übermitteln, wozu auch die Verarbeitung personenbezogener Daten von Kunden oder Mitarbeitern gehört. …
(Erwägungsgrund 49) Die Verarbeitung personenbezogener Daten in dem unbedingt erforderlichen und verhältnismäßigen Umfang zum Zweck der Gewährleistung der Netz- und Informationssicherheit, d. h. der Fähigkeit eines Netzes oder Informationssystems, bei einem bestimmten Vertrauensniveau Unfällen oder rechtswidrigen oder böswilligen Handlungen standzuhalten, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit verbundener Dienste, die über solche Netze und Systeme angeboten oder zugänglich gemacht werden, beeinträchtigen, durch Behörden, Computer Emergency Response Teams (CERTs), Computer Security Incident Response Teams (CSIRTs), Anbieter elektronischer Kommunikationsnetze und -dienste sowie Anbieter von Sicherheitstechnologien und -diensten, stellt ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Dazu könnte beispielsweise gehören, den unbefugten Zugriff auf elektronische Kommunikationsnetze und die Verbreitung von Schadcode zu verhindern sowie Denial-of-Service-Angriffe und Schäden an Computer- und elektronischen Kommunikationssystemen abzuwehren.
(Erwägungsgrund 50) Die Verarbeitung personenbezogener Daten zu anderen Zwecken als denen, zu denen die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn sie mit den Zwecken vereinbar ist, zu denen die personenbezogenen Daten ursprünglich erhoben wurden. …
Wenn die betroffene Person eingewilligt hat oder die Verarbeitung auf dem Unionsrecht oder dem Recht der Mitgliedstaaten beruht, das in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Wahrung insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, sollte der für die Verarbeitung Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit mit den Zwecken weiterverarbeiten dürfen. …
(Erwägungsgrund 51) Personenbezogene Daten, die aufgrund ihrer Natur im Hinblick auf die Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen besonderen Schutz, da die Bedingungen ihrer Verarbeitung erhebliche Risiken für diese Rechte und Freiheiten mit sich bringen können. Zu diesen personenbezogenen Daten sollten auch personenbezogene Daten gehören, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien über die Existenz verschiedener menschlicher Rassen unterstützt. …
(Erwägungsgrund 52) Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten sollten auch zulässig sein, wenn dies im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehen ist und vorbehaltlich geeigneter Garantien zum Schutz personenbezogener Daten und anderer Grundrechte, wenn das öffentliche Interesse dies erfordert, einschließlich der Verarbeitung personenbezogener Daten im Bereich des Arbeitsrechts und des Sozialschutzrechts, einschließlich der Altersversorgung, sowie für Zwecke der Sicherheit, der Gesundheitsüberwachung und -warnung, der Verhütung oder Kontrolle übertragbarer Krankheiten und anderer schwerwiegender Gesundheitsgefahren. …
(Erwägungsgrund 53) Besondere Kategorien personenbezogener Daten, die eines höheren Schutzes bedürfen, sollten nur für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies zur Erreichung dieser Zwecke im Interesse des Einzelnen und der Gesellschaft als Ganzes erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung von Diensten und Systemen im Gesundheits- oder Sozialbereich, einschließlich der Verarbeitung derartiger Daten durch nationale Verwaltungsbehörden und zentrale Gesundheitsbehörden, zum Zwecke der Qualitätskontrolle, der Unterrichtung der Verantwortlichen und der allgemeinen Aufsicht über das Gesundheits- oder Sozialsystem auf nationaler und lokaler Ebene und zum Zwecke der Gewährleistung der Kontinuität der Gesundheits- oder Sozialfürsorge und der grenzüberschreitenden Gesundheitsversorgung oder zum Zwecke der Gesundheitssicherheit, Gesundheitsüberwachung und Gesundheitswarnung oder zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten, das einem im öffentlichen Interesse liegenden Ziel dienen muss, sowie für im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführte Studien. …
(Erwägungsgrund 54) Die Verarbeitung besonderer Kategorien personenbezogener Daten kann aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit auch ohne Einwilligung der betroffenen Person erforderlich sein. … Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses sollte nicht dazu führen, dass personenbezogene Daten von Dritten, wie etwa Arbeitgebern oder Versicherungsunternehmen und Banken, zu anderen Zwecken verarbeitet werden.
(Erwägungsgrund 56) Wenn es für das Funktionieren des demokratischen Systems in einem Mitgliedstaat erforderlich ist, dass politische Parteien im Rahmen von wahlbezogenen Aktivitäten personenbezogene Daten über die politische Meinung von Einzelpersonen erheben, kann die Verarbeitung dieser Daten aus Gründen des öffentlichen Interesses zulässig sein, sofern geeignete Garantien vorgesehen sind.
(Erwägungsgrund 57) Ist anhand der von ihm verarbeiteten personenbezogenen Daten keine Identifizierung einer natürlichen Person möglich, sollte der Verantwortliche nicht verpflichtet sein, ausschließlich zum Zwecke der Einhaltung einer Bestimmung dieser Verordnung zusätzliche Informationen zur Identifizierung der betroffenen Person einzuholen. Der Verantwortliche sollte jedoch zusätzliche Informationen, die die betroffene Person zur Erleichterung der Ausübung ihrer Rechte bereitstellt, nicht ablehnen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person umfassen, beispielsweise mittels eines Authentifizierungsmechanismus wie der Verwendung derselben Zugangsdaten, die die betroffene Person für die Anmeldung bei dem vom Verantwortlichen angebotenen Online-Dienst verwendet.
(Erwägungsgrund 58) Der Grundsatz der Transparenz erfordert, dass alle an die Öffentlichkeit oder die betroffene Person gerichteten Informationen präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache formuliert und gegebenenfalls zusätzlich mit visuellen Elementen illustriert werden. Solche Informationen könnten in elektronischer Form bereitgestellt werden, beispielsweise über eine Website, wenn sie sich an die Öffentlichkeit richten. … Da Kinder besonderen Schutz verdienen, sollten alle Informationen und Mitteilungen, soweit die Verarbeitung sie betrifft, in klarer und einfacher Sprache abgefasst sein, die das Kind leicht verstehen kann.
(Erwägungsgrund 59) Es sollten Vorkehrungen getroffen werden, um der betroffenen Person die Ausübung ihrer Rechte nach dieser Verordnung zu erleichtern; dazu gehören auch die Möglichkeit, unentgeltlich Auskunft über die personenbezogenen Daten sowie deren Berichtigung oder Löschung zu beantragen und gegebenenfalls zu erhalten sowie ein Widerspruchsrecht auszuüben. Der Verantwortliche sollte auch die Möglichkeit bereitstellen, Anträge elektronisch zu stellen, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet sein, Anträge der betroffenen Person unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten und, falls er beabsichtigt, dem Antrag nicht nachzukommen, seine Antwort zu begründen.
(Erwägungsgrund 60) Der Grundsatz einer fairen und transparenten Verarbeitung erfordert, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke informiert wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die für eine faire und transparente Verarbeitung erforderlich sind und dabei die besonderen Umstände und Rahmenbedingungen der Verarbeitung berücksichtigen. Darüber hinaus sollte die betroffene Person über das Vorhandensein von Profiling und die damit verbundenen Folgen informiert werden. Werden personenbezogene Daten bei der betroffenen Person erhoben, ist es wichtig, dass die betroffene Person auch weiß, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung hat. …
(Erwägungsgrund 61) Informationen zur Verarbeitung personenbezogener Daten der betroffenen Person sollten ihr zum Zeitpunkt der Erhebung der personenbezogenen Daten oder, falls die personenbezogenen Daten aus einer anderen Quelle stammen, innerhalb einer angemessenen Frist, abhängig von den Umständen des Einzelfalls, zur Verfügung gestellt werden. Dürfen personenbezogene Daten rechtmäßig an einen anderen Empfänger weitergegeben werden, sollte die betroffene Person über den Zeitpunkt der ersten Weitergabe der personenbezogenen Daten an diesen Empfänger informiert werden. …
(Erwägungsgrund 62) Eine Pflicht zur Bereitstellung von Informationen kann jedoch dann entfallen, wenn die betroffene Person bereits über diese Informationen verfügt, die Erfassung oder Weitergabe personenbezogener Daten gesetzlich ausdrücklich vorgesehen ist oder die Bereitstellung von Informationen an die betroffene Person sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. …
(Erwägungsgrund 63) Betroffene Personen sollten das Recht haben, auf die über sie erhobenen personenbezogenen Daten zuzugreifen und dieses Recht problemlos und in angemessenen Abständen wahrzunehmen, um sich über die Verarbeitung zu informieren und deren Rechtmäßigkeit zu überprüfen. Dies umfasst das Recht der betroffenen Personen auf Zugang zu ihren Gesundheitsdaten, beispielsweise Daten aus ihren Patientenakten, die Informationen wie Diagnosen, Untersuchungsergebnisse, Meinungen der behandelnden Ärzte und etwaige durchgeführte Behandlungen oder Eingriffe enthalten. Dementsprechend sollte jede betroffene Person das Recht haben, insbesondere über die Zwecke der Verarbeitung personenbezogener Daten, wenn möglich über die Dauer der Verarbeitung dieser personenbezogenen Daten, die Identität der Empfänger dieser personenbezogenen Daten, die bei einer automatisierten Verarbeitung zugrunde gelegte Logik und die möglichen Folgen einer solchen Verarbeitung, zumindest im Falle eines Profilings, informiert zu werden. …
(Erwägungsgrund 64) Der Verantwortliche sollte alle angemessenen Schritte unternehmen, um die Identität einer betroffenen Person, die Zugang zu Daten beantragt, zu überprüfen, insbesondere im Zusammenhang mit Online-Diensten und Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht ausschließlich zu dem Zweck speichern, auf mögliche Anfragen antworten zu können.
(Erwägungsgrund 65) Betroffene Personen sollten das Recht auf Berichtigung ihrer personenbezogenen Daten haben und ein „Recht auf Vergessenwerden“, wenn die Speicherung dieser Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, verstößt. Insbesondere sollten betroffene Personen das Recht haben, zu verlangen, dass ihre personenbezogenen Daten gelöscht oder nicht mehr verarbeitet werden, wenn diese personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind, wenn betroffene Personen ihre Einwilligung zur Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen nicht mit dieser Verordnung vereinbar ist. Dieses Recht ist insbesondere dann relevant, wenn die betroffene Person ihre Einwilligung als Kind erteilt hat und sich der mit der Verarbeitung verbundenen Risiken nicht in vollem Umfang bewusst war und anschließend die Löschung dieser personenbezogenen Daten, insbesondere der im Internet gespeicherten Daten, wünscht. …
(Erwägungsgrund 66) Um das digitale „Recht auf Vergessenwerden“ zu stärken, sollte auch das Recht auf Löschung so ausgeweitet werden, dass der Verantwortliche, der personenbezogene Daten öffentlich gemacht hat, verpflichtet ist, die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass alle Links zu diesen Daten sowie Kopien oder Reproduktionen dieser Daten gelöscht werden sollten. …
(Erwägungsgrund 67) Zu den Methoden zur Einschränkung der Verarbeitung personenbezogener Daten könnten unter anderem die vorübergehende Verlagerung ausgewählter Daten in ein anderes Verarbeitungssystem, die Sperrung ausgewählter personenbezogener Daten für Nutzer oder die vorübergehende Entfernung veröffentlichter Daten von einer Website gehören. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so gewährleistet werden, dass die personenbezogenen Daten keiner weiteren Verarbeitung unterzogen und nicht verändert werden können. Die Einschränkung der Verarbeitung personenbezogener Daten sollte im Dateisystem deutlich gekennzeichnet sein.
(Erwägungsgrund 68) Um ihre Kontrolle über ihre eigenen Daten weiter zu stärken, sollten betroffene Personen im Falle einer automatisierten Datenverarbeitung zudem das Recht haben, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Verantwortliche sollten ermutigt werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. …
(Erwägungsgrund 69) Sofern personenbezogene Daten rechtmäßig verarbeitet werden dürften, weil die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, oder weil die berechtigten Interessen des Verantwortlichen oder eines Dritten vorliegen, sollten die betroffenen Personen dennoch das Recht haben, der Verarbeitung personenbezogener Daten, die sich aus ihrer besonderen Situation ergeben, zu widersprechen. Die Beweislast dafür, dass seine zwingenden schutzwürdigen Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben, sollte beim Verantwortlichen liegen.
(Erwägungsgrund 70) Werden personenbezogene Daten für Zwecke der Direktwerbung verarbeitet, sollte die betroffene Person das Recht haben, dieser Verarbeitung jederzeit und kostenlos zu widersprechen; dies gilt auch für die Profilerstellung, soweit sie mit der Direktwerbung in Zusammenhang steht, unabhängig davon, ob es sich um die ursprüngliche oder die spätere Verarbeitung handelt. …
(Erwägungsgrund 71) Die betroffene Person sollte das Recht haben, keiner Entscheidung – gegebenenfalls auch einer Maßnahme – unterworfen zu werden, bei der bestimmte Aspekte ihrer Person bewertet werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und für die betroffene Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie etwa die automatische Ablehnung eines Online-Kreditantrags oder von Online-Personalbeschaffungspraktiken ohne jegliches menschliches Zutun. Zu dieser Art der Verarbeitung gehört das „Profiling“, d. h. jede Form der automatisierten Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Vorhersage von Aspekten bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten oder Aufenthaltsort und Ortswechsel der betroffenen Person, sofern dies für die betroffene Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. …
(Erwägungsgrund 73) Durch das Unionsrecht oder das Recht der Mitgliedstaaten können Einschränkungen bestimmter Grundsätze sowie des Rechts auf Information, des Rechts auf Zugang zu personenbezogenen Daten, des Rechts auf Berichtigung oder Löschung dieser Daten, des Rechts auf Datenübertragbarkeit, des Widerspruchsrechts, von Entscheidungen auf der Grundlage von Profiling sowie der Benachrichtigung einer betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten und bestimmter damit verbundener Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden.
(Erwägungsgrund 74) Es ist angebracht, die Verantwortung des Verantwortlichen für jede Verarbeitung personenbezogener Daten festzulegen, die von ihm oder in seinem Auftrag vorgenommen wird. Insbesondere ist es wichtig, dass der Verantwortliche geeignete und wirksame Maßnahmen ergreifen muss und die Vereinbarkeit der Verarbeitungstätigkeiten mit dieser Verordnung, einschließlich der Wirksamkeit dieser Maßnahmen, nachweisen kann. …
(Erwägungsgrund 75) Risiken für die Rechte und Freiheiten natürlicher Personen, deren Eintrittswahrscheinlichkeit und Schwere variieren, können sich aus der Verarbeitung personenbezogener Daten ergeben, die voraussichtlich einen physischen, materiellen oder immateriellen Schaden zur Folge hat, insbesondere wenn die Verarbeitung zu Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, Rufschädigung, Verlust der Vertraulichkeit von unter das Berufsgeheimnis fallenden Daten, unbefugter Aufhebung der Pseudonymisierung oder sonstigen erheblichen wirtschaftlichen oder sozialen Schäden führen kann; wenn die betroffenen Personen ihrer Rechte und Freiheiten beraubt oder daran gehindert werden könnten, die Kontrolle über ihre personenbezogenen Daten auszuüben; wenn die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßregeln; wenn persönliche Aspekte bewertet werden, insbesondere im Rahmen der Analyse oder Vorhersage von Elementen betreffend Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel, mit dem Ziel, individuelle Profile zu erstellen oder zu verwenden; wenn die Verarbeitung personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Kinder, betrifft oder wenn die Verarbeitung eine große Menge personenbezogener Daten betrifft und eine große Zahl betroffener Personen betrifft.
(Erwägungsgrund 76) Die Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung bestimmt werden. …
(Erwägungsgrund 78) Der Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten erfordert geeignete technische und organisatorische Maßnahmen, um die Einhaltung der Anforderungen dieser Verordnung zu gewährleisten. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Vorschriften erlassen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen entsprechen. Solche Maßnahmen könnten unter anderem die Minimierung der Verarbeitung personenbezogener Daten, die Pseudonymisierung personenbezogener Daten, die Gewährleistung von Transparenz hinsichtlich der Funktionen und der Verarbeitung personenbezogener Daten, die Ermöglichung der Kontrolle der Datenverarbeitung durch die betroffene Person sowie die Ermöglichung der Implementierung oder Verbesserung von Sicherheitsfunktionen durch den Verantwortlichen umfassen. Bei der Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die auf der Verarbeitung personenbezogener Daten beruhen oder zur Erfüllung ihrer Funktionen personenbezogene Daten verarbeiten, sollten Produkthersteller, Diensteanbieter und Anwendungsproduzenten dazu angehalten werden, bei der Entwicklung und Gestaltung solcher Produkte, Dienste und Anwendungen das Recht auf Datenschutz zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass Verantwortliche und Auftragsverarbeiter ihren Datenschutzpflichten nachkommen können. Auch bei der öffentlichen Auftragsvergabe sollten die Grundsätze des Datenschutzes durch Technikgestaltung und des Datenschutzes durch datenschutzfreundliche Voreinstellungen berücksichtigt werden.
(Erwägungsgrund 79) Der Schutz der Rechte und Freiheiten der betroffenen Personen sowie die Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, auch im Rahmen der Überwachung durch Aufsichtsbehörden und der von ihnen ergriffenen Maßnahmen, erfordern eine klare Zuweisung der Verantwortlichkeiten im Rahmen dieser Verordnung, …
(Erwägungsgrund 80) Verarbeitet ein Verantwortlicher oder Auftragsverarbeiter ohne Niederlassung in der Union personenbezogene Daten von betroffenen Personen, die sich in der Union befinden, und beziehen sich seine Verarbeitungstätigkeiten darauf, diesen betroffenen Personen in der Union – unabhängig davon, ob diese entgeltlich sind – Waren oder Dienstleistungen anzubieten oder deren Verhalten zu beobachten, soweit die Verarbeitung innerhalb der Union erfolgt, sollte der Verantwortliche oder Auftragsverarbeiter einen Vertreter benennen, es sei denn, die Verarbeitung erfolgt gelegentlich, umfasst nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten und birgt angesichts der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen oder es handelt sich bei dem Verantwortlichen um eine Behörde oder öffentliche Stelle. Der Vertreter sollte im Namen des Verantwortlichen oder Auftragsverarbeiters handeln und kann von jeder Aufsichtsbehörde kontaktiert werden. Der Vertreter sollte ausdrücklich und schriftlich vom Verantwortlichen oder Auftragsverarbeiter beauftragt werden, in dessen Namen hinsichtlich der ihm aus dieser Verordnung erwachsenden Pflichten tätig zu werden. Die Benennung dieses Vertreters berührt nicht die Pflichten des Verantwortlichen oder Auftragsverarbeiters gemäß dieser Verordnung. …
(Erwägungsgrund 81) Um sicherzustellen, dass die Anforderungen dieser Verordnung im Rahmen einer Verarbeitung durch einen Auftragsverarbeiter im Auftrag des Verantwortlichen eingehalten werden, sollte der Verantwortliche, wenn dieser einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betraut, nur auf Auftragsverarbeiter zurückgreifen, die insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen ausreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen durchgeführt werden, die den Anforderungen dieser Verordnung, einschließlich der Sicherheit der Verarbeitung, genügen. …
(Erwägungsgrund 82) Um die Einhaltung dieser Verordnung nachzuweisen, sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der in seine Zuständigkeit fallenden Verarbeitungstätigkeiten führen. …
(Erwägungsgrund 83) Um die Sicherheit zu gewährleisten und eine Verarbeitung zu verhindern, die gegen diese Verordnung verstößt, ist es wichtig, dass der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken bewertet und Maßnahmen zu deren Eindämmung, wie etwa eine Verschlüsselung, ergreift. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau – auch unter Berücksichtigung der Vertraulichkeit – gewährleisten, das den Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. …
(Erwägungsgrund 84) Um die Einhaltung dieser Verordnung in Fällen, in denen Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen mit sich bringen, besser zu gewährleisten, sollte der Verantwortliche dafür verantwortlich sein, eine Datenschutz-Folgenabschätzung durchzuführen, um insbesondere Ursprung, Art, Spezifität und Schwere des Risikos zu bewerten. Das Ergebnis dieser Abschätzung sollte bei der Festlegung geeigneter Maßnahmen berücksichtigt werden, mit denen die Übereinstimmung der Verarbeitung personenbezogener Daten mit dieser Verordnung nachgewiesen wird. Ergibt die Datenschutz-Folgenabschätzung, dass die Datenverarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche unter Berücksichtigung verfügbarer Techniken und der mit ihrer Implementierung verbundenen Kosten nicht durch geeignete Maßnahmen eindämmen kann, so sollte die Aufsichtsbehörde konsultiert werden, bevor die Verarbeitung stattfindet.
(Erwägungsgrund 85) Wenn nicht rechtzeitig geeignete Maßnahmen ergriffen werden, kann eine Verletzung des Schutzes personenbezogener Daten den betroffenen natürlichen Personen einen physischen, materiellen oder moralischen Schaden zufügen, wie etwa den Verlust der Kontrolle über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Identitätsbetrug, finanzielle Verluste, die unbefugte Aufhebung des Pseudonymisierungsverfahrens, Rufschädigung, Verlust der Vertraulichkeit von durch das Berufsgeheimnis geschützten personenbezogenen Daten oder andere erhebliche wirtschaftliche oder soziale Schäden. Sobald der Verantwortliche Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, sollte er dies der Aufsichtsbehörde unverzüglich und nach Möglichkeit binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, melden, es sei denn, er kann gemäß dem Grundsatz der Rechenschaftspflicht nachweisen, dass die betreffende Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Kann diese Meldung nicht binnen 72 Stunden erfolgen, so sollte die Meldung die Gründe für die Verzögerung enthalten, und die Informationen können ohne weitere unangemessene Verzögerung schrittweise bereitgestellt werden.
(Erwägungsgrund 86) Der Verantwortliche sollte die betroffene Person unverzüglich über eine Verletzung des Schutzes personenbezogener Daten informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person zur Folge hat, damit die betroffene Person geeignete Vorkehrungen treffen kann. …
(Erwägungsgrund 87) Es sollte überprüft werden, ob alle geeigneten technischen und organisatorischen Sicherheitsvorkehrungen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt, und die Aufsichtsbehörde sowie die betroffene Person unverzüglich zu informieren. …
(Erwägungsgrund 91) Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die auf regionaler, nationaler oder supranationaler Ebene auf die Verarbeitung erheblicher Mengen personenbezogener Daten abzielen, eine erhebliche Zahl betroffener Personen betreffen können und beispielsweise aufgrund ihrer Sensibilität voraussichtlich ein hohes Risiko bergen, wenn dabei nach dem Stand der Technik in großem Umfang eine neue Technik angewendet wird, sowie für sonstige Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere wenn solche Vorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch dann durchgeführt werden, wenn personenbezogene Daten verarbeitet werden, um Entscheidungen in Bezug auf bestimmte natürliche Personen zu treffen, die auf einer systematischen und eingehenden Bewertung persönlicher Aspekte dieser Personen auf der Grundlage eines Profilings dieser Daten beruhen, oder wenn besondere Kategorien personenbezogener Daten, biometrische Daten oder Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherheitsmaßregeln verarbeitet werden. …
(Erwägungsgrund 92) Es gibt Fälle, in denen es sinnvoll und kosteneffizient sein kann, den Umfang der Datenschutz-Folgenabschätzung über ein einzelnes Projekt hinaus auszuweiten, beispielsweise wenn Behörden oder öffentliche Stellen beabsichtigen, eine gemeinsame Anwendung oder Verarbeitungsplattform zu implementieren, oder wenn mehrere für die Verarbeitung Verantwortliche beabsichtigen, eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen ganzen Sektor oder ein Berufssegment oder für eine weit verbreitete funktionsübergreifende Tätigkeit zu schaffen.
(Erwägungsgrund 94) Ergibt eine Datenschutz-Folgenabschätzung, dass die Verarbeitung ohne Garantien, Sicherheitsvorkehrungen und Risikominderungsmechanismen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde und der Verantwortliche der Auffassung ist, dass das Risiko unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten nicht durch vertretbare Mittel gemindert werden kann, sollte die Aufsichtsbehörde vor Beginn der Verarbeitungsvorgänge konsultiert werden. …
(Erwägungsgrund 97) Erfolgt die Verarbeitung durch eine Behörde – mit Ausnahme von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln – oder im privaten Sektor durch einen Verantwortlichen, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordern, oder besteht die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten sowie von Daten über strafrechtliche Verurteilungen und Straftaten, so sollte eine Person mit Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis den Verantwortlichen oder den Auftragsverarbeiter bei der Überprüfung der internen Einhaltung dieser Verordnung unterstützen. …
(Erwägungsgrund 98) Verbände oder andere Einrichtungen, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, im Rahmen dieser Verordnung Verhaltensregeln auszuarbeiten, um ihre ordnungsgemäße Anwendung zu erleichtern und dabei den Besonderheiten der in bestimmten Sektoren durchgeführten Verarbeitung und den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung zu tragen. …
(Erwägungsgrund 101) Der Verkehr personenbezogener Daten aus und in Länder außerhalb der Union sowie zu internationalen Organisationen ist für die Entwicklung des internationalen Handels und der internationalen Zusammenarbeit unabdingbar. Die Zunahme dieser Datenströme hat neue Herausforderungen und Bedenken hinsichtlich des Schutzes personenbezogener Daten mit sich gebracht. Es ist jedoch wichtig, dass bei der Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen das durch diese Verordnung in der Union gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Dies gilt auch im Falle der Weiterübermittlung personenbezogener Daten aus dem Drittland oder der internationalen Organisation an Verantwortliche oder Auftragsverarbeiter im selben oder einem anderen Drittland oder an eine andere internationale Organisation. In jedem Fall dürfen Datenübermittlungen in Drittländer und an internationale Organisationen nur unter vollständiger Einhaltung dieser Verordnung erfolgen. …
(Erwägungsgrund 103) Die Kommission kann mit Wirkung für die gesamte Union feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet, und so in der gesamten Union Rechtssicherheit und eine einheitliche Rechtslage in Bezug auf das Drittland oder die internationale Organisation gewährleisten, das bzw. die dieses Schutzniveau bieten soll. In diesem Fall dürfen personenbezogene Daten an dieses Drittland oder diese internationale Organisation übermittelt werden, ohne dass hierfür eine weitere Genehmigung erforderlich ist. …
(Erwägungsgrund 104) Unter Berücksichtigung der Grundwerte, auf denen die Union beruht, insbesondere des Schutzes der Menschenrechte, sollte die Kommission bei ihrer Bewertung eines Drittlandes, eines Gebiets oder eines bestimmten Sektors innerhalb eines Drittlandes die Art und Weise berücksichtigen, in der das jeweilige Drittland die Rechtsstaatlichkeit achtet, den Zugang zur Justiz gewährleistet und internationale Regeln und Standards im Bereich der Menschenrechte einhält, sowie seine allgemeinen und sektoralen Rechtsvorschriften, einschließlich der Rechtsvorschriften über öffentliche Sicherheit, Verteidigung und nationale Sicherheit sowie öffentliche Ordnung und Strafrecht. …
(Erwägungsgrund 105) Zusätzlich zu den von dem Drittland oder der internationalen Organisation eingegangenen internationalen Verpflichtungen sollte die Kommission die Verpflichtungen berücksichtigen, die sich aus der Teilnahme des Drittlandes oder der internationalen Organisation an multilateralen oder regionalen Systemen ergeben, insbesondere im Hinblick auf den Schutz personenbezogener Daten, und die Umsetzung dieser Verpflichtungen. Insbesondere sollte der Beitritt des Drittlandes zum Übereinkommen des Europarats vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und seinem Zusatzprotokoll berücksichtigt werden. …
(Erwägungsgrund 108) Liegt kein Angemessenheitsbeschluss vor, sollte der Verantwortliche oder der Auftragsverarbeiter Maßnahmen ergreifen, um die Unzulänglichkeit des Datenschutzes im Drittland durch geeignete Garantien für die betroffene Person auszugleichen. …
(Erwägungsgrund 109) Die Möglichkeit für Verantwortliche und Auftragsverarbeiter, von der Kommission oder einer Aufsichtsbehörde erlassene Standarddatenschutzklauseln zu verwenden, sollte sie nicht daran hindern, diese Klauseln in einen umfassenderen Vertrag, beispielsweise einen Vertrag zwischen dem Auftragsverarbeiter und einem weiteren Auftragsverarbeiter, aufzunehmen oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standardvertragsklauseln stehen und die Grundrechte und Grundfreiheiten der betroffenen Personen nicht beeinträchtigen. …
(Erwägungsgrund 110) Eine Unternehmensgruppe oder eine Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sollte für ihre internationalen Datenübermittlungen aus der Union an Stellen derselben Unternehmensgruppe oder derselben Unternehmensgruppe, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche interne Datenschutzvorschriften verwenden können, sofern diese internen Datenschutzvorschriften alle wesentlichen Grundsätze und durchsetzbaren Rechte enthalten, um angemessene Garantien für die Übermittlung oder Kategorien von Übermittlungen personenbezogener Daten zu gewährleisten.
(Erwägungsgrund 114) In jedem Fall sollte der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter, wenn die Kommission keine Stellungnahme zur Angemessenheit des Datenschutzniveaus in einem Drittland abgegeben hat, Lösungen finden, die den betroffenen Personen durchsetzbare und wirksame Rechte hinsichtlich der Verarbeitung ihrer Daten in der Union garantieren, nachdem diese Daten übermittelt wurden, sodass die betroffenen Personen weiterhin in den Genuss der Grundrechte und Garantien kommen.
(Erwägungsgrund 116) Wenn personenbezogene Daten die Außengrenzen der Union überschreiten, kann dies das Risiko erhöhen, dass Einzelpersonen ihre Datenschutzrechte nicht wahrnehmen können, insbesondere sich nicht vor der unrechtmäßigen Verwendung oder Offenlegung dieser Informationen schützen können. … Daher ist es notwendig, eine engere Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden zu fördern, um ihnen den Informationsaustausch und die Durchführung von Untersuchungen mit ihren internationalen Partnern zu erleichtern. …
(Erwägungsgrund 121) Die allgemeinen Bedingungen für das/die Mitglied(er) der Aufsichtsbehörde sollten in jedem Mitgliedstaat gesetzlich geregelt sein und insbesondere vorsehen, dass diese Mitglieder in einem transparenten Verfahren vom Parlament, der Regierung oder dem Staatsoberhaupt des jeweiligen Mitgliedstaats auf Vorschlag der Regierung oder eines Regierungsmitglieds oder des Parlaments oder einer Parlamentskammer oder von einer unabhängigen Stelle ernannt werden, die nach dem Recht eines Mitgliedstaats mit dieser Aufgabe betraut ist. …
(Erwägungsgrund 122) Jede Aufsichtsbehörde sollte im Hoheitsgebiet ihres Mitgliedstaats für die Wahrnehmung der ihr gemäß dieser Verordnung übertragenen Aufgaben und Befugnisse zuständig sein. …
(Erwägungsgrund 124) Findet die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union statt und hat dieser Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat oder hat die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union stattfindende Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat oder könnte dies voraussichtlich der Fall sein, so sollte die Aufsichtsbehörde, die für die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters zuständig ist, als federführende Behörde fungieren. …
(Erwägungsgrund 125) Die federführende Behörde sollte befugt sein, verbindliche Entscheidungen über Maßnahmen zur Umsetzung der ihr gemäß dieser Verordnung übertragenen Befugnisse zu treffen. In ihrer Funktion als federführende Behörde sollte die Aufsichtsbehörde die zuständigen Aufsichtsbehörden eng in den Entscheidungsprozess einbinden und in diesem Zusammenhang eine enge Koordinierung sicherstellen. …
(Erwägungsgrund 129) Um eine einheitliche Durchsetzung und Überwachung dieser Verordnung in der gesamten Union zu gewährleisten, sollten die Aufsichtsbehörden in allen Mitgliedstaaten über dieselben Aufgaben und wirksamen Befugnisse verfügen. Dazu gehören Untersuchungsbefugnisse, die Befugnis zum Erlass von Korrekturmaßnahmen und zur Verhängung von Sanktionen sowie die Befugnis, Gutachten, insbesondere im Fall von Beschwerden natürlicher Personen, zu genehmigen und abzugeben, und – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und rechtliche Schritte einzuleiten. Diese Befugnisse sollten auch die Befugnis umfassen, eine vorübergehende oder dauerhafte Einschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. …
(Erwägungsgrund 130) Ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht die federführende Aufsichtsbehörde, so sollte die federführende Aufsichtsbehörde gemäß den in dieser Verordnung festgelegten Bestimmungen über Zusammenarbeit und Kohärenz eng mit der Aufsichtsbehörde zusammenarbeiten, bei der die Beschwerde eingereicht wurde. …
(Erwägungsgrund 137) Zum Schutz der Rechte und Freiheiten betroffener Personen kann dringendes Handeln erforderlich sein, insbesondere wenn die Gefahr besteht, dass die Ausübung dieser Rechte erheblich behindert wird. Daher sollte eine Aufsichtsbehörde in ihrem Hoheitsgebiet ordnungsgemäß begründete einstweilige Maßnahmen mit einer Geltungsdauer von höchstens drei Monaten treffen können.
(Erwägungsgrund 138) Die Anwendung eines solchen Mechanismus sollte die Rechtmäßigkeit einer Maßnahme einer Aufsichtsbehörde mit Rechtswirkung in Fällen voraussetzen, in denen eine solche Anwendung zwingend vorgeschrieben ist. …
(Erwägungsgrund 141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, Beschwerde einzulegen, sowie das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gemäß Artikel 47 der Charta, wenn sie der Ansicht ist, dass ihre Rechte gemäß dieser Verordnung verletzt wurden oder wenn die Aufsichtsbehörde auf ihre Beschwerde nicht reagiert, sie ganz oder teilweise ablehnt oder zurückweist oder nicht tätig wird, obwohl Maßnahmen zum Schutz der Rechte der betroffenen Person notwendig sind. Die auf eine Beschwerde folgende Untersuchung sollte unter gerichtlicher Aufsicht in dem vom Einzelfall geforderten angemessenen Umfang durchgeführt werden.
(Erwägungsgrund 142) Ist eine betroffene Person der Ansicht, dass ihre Rechte gemäß dieser Verordnung verletzt wurden, sollte sie das Recht haben, eine nach dem Recht eines Mitgliedstaats gegründete Einrichtung, Organisation oder Vereinigung ohne Erwerbszweck, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig ist, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde einzulegen, im Namen der betroffenen Person einen gerichtlichen Rechtsbehelf einzulegen oder, sofern dies im Recht der Mitgliedstaaten vorgesehen ist, im Namen der betroffenen Person das Recht auf Schadensersatz geltend zu machen. …
(Erwägungsgrund 143) Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 des Vertrags über die Arbeitsweise der Europäischen Union festgelegten Voraussetzungen beim Gerichtshof Nichtigkeitsklage gegen die Entscheidungen des Ausschusses zu erheben. Die betroffenen Aufsichtsbehörden müssen nach Erhalt derartiger Entscheidungen, die diese anfechten wollen, dies gemäß Artikel 263 des Vertrags über die Arbeitsweise der Europäischen Union innerhalb von zwei Monaten nach ihrer Bekanntgabe tun. …
Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder zurückgewiesen, kann der Beschwerdeführer vor den Gerichten desselben Mitgliedstaats Klage erheben. …
(Erwägungsgrund 144) Wenn ein mit einer Klage gegen eine Entscheidung einer Aufsichtsbehörde befasstes Gericht Grund zu der Annahme hat, dass bei einem zuständigen Gericht in einem anderen Mitgliedstaat Klagen anhängig sind, die dieselbe Verarbeitung (beispielsweise denselben Gegenstand) durch denselben Verantwortlichen oder Auftragsverarbeiter betreffen oder denselben Klagegrund haben, sollte es mit diesem anderen Gericht Kontakt aufnehmen, um sich von der Existenz solcher im Zusammenhang stehenden Klagen überzeugen zu können. …
(Erwägungsgrund 145) Bei Klagen gegen einen Verantwortlichen oder Auftragsverarbeiter sollte der Antragsteller die Wahl haben, Klage vor den Gerichten des Mitgliedstaats zu erheben, in dem der Verantwortliche oder Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Wohnsitz hat, es sei denn, es handelt sich bei dem Verantwortlichen um eine Behörde eines Mitgliedstaats, die im Rahmen ihrer hoheitlichen Befugnisse tätig geworden ist.
(Erwägungsgrund 146) Der Verantwortliche oder der Auftragsverarbeiter sollte einer betroffenen Person jeden Schaden ersetzen, der ihr aufgrund einer nicht nach dieser Verordnung erfolgten Verarbeitung entsteht. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass der Schaden in keiner Weise ihm zuzuschreiben ist. … Sind Verantwortliche und Auftragsverarbeiter jedoch gemäß dem Recht eines Mitgliedstaats an demselben Gerichtsverfahren beteiligt, so kann der Schadenersatz entsprechend dem Anteil der Verantwortung jedes Verantwortlichen oder Auftragsverarbeiters für den durch die Verarbeitung entstandenen Schaden aufgeteilt werden, sofern der der betroffenen Person entstandene Schaden vollständig und wirksam ersetzt wird. …
(Erwägungsgrund 148) Um die Durchsetzung der Vorschriften dieser Verordnung zu verstärken, sollten für jeden Verstoß gegen diese Verordnung zusätzlich zu den von der Aufsichtsbehörde gemäß dieser Verordnung verhängten geeigneten Maßnahmen oder anstelle dieser Sanktionen, einschließlich Geldbußen, verhängt werden. Bei einem geringfügigen Verstoß oder wenn die verhängte Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person darstellen würde, kann anstelle einer Geldbuße auch eine Verwarnung ausgesprochen werden. Allerdings sollten Art, Schwere und Dauer des Verstoßes, der vorsätzliche Charakter des Verstoßes und die zur Minderung des entstandenen Schadens getroffenen Maßnahmen, der Grad der Verantwortung oder etwaige frühere einschlägige Verstöße, die Art und Weise, wie die Aufsichtsbehörde von dem Verstoß Kenntnis erlangt hat, die Einhaltung der gegen den Verantwortlichen oder den Auftragsverarbeiter angeordneten Maßnahmen, die Anwendung von Verhaltensregeln sowie alle sonstigen erschwerenden oder mildernden Umstände gebührend berücksichtigt werden. Die Verhängung von Sanktionen, einschließlich Geldbußen, sollte angemessenen Verfahrensgarantien im Einklang mit den allgemeinen Grundsätzen des Unionsrechts und der Charta, wozu auch das Recht auf wirksamen Rechtsschutz und ein ordnungsgemäßes Verfahren gehört, unterliegen.
(Erwägungsgrund 150) Um die bei Verstößen gegen diese Verordnung zu verhängenden Verwaltungssanktionen zu verschärfen und zu harmonisieren, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße, der Höchstbetrag und die Kriterien für die Festsetzung der Geldbußen festgelegt werden. Die zuständige Aufsichtsbehörde sollte die Geldbußen in jedem Einzelfall unter Berücksichtigung aller Besonderheiten des Einzelfalls und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen wurden, um die Einhaltung der sich aus dieser Verordnung ergebenden Pflichten zu gewährleisten und die Folgen des Verstoßes zu verhindern oder abzumildern, festsetzen. …
(Erwägungsgrund 152) Soweit diese Verordnung keine verwaltungsrechtlichen Sanktionen vorsieht oder dies unter anderen Umständen, beispielsweise bei schwerwiegenden Verstößen gegen diese Verordnung, erforderlich ist, sollten die Mitgliedstaaten ein System einführen, das wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Die Art dieser Sanktionen – strafrechtlicher oder verwaltungsrechtlicher Art – sollte sich nach dem Recht der Mitgliedstaaten richten.
(Erwägungsgrund 153) Das Recht der Mitgliedstaaten sollte die Vorschriften über die Freiheit der Meinungsäußerung und die Informationsfreiheit – auch in journalistischer, wissenschaftlicher, künstlerischer oder literarischer Hinsicht – mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang bringen. Im Zusammenhang mit der Verarbeitung personenbezogener Daten zu ausschließlich journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen oder Ausnahmen von bestimmten Bestimmungen dieser Verordnung vorgesehen werden, wenn dies erforderlich ist, um das Recht auf Schutz personenbezogener Daten mit dem in Artikel 11 der Charta verankerten Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. …
(Erwägungsgrund 154) Diese Verordnung ermöglicht es, bei ihrer Anwendung dem Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten Rechnung zu tragen. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als im öffentlichen Interesse liegend angesehen werden. …
(Erwägungsgrund 155) Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen, einschließlich „Betriebsvereinbarungen“, können besondere Vorschriften für die Verarbeitung personenbezogener Arbeitnehmerdaten im Rahmen von Arbeitsverhältnissen enthalten sein. Dazu gehören auch die Bedingungen, unter denen personenbezogene Daten im Rahmen von Arbeitsverhältnissen auf der Grundlage der Einwilligung des Arbeitnehmers zu folgenden Zwecken verarbeitet werden dürfen: Einstellung, Erfüllung des Arbeitsvertrags – einschließlich der Einhaltung gesetzlicher oder tarifvertraglicher Pflichten –, Management, Planung und Organisation der Arbeit, Gleichstellung und Vielfalt am Arbeitsplatz, Gesundheit und Sicherheit am Arbeitsplatz sowie zum Zwecke der individuellen oder kollektiven Ausübung und Inanspruchnahme von Arbeitnehmerrechten und -leistungen und zum Zwecke der Beendigung des Arbeitsverhältnisses.
(Erwägungsgrund 162) Werden personenbezogene Daten für statistische Zwecke verarbeitet, sollte diese Verordnung auf diese Verarbeitung Anwendung finden. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte innerhalb der Grenzen dieser Verordnung den statistischen Inhalt bestimmen, die Kontrolle des Datenzugriffs regeln und besondere Bestimmungen für die Verarbeitung personenbezogener Daten für statistische Zwecke sowie geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen und zur Wahrung der statistischen Geheimhaltung festlegen. …
(Erwägungsgrund 163) Vertrauliche Informationen, die von den statistischen Stellen der Union und der Mitgliedstaaten zum Zwecke der Erstellung amtlicher europäischer und nationaler Statistiken erhoben werden, sollten geschützt werden. …
(Erwägungsgrund 164) Was die Befugnisse der Aufsichtsbehörden betrifft, von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter Zugang zu personenbezogenen Daten oder zu deren Räumlichkeiten zu erhalten, können die Mitgliedstaaten innerhalb der Grenzen dieser Verordnung durch Gesetz besondere Regelungen zur Wahrung des Berufsgeheimnisses oder anderer gleichwertiger Geheimhaltungspflichten erlassen, soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten und die Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen. …
(Erwägungsgrund 166) Um die Ziele dieser Verordnung zu erreichen, nämlich die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz personenbezogener Daten zu schützen und den freien Verkehr derartiger Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union Rechtsakte zu erlassen. Insbesondere sollten delegierte Rechtsakte erlassen werden, die die Kriterien und Anforderungen für Zertifizierungsmechanismen, die in Form standardisierter Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung solcher Bildsymbole regeln. …
(Erwägungsgrund 168) Angesichts des allgemeinen Anwendungsbereichs der betreffenden Rechtsakte sollte das Prüfverfahren für den Erlass von Durchführungsrechtsakten in Bezug auf Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, Verhaltenskodizes, technische Standards und Zertifizierungsmechanismen usw. angewendet werden.
(Erwägungsgrund 170) Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Schutzniveaus für natürliche Personen und des freien Verkehrs personenbezogener Daten in der gesamten Union, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union Maßnahmen erlassen, …
DE_AT 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
ET 
FI 
LV 
LT 
SK 
SL