(5) Die wirtschaftliche und soziale Integration, die sich aus
der Errichtung und dem Funktionieren des Binnenmarktes im Sinne
von Artikel 7a des Vertrags ergibt, wird notwendigerweise zu einer
spürbaren Zunahme der grenzüberschreitenden Ströme
personenbezogener Daten zwischen allen am wirtschaftlichen und
sozialen Leben der Mitgliedstaaten Beteiligten im öffentlichen
wie im privaten Bereich führen. Der Austausch personenbezogener
Daten zwischen in verschiedenen Mitgliedstaaten niedergelassenen
Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten
sind aufgrund des Gemeinschaftsrechts gehalten, zusammenzuarbeiten
und untereinander personenbezogene Daten auszutauschen, um im
Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestellt
wird, ihren Auftrag erfüllen oder Aufgaben anstelle der Behörden
eines anderen Mitgliedstaats durchführen zu können.
(6) Die verstärkte wissenschaftliche und technische Zusammenarbeit
sowie die koordinierte Einführung neuer Telekommunikationsnetze
in der Gemeinschaft erfordern und erleichtern den grenzüberschreitenden
Verkehr personenbezogener Daten.
(7) Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten
von Personen, insbesondere der Privatsphäre, bei der Verarbeitung
personenbezogener Daten in den Mitgliedstaaten kann die Übermittlung
dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet
eines anderen Mitgliedstaats verhindern. Dieses unterschiedliche
Schutzniveau kann somit ein Hemmnis für die Ausübung
einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene
darstellen, den Wettbewerb verfälschen und die Erfüllung
des Auftrags der im Anwendungsbereich des Gemeinschaftsrechts
tätigen. Behörden verhindern. Dieses unterschiedliche
Schutzniveau ergibt sich aus der, Verschiedenartigkeit der einzelstaatliche
Rechts- und Verwaltungsvorschriften.
(8) Zur Beseitigung der Hemmnisse für den Verkehr personenbezogener
Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte
und Freiheiten von Personen bei der Verarbeitung dieser Daten
in allen Mitgliedstaaten unerläßlich. Insbesondere
unter Berücksichtigung der großen Unterschiede, die
gegenwärtig zwischen den einschlägigen einzelstaatlichen
Rechtsvorschriften bestehen, und der Notwendigkeit, die Rechtsvorschriften
der Mitgliedstaaten zu koordinieren, damit der grenzüberschreitende
Fluß personenbezogener Daten kohärent und in Übereinstimmung
mit dem Ziel des Binnenmarktes im Sinne des Artikels 7a des Vertrags
geregelt wird, läßt sich dieses für den Binnenmarkt
grundlegende Ziel nicht allein durch das Vorgehen der Mitgliedstaaten
verwirklichen. Deshalb ist eine Maßnahme der Gemeinschaft
zur Angleichung der Rechtsvorschriften erforderlich.
(9) Die Mitgliedstaaten dürfen aufgrund des gleichwertigen
Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften
ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen
nicht mehr aus Gründen behindern, die den Schutz der Rechte
und Freiheiten natürlicher Personen und insbesondere das
Recht auf die Privatsphäre betreffen. Die Mitgliedstaaten
besitzen einen Spielraum, der im Rahmen der Durchführung
der Richtlinie von den Wirtschafts- und Sozialpartnern genützt
\werden kann. Sie können somit in ihrem einzelstaatlichen
Recht allgemeine Bedingungen für die Rechtmäßigkeit
der Verarbeitung festlegen.. Hierbei streben sie eine Verbesserung
des gegenwärtig durch ihre Rechtsvorschriften gewährten
Schutzes an. Innerhalb dieses' Spielraums können unter Beachtung
des Gemeinschaftsrechts Unterschiede bei der Durchführung
der Richtlinie auftreten, \was Auswirkungen für den Datenverkehr
sowohl innerhalb eines Mitgliedstaats als auch in der Gesellschaft
haben kann.
(10)Gegenstand der einzelstaatlichen Rechtsvorschriften über
die Verarbeitung personenbezogener Daten ist die Gewährleistung
der Achtung der Grundrechte und -freiheiten, insbesondere des
auch in Artikel 8 der Europäischen Konvention zum Schutze
der Menschenrechte und Grundfreiheiten und in den allgemeinen
Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf
die Privatsphäre. Die Angleichung dieser Rechtsvorschriften
darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften
garantierten Schutzes führen, sondern muß im Gegenteil
darauf abzielen, in der Gemeinschaft, ein hohes Schutzniveau sicherzustellen.
(11) Die in dieser Richtlinie enthaltenen Grundsätze zum
Schutz der Rechte, und Freiheiten der Personen, insbesondere der
Achtung der Privatsphäre, konkretisieren und erweitern die
in dem Übereinkommen des Europarats vom 28. Januar 1981 zum
Schutze der Personen bei der automatischen Verarbeitung @ personenbezogener
Daten enthaltenen Grundsätze.
(12) Die Schutzprinzipien müssen für alle Verarbeitungen
personenbezogener Daten gelten, sobald die Tätigkeiten des
für die Verarbeitung Verantwortlichen in den Anwendungsbereich
des Gemeinschaftsrechts fallen. Auszunehmen ist die Datenverarbeitung,
die von einer natürlichen Person in Ausübung ausschließlich
persönlicher oder familiärer Tätigkeiten wie zum
Beispiel Schriftverkehr oder Führung von Anschriftenverzeichnissen
vorgenommen wird
(13) Die in den Titeln V und VI des Vertrags über die Europäische
Union genannten Tätigkeiten, die die öffentliche Sicherheit,
die Landesverteidigung, die Sicherheit des Staates oder die Tätigkeiten
des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet
der Verpflichtungen der Mitgliedstaaten gemäß. Artikel
56 Absatz 2 sowie gemäß den Artikeln 57 und 100a des
Vertrags zur Gründung der Europäischen Gemeinschaft
nicht in den Anwendungsbereich des Gemeinschaftsrechts. Die Verarbeitung
personenbezogener Daten, die zum Schutz des wirtschaftlichen Wohls
des Staates erforderlich ist, fällt nicht unter diese Richtlinie,
wenn sie mit Fragen der Sicherheit des Staates zusammenhängt.
(14) In Anbetracht der Bedeutung der gegenwärtigen Entwicklung
im Zusammenhang mit der Informationsgesellschaft bezüglich
Techniken der Erfassung, Übermittlung, Veränderung,
Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen
Ton und Bilddaten muß diese Richtlinie auch auf die Verarbeitung
dieser Daten Anwendung finden.
(15) Die Verarbeitung solcher Daten wird von dieser Richtlinie
nur erfaßt, wenn sie automatisiert erfolgt oder wenn die
Daten, auf die' sich die Verarbeitung bezieht, in Dateien enthalten
oder für solche bestimmt sind, die nach bestimmten personenbezogenen
Kriterien strukturiert sind um einen leichten Zugriff auf die
Daten z u ermöglichen.
(16) Die Verarbeitung von Ton und Bilddaten, wie bei der Videoüberwachung,
fällt nicht unter diese Richtlinie, wenn sie für Zwecke
der öffentlichen Sicherheit, der Landesverteidigung, der
Sicherheit des Staates oder der Tätigkeiten des Staates im
Bereich des Strafrechts oder anderen Tätigkeiten erfolgt,
die nicht unter das Gemeinschaftsrecht fallen.
(17)Bezüglich der. Verarbeitung von Ton und Bilddaten für
journalistische, literarische oder künstlerische Zwecke,
insbesondere im audiovisuellen Bereich, finden die Grundsätze,
dieser Richtlinie gemäß Artikel 9 eingeschränkt
Anwendung.
(18) Um zu vermeiden, daß einer Person der gemäß
dieser Richtlinie gewährleistete Schutz vorenthalten wird,
müssen auf jede in der Gemeinschaft erfolgte Verarbeitung
personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats
angewandt \'"erden. Es ist angebracht, auf die Verarbeitung,
die von einer Person, die dem in dein Mitgliedstaat niedergelassenen
für die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen
werden, die Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats
setzt die effektive und tatsächliche Ausübung einer
Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform
einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle
sein kann, ist in dieser Hinsicht nicht maßgeblich. Wenn
der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten
niedergelassen ist, insbesondere mit einer Filiale, muß
er vor allem zu Vermeidung von Umgehungen sicherstellen, daß
jede dieser Niederlassungen die Verpflichtungen einhält,
die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das
auf ihre jeweiligen Tätigkeiten anwendbar ist.
(20) Die Niederlassung des für die Verarbeitung Verantwortlichen
in einem Drittland darf dem Schutz der Personen gemäß
dieser Richtlinie nicht entgegenstehen. In diesem Fall sind die
Verarbeitungen dem Recht des Mitgliedstaats zu unterwerfen, b
in dem sich die für die betreffenden Verarbeitungen verwendeten
Mittel befinden, und Vorkehrungen zu treffen, um sicherzustellen.
daß die in dieser Richtlinie \vorgesehenen Richte , und
Pflichten tatsächlich eingehalten werden.
(21) Diese Richtlinie berührt nicht die im Strafrecht geltenden
Territorialitätsregeln.
(22) Die Mitgliedstaaten können in ihren Rechtsvorschriften
oder bei der Durchführung der Vorschriften zur Umsetzung
dieser Richtlinie die allgemeinen Bedingungen präzisieren,
unter denen die Verarbeitungen rechtmäßig sind. Insbesondere
nach Artikel 5 in Verbindung mit den Artikeln 7 und 8 können
die Mitgliedstaaten neben den allgemeinen Regeln besondere Bedingungen
für die Datenverarbeitung, in spezifischen Bereichen und
für die verschiedenen Datenkategorien gemäß Artikel
8 vorsehen.
(23) Die Mitgliedstaaten können den Schutz von Personen sowohl
durch ein allgemeines Gesetz zum Schutz von Personen bei der Verarbeitung
personenbezogener Daten als auch durch gesetzliche Regelungen
für bestimmte Bereiche, die zum Beispiel die statistischen
Ämter, sicherstellen.
(24) Diese Richtlinie berührt nicht die Rechtsvorschriften
zum Schutz juristischer Personen bei der Verarbeitung von Daten,
die sich auf sie beziehen.
(25) Die Schutzprinzipien finden zum einen ihren Niederschlag
in den Pflichten, die den Personen, Behörden, Unternehmen,
Geschäftsstellen oder anderen für die Verarbeitung verantwortlichen
Stellen obliegen; diese Pflichten betreffen insbesondere die Datenqualität,
die technische Sicherheit, die Meldung bei der Kontrollstelle
und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen
werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten
der Personen, deren Daten Gegenstand von Verarbeitungen sind,
über diese informiert zu \werden, Zugang zu den Daten zu
erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen
Widerspruch gegen die Verarbeitung einlegen zu können.
(26) Die Schutzprinzipien müssen für alle Informationen
über eine bestimmte oder bestimmbare Person gelten. Bei der
Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel
berücksichtigt werden, die vernünftigerweise entweder
von dein Verantwortlichen für die Verarbeitung oder von einem
Dritten eingesetzt werden könnten, um die betreffende Person
zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf
Daten, die derart anonymisiert sind, daß die betroffene
, Person nicht mehr identifizierbar ist. Die Verhaltensregeln
im Sinne des Artikels 27 können ein nützliches lnstrument
sein, mit dem angegeben wird, wie sich die Daten in einer Form
anonymisieren und aufbewahren lassen, die die Identifizierung
der betroffenen Person unmöglich macht.
(27) Datenschutz muß sowohl für automatisierte als
auch für nicht automatisierte Verarbeitungen gelten. In der
Tat darf der Schutz nicht von den verwendeten Techniken abhängen,
da andernfalls ernsthafte Risiken der Umgehung entstehen würden.
Bei manuellen Verarbeitungen erfaßt diese Richtlinie lediglich
Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muß
der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien
strukturiert sein, die einen leichten Zugriff auf die Daten ermöglichen.
Nach der Definition in Artikel 2 Buchstabe c) können die
Mitgliedstaaten die Kriterien zur Bestimmung der Elemente einer
strukturierten Sammlung personenbezogener Daten sowie die verschiedenen
Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung
festlegen. Akten und Aktensammlungen sowie ihre Deckblätter,
die nicht nach bestimmten Kriterien strukturiert sind, fallen
unter keinen Umständen in den Anwendungsbereich dieser Richtlinie.
(28). Die Verarbeitung personenbezogener Daten muß gegenüber
den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat
den angestrebten Zweck zu entsprechen, dafür erheblich zu
sein und nicht darüber hinauszugehen. Die Zwecke müssen
eindeutig und rechtmäßig sein und bei der Datenerhebung
festgelegt werden. Die Zweckbestiminungen der Weiterverarbeitung
nach der Erhebung dürfen nicht mit den ursprünglich
festgelegten Zwecken unvereinbar sein.
(29) Die Weiterverarbeitung personenbezogener Daten für historische,
statistische oder wissenschaftliche Zwecke ist im allgemeinen
nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung
anzusehen, wenn der Mitgliedstaat geeignete Garantien vorsieht.
Diese Garantien müssen insbesondere ausschließen, daß
die Daten für Maßnahmen oder Entscheidungen gegenüber
einzelnen Betroffenen verwendet werden.
(30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig,
wenn sie auf der Einwilligung der betroffenen Person beruht oder
notwendig ist im Hinblick auf den Abschluß oder die Erfüllung
eines für die betroffene Person bindenden Vertrags, zur Prüfung
einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe
im öffentlichen Interesse, in Ausübung hoheitlicher
Gewalt oder wenn sie im Interesse einer anderen Person erforderlich
ist, vorausgesetzt, daß die Interessen oder die Rechte und
Freiheiten der betroffenen Person nicht überwiegen. Um den
Ausgleich der in Frage stehenden Interessen unter Gewährleistung
eines effektiven Wettbewerbs sicherzustellen, können die
Mitgliedstaaten insbesondere die Bedingungen näher bestimmen,
unter denen personenbezogene Daten bei rechtmäßigen
Tätigkeiten im Rahmen laufender Geschäfte von Unternehmen
und anderen Einrichtungen an Dritte weitergegeben werden können.
Ebenso können sie die Bedingungen festlegen, unter denen
personenbezogene Daten an Dritte zum Zweck der kommerziellen Werbung
oder der Werbung von Wohltätigkeitsverbänden oder anderen
Vereinigungen oder Stiftungen, z. B. mit politischer Ausrichtung,
weitergegeben werden können, und zwar unter Berücksichtigung
der Bestimmungen dieser Richtlinie, nach denen betroffene Personen
ohne Angabe von Gründen und ohne Kosten Widerspruch gegen
die Verarbeitung von Daten, die sie betreffen, erheben können.
(31) Die Verarbeitung personenbezogener Daten ist ebenfalls als
rechtmäßig anzusehen, wen sie erfolgt, um ein für
das Leben der betroffenen Person wesentliches Interesse zu schützen.
(32) Es ist nach einzelstaatlichen Recht festzulegen, ob es sich
bei dem für die Verarbeitung Verantwortlichen der mit, der
Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen
Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt,
um eine Behörde oder um eine andere unter das öffentliche
Recht oder das Privatrecht fallende Person, wie beispielsweise
eine Berufsvereinigung, handeln soll.
(33) Daten, die aufgrund ihrer Art geeignet sind, die Grundfreiheiten
oder die Privatsphäre zu beeinträchtigen, dürfen
nicht ohne ausdrückliche Einwilligung der betroffenen Person
verarbeitet werden. Ausnahmen von diesem Verbot müssen ausdrücklich
vorgesehen werden bei spezifischen Notwendigkeiten, insbesondere
wenn die Verarbeitung dieser Daten für gewisse auf das Gesundheitswesen
bezogene Zwecke von Personen vorgenommen wird, die nach dem einzelstaatlichen
Recht dem Berufsgeheimnis unterliegen, oder wenn die Verarbeitung
für berechtigte Tätigkeiten bestimmter Vereinigungen
oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausübung
von Grundfreiheiten zu ermöglichen.
(34) Die Mitgliedstaaten können, wenn dies durch ein wichtiges
öffentliches Interesse gerechtfertigt ist, Ausnahmen vom
Verbot der Verarbeitung sensibler Datenkategorien vorsehen in
Bereichen wie dem öffentlichen Gesundheitswesen und der sozialen
Sicherheit insbesondere hinsichtlich der Sicherung von Qualität
und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen
in den sozialen Krankenversicherungssystemen , der wissenschaftlichen
Forschung und der öffentlichen Statistik. Die Mitgliedstaaten
müssen jedoch geeignete besondere Garantien zum Schutz der
Grundrechte und der Privatsphäre von Personen vorsehen.
(35) Die Verarbeitung personenbezogener Daten durch staatliche
Stellen für verfassungsrechtlich oder im Völkerrecht
niedergelegte Zwecke von staatlich anerkannten Religionsgesellschaften
erfolgt ebenfalls im Hinblick auf ein wichtiges öffentliches
Interesse.
(36) Wenn es in bestimmten Mitgliedstaaten zum Funktionen des
demokratischen Systems gehört, daß die politischen
Parteien im Zusammenhang mit Wahlen Daten über die politische
Einstellung von Personen sammeln, kann die Verarbeitung derartiger
Daten aus Gründen eines wichtigen öffentlichen Interesses
zugelassen werden, sofern angemessene Garantien vorgesehen werden.
(37) Für die Verarbeitung personenbezogener Daten zu journalistischen,
literarischen oder künstlerischen Zwecken, insbesondere im
audiovisuellen Bereich, sind Ausnahmen von bestimmten Vorschriften
dieser Richtlinie vorzusehen, soweit sie erforderlich sind, um
die Grundrechte der Person mit der Freiheit der Meinungsäußerung
und insbesondere der Freiheit, Informationen zu erhalten oder
weiterzugeben, die insbesondere in Artikel 10 der Europäischen
Konvention zum Schutze der Menschenrechte und der Grundfreiheiten
garantiert ist, in Einklang zu bringen. Es obliegt deshalb den
Mitgliedstasten, unter Abwägung der Grundrechte Ausnahmen
und Einschränkungen festzulegen, die bei den allgemeinen
Maßnahmen zur Rechtmäßigkeit der Verarbeitung
von Daten, bei den Maßnahmen zur Übermittlung der Daten
in Drittländer sowie hinsichtlich der Zuständigkeiten
der Kontrollstellen erforderlich sind, ohne daß jedoch Ausnahmen
bei den Maßnahmen zur Gewährleistung der Sicherheit
der Verarbeitung vorzusehen sind. Ferner sollte mindestens die
in diesem Bereich zuständige Kontrollstelle bestimmte nachträgliche
Zuständigkeiten erhalten, beispielsweise zur regelmäßigen
Veröffentlichung eines Berichts oder zur Befassung der Justizbehörden.
(38) Datenverarbeitung nach Treu und Glauben setzt voraus, daß
die betroffenen Personen in der Lage sind, das Vorhandensein einer
Verarbeitung zu erfahren und ordnungsgemäß und umfassend
über die Bedingungen der Erhebung informiert zu werden, wenn
Daten bei ihnen erhoben werden.
(39) Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche
nicht unmittelbar bei der betroffenen Person erhoben hat. Des
weiteren können Daten rechtmäßig an Dritte weitergegeben
werden, auch wenn die Weitergabe bei der Erhebung der Daten bei
der betroffenen Person nicht vorgesehen war. In diesen Fällen
muß die betroffene Person zum Zeitpunkt der Speicherung
der Daten oder spätestens bei der erstmaligen Weitergabe
der Daten an Dritte unterrichtet werden.
(40) Diese Verpflichtung erübrigt sich jedoch, wenn die betroffene
Person bereits unterrichtet ist. Sie besteht auch nicht, wenn
die Speicherung oder Weitergabe durch Gesetz ausdrücklich
vorgesehen ist oder wenn die Unterrichtung der betroffenen Person
unmöglich ist oder unverhältnismäßigen Aufwand
erfordert, was bei Verarbeitungen für historische, statistische
oder wissenschaftliche Zwecke der Fall sein kann. Diesbezüglich
können die Zahl der betroffenen Personen, das Alter der Dritten
und etwaige Ausgleichsmaßnahmen in Betracht gezogen werden.
(41) Jede Person muß ein Auskunftsrecht hinsichtlich der
sie betreffenden baten, die Gegenstand einer Verarbeitung sind,
haben, damit sie sich insbesondere von der Richtigkeit dieser
Daten und der Zulässigkeit ihrer Verarbeitung überzeugen
kann. Aus denselben Gründen muß jede Person außerdem
das Recht auf Auskunft über den logischen Aufbau der automatisierten
Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter
Entscheidungen im Sinne des Artikels 15 Absatz 1, besitzen. Dieses
Recht darf weder das Geschäftsgeheimnis noch das Recht an
geistigem Eigentum, insbesondere das Urheberrecht zum Schutz von
Software, berühren. Dies darf allerdings nicht dazu führen,
daß der betroffenen Person jegliche Auskunft verweigert
wird.
(42) Die Mitgliedstaaten können die Auskunfts und Informationsrechte
im Interesse der betroffenen Person oder zum Schutz der Rechte
und Freiheiten Dritter einschränken. Zum Beispiel können
sie vorsehen, daß Auskunft über medizinische Daten
nur über ärztliches Personal erhalten werden kann.
(43) Die Mitgliedstaaten können Beschränkungen des Auskunfts
und Informationsrechts sowie bestimmter Pflichten des für
die Verarbeitung Verantwortlichen vorsehen, soweit dies beispielsweise
für die Sicherheit des Staates, die Landesverteidigung, die
öffentliche Sicherheit, für zwingende wirtschaftliche
oder finanzielle Interessen eines Mitgliedstaats oder der Union
oder für die Ermittlung und Verfolgung von Straftaten oder
von Verstößen gegen Standesregeln bei reglementierten
Berufen erforderlich ist. Als Ausnahmen und Beschränkungen
sind Kontroll-, Überwachunugs- und Ordnungsfunktionen zu
nennen, die in den drei letztgenannten Bereichen in bezug auf
öffentliche Sicherheit, wirtschaftliches oder finanzielles
Interesse und Strafverfolgung erforderlich sind. Die Erwähnung
der Aufgaben in diesen drei Bereichen läßt die Zulässigkeit
von Ausnahmen und Einschränkungen aus Gründen der Sicherheit
des Staates und der Landesverteidigung unberührt.
(44) Die Mitgliedstaaten können aufgrund gemeinschaftlicher
Vorschriften gehalten sein, von den das Auskunftsrecht, die Information
der Personen und die Qualität der Daten betreffenden Bestimmungen
dieser Richtlinie abzuweichen, um bestimmte der obengenannten
Zweckbestimmungen zu schützen.
(45) Auch wenn die Daten Gegenstand einer rechtmäßigen
Verarbeitung aufgrund eines öffentlichen Interesses, der
Ausübung hoheitlicher Gewalt oder der Interessen eines einzelnen
sein können, sollte doch jede betroffene Person das Recht
besitzen, aus überwiegenden, schutzwürdigen, sich aus
ihrer besonderen Situation ergebenden Gründen Widerspruch
dagegen einzulegen, daß die sie betreffenden Daten verarbeitet
werden. Die Mitgliedstaaten können allerdings innerstaatliche
Bestimmungen vorsehen, die dem entgegenstehen.
(46) Für den Schutz der Rechte und Freiheiten der betroffenen
Personen bei der Verarbeitung personenbezogener Daten müssen
geeignete technische und organisatorische Maßnahmen getroffen
werden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems
als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere
deren Sicherheit zu gewährleisten und somit jede unrechtmäßige
Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafür
Sorge zu tragen, daß der für die Verarbeitung Verantwortliche
diese Maßnahmen einhält. Diese Maßnahmen müssen
unter Berücksichtigung des Standes der Technik und der bei
ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten,
das den der Verarbeitung ausgehenden Risiken und der Art der zu
schützenden Daten angemessen ist.
(47) Wird eine Nachricht, die personenbezogene Daten enthält,
über Telekommunikationsdienste oder durch elektronische Post
übermittelt, deren einziger Zweck darin besteht, Nachrichten
dieser Art zu übermitteln, so gilt in der Regel die Person,
von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst
anbietet, als Verantwortlicher für die Verarbeitung der in
der Nachricht enthaltenen personenbezogenen Daten. Jedoch gelten
die Personen, die diese Dienste anbieten, in der Regel als Verantwortliche
für die Verarbeitung der personenbezogenen Daten, die zusätzlich
für den Betrieb des Dienstes erforderlich sind.
(48) Die Meldeverfahren dienen der Offenlegung der Zweckbestimmungen
der Verarbeitungen sowie ihrer wichtigsten Merkmale mit denen
Zweck der Überprüfung ihrer Vereinbarkeit mit den einzelstaatlichen
Vorschriften zur Umsetzung dieser Richtlinie.
(49) Um unangemessene Verwaltungsformalitäten zu vermeiden,
können die Mitgliedstaaten bei Verarbeitungen, bei denen
eine Beeniträchtigung, der Rechte und Freiheiten der Betroffenen
nicht zu erwarten ist, von der Meldepflicht absehen oder sie vereinfachen,
vorausgesetzt, daß diese Verarbeitungen den Bestimmungen
entsprechen, mit denen der Mitgliedsstaat die Grenzen solcher
Verarbeitungen festgelegt hat. Eine Befreiung oder eine Vereinfachung
kann ebenso abgesehen werden, wenn ein vom für die Verarbeitung
Verantwortlichen benannter Datenschutzbeauftragter sicherstellt
daß eine Beeinträchtigung der Rechte und Freiheiten
der Betroffenen durch die Verarbeitung nicht zu erwarten ist.
Ein solcher Beauftragter, ob Angestellten des für die Verarbeitung
Verantwortlichen oder externer Beauftragter, muß seine Aufgaben
vollständiger Unabhängigkeit ausüben können.
(50) Die Befreiung oder Vereinfachung kann vorgesehen werden für
Verarbeitungen, deren einziger Zweck das Führen eines Registers
ist, das gemäß einzelstaatlichen Recht zur Information
der Öffentlichkeit bestimmt ist und entweder der gesamten
Öffentlichkeit oder allen Personen, die, ein berechtigtes
Interesse nachweisen können, zur Einsichtnahme offensteht.
(51) Die Vereinfachung oder Befreiung von der Meldepflicht entbindet
jedoch den, für die Verarbeitung Verantwortlichen von keiner
der anderen sich aus dieser Richtlinie ergebenen Verpflichtungen.
(52) In diesem Zusammenhang ist die nachträgliche Kontrolle
durch die zuständigen Stellen im allgemeinen als ausreichende
Maßnahme anzusehen.
(53) Bestimmte Verarbeitungen können jedoch aufgrund ihrer
Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise
derjenigen, betroffene Personen von der Inanspruchnahme eines
Rechts, einer Leistung oder eines Vertrags auszuschließen
oder aufgrund der besonderen Verwendung einer neuen Technologie
besondere Risiken im Hinblick auf die Rechte und Freiheiten der
betroffenen Personen aufweisen. Es obliegt den Mitgliedstaaten,
derartige Risiken in ihren Rechtsvorschriften aufzuführen,
wenn sie dies wünschen.
(54) Bei allen in der Gesellschaft durchgeführten Verarbeitungen
sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken
sehr beschränkt sein. Die Mitgliedstaaten müssen für
diese Verarbeitungen vorsehen, daß vor ihrer Durchführung
eine Vorabprüfung durch die Kontrollstelle oder in Zusammenarbeit
mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als
Ergebnis dieser Vorabprüfung kann die Kontrollstelle gemäß
einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung
genehmigen. Diese Prüfung kann auch bei der Ausarbeitung
einer gesetzgeberischen Maßnahme des nationalen Parlaments
oder einer auf eine solche gesetzgeberische Maßnahme gestützten
Maßnahme erfolgen, die die Art der Verarbeitung und geeignete
Garantien festlegt.
(55) Für den Fall der Mißachtung der Rechte der betroffenen
Personen durch den für die Verarbeitung Verantwortlichen
ist im nationalen Recht eine gerichtliche Überprüfungsmöglichkeit
vorzusehen. Mögliche Schäden, die den Personen aufgrund
einer unzulässigen Verarbeitung entstehen, sind von dem für
die Verarbeitung Verantwortlichen zu ersetzen, der von seiner
Haftung befreit werden kann, wenn er nachweist, daß der
Schaden ihm nicht angelastet werden kann, insbesondere weil ein
Fehlverhalten der betroffenen Person oder ein Fall höherer
Gewalt vorliegt. Unabhängig davon, ob es sich um eine Person
des Privatrechts oder des öffentlichen Rechts handelt, müssen
Sanktionen jede Person treffen, die die einzelstaatlichen Vorschriften
zur Umsetzung dieser Richtlinie nicht einhält.
(56) Grenzüberschreitender Verkehr von personenbezogenen
Daten ist für die Entwicklung des internationalen Handels
notwendig. Der in der Gemeinschaft durch diese Richtlinie gewährte
Schutz von Personen steht der Übermittlung personenbezogener
Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen,
nicht entgegen. Die Angemessenheit des Schutzniveaus, das ein
Drittland bietet, ist unter Berücksichtigung aller Umstände
im Hinblick auf eine Übermittlung oder eine Kategorie von
Übermittlungen zu beurteilen.
(57) Bietet hingegen ein Drittland kein angemessenes Schutzniveau,
so ist die Übermittlung personenbezogener Daten in dieses
Land zu untersagen.
(58) Ausnahmen von diesem Verbot sind unter bestimmten Voraussetzungen
vorzusehen, wenn die betroffene Person ihre Einwilligung erteilt
hat oder die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens
oder zur Wahrung eines wichtigen öffentlichen Interesses
erforderlich ist, wie zum Beispiel bei internationalem Datenaustausch
zwischen Steuer oder Zollverwaltungen oder zwischen Diensten,
die für Angelegenheiten der sozialen Sicherheit zuständig
sind. Ebenso kann eine Übermittlung aus einem gesetzlich
vorgesehenen Register erfolgen, das der öffentlichen Einsichtnahme
oder der Einsichtnahme durch Personen mit berechtigten Interesse
dient. In diesem Fall sollte eine solche Übermittlung nicht
die Gesamtheit oder ganze Kategorien der im Register enthaltenen
Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen
mit berechtigtem Interesse bestimmt, so sollte die Übermittlung
nur auf Antrag dieser Person oder nur dann erfolgen, wenn diese
Person die Adressaten der Übermittlung sind.
(59) Besondere Maßnahmen können Betroffen werden, um
das unzureichende Schutzniveau in einem Drittland auszugleichen.
Wenn der für die Verarbeitung Verantwortliche geeignete Sicherheiten
nachweist. Außerdem sind Verfahren für die Verhandlungen
zwischen der Geineinschaft und den betreffenden Drittländern
vorzusehen.
(60) Übermittlungen in Drittstaaten dürfen auf jeden
Fall nur unter voller Einhaltung der Rechtsvorschriften erfolgen,
die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere
gemäß Artikel 8, erlassen haben.
(61) Die Mitgliedstaaten und die Kommission müssen in ihren
jeweiligen Zuständigkeitsbereichen die betroffenen Wirtschaftskreise
ermutigen, Verhaltensregeln auszuarbeiten, um unter Berücksichtigung
der Besonderheiten der Verarbeitung in bestimmten Bereichen die
Durchführung dieser Richtlinie im Einklang mit den hierfür
vorgesehenen enizelstaatlichen Bestimmungen zu fördern.
(62) Die Einrichtung unabhängiger Kontrollstellen in den
Mitgliedstaaten ist ein wesentliches Element des Schutzes der
Personen bei der Verarbeitung personenbezogener Daten.
(63) Diese Stellen sind mit den notwendigen Mitteln für die
Erfüllung dieser Aufgabe auszustatten, d.h. Unterstüzungs-
und Einwirkungsbefugnissen, insbesondere bei Beschwerden, sowie
Klagerecht. Die Kontrollstellen haben zur Transparenz der Verarbeitungen
in dem Mitgliedstaat beizutragen, dem sie unterstehen.
(64) Die, Behörden der verschiedenen Mitgliedstaaten werden
einander bei der Wahrnehmung ihrer Aufgaben unterstützen
müssen um sicherzustellen, daß die Schutzregeln in
der ganzen Europäischen Union beachtet werden.
(65) Auf Gemeinschaftsebene ist eine Arbeitsgruppe für den
Schutz der Rechte von Personen bei der Verarbeitung personenbezoener
Daten einzusetzen, die ihre Aufgaben in völliger Unabhängigkeit
wahrzunehmen hat. Unter Berücksichtigung dieses besonderen
Charakters hat sie die Kommission zu beraten und insbesondere
zur einheitlichen Anwendung der zur Umsetzung dieser Richtlinie
erlassenen einzelstaatlichen Vorschriften beizutragen.
(66) Für die Übermittlung von Daten in Drittländern
ist es zur Anwendung dieser Richtlinie erforderlich, der Kornmission
Durchführungsbefugnisse zu übertragen und ein Verfahren
gemäß den Bestimmungen des Beschlusses 87/373/EWG des
Rates festzulegen.
(67) Am 20. Dezember 1994 wurde zwischen dem Europäischen
Parlament, dem Rat und der Kommission ein Modus vivendi betreffend
die Maßnahmen zur Durchführung der nach dem Verfahren
des Artikels 189b des EG-Vertrag erlassenen Rechtsakte vereinbart.
(68) Die in dieser Richtlinie enthaltenen Grundsätze des
Schutzes der Rechte und Freiheiten der Personen und insbesondere
der Achtung der Privatsphäre bei der Verarbeitung personenbezoener
Daten können besonders für bestimmte Bereiche durch
spezifische Regeln ergänzt oder präzisiert werden, die
mit diesen Grundsätzen in Einklang stehen.
(69) Den Mitgliedstaaten sollte eine Frist von längstens
drei Jahren ab Inkrafttreten ihrer Vorschriften zur Umsetzung
dieser Richtlinie eingeräumt werden, damit sie die neuen
einzelstaatlichen Vorschriften fortschreitend auf alle bereits
laufenden Verarbeitungen anwenden können. Um eine kosteneffiziente
Durchführung dieser Vorschriften zu erleichtern, wird den
Mitgliedstaaten eine weitere Frist von zwölf Jahren nach
Annahme dieser, Richtlinie eingeräumt, um die Anpassung bestehender
manueller Dateien an bestimmte Vorschriften dieser Richtlinie
sicherzustellen. Werden in solchen Dateien enthaltene Daten während
dieser erweiterten Umsetzungsfrist manuell verarbeitet, so sollten
die Dateien zum Zeitpunkt der Verarbeitung mit diesen Vorschriften
in Einklang gebracht werden.
(70) Die betroffene Person braucht nicht erneut ihre Einwilligung
zu geben, damit der Verantwortliche nach Inkrafttreten der einzelstaatlichen
Vorschriften zur Umsetzung dieser Richtlinie eine Verarbeitung
sensibler Daten fortführen kann, die für die Erfüllung
eines in freier, Willenserklärung geschlossenen Vertrags
erforderlich ist und vor Inkrafttreten der genannten Vorschriften
mitgeteilt wurde.
(71) Diese Richtlinie steht den gesetzlichen Regelungen eines
Mitgliedstaaten im Bereich der geschäftsmäßigen
Werbung gegenüber in seinem Hoheitsgebiet ansässigen
Verbrauchern , nicht entgegen, sofern sich diese gesetzlichen
Regelungen nicht auf den Schutz der Person bei der Verarbeitung
personenbezogener Daten beziehen.
(72) Diese Richtlinie erlaubt bei der Umsetzung der mit ihr festgelegten
Grundsätze die Berücksichtigung des Grundsatzes des
öffentlichen Zugangs zu amtlichen Dokumenten
HABEN FOLGENDE RICHTLINIE ERLASSEN:
KAPITEL I ALLGEMEINE BESTIMUNGEN
Artikel 1 Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den Bestiminungen
dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten
und insbesondere den Schutz der Privatsphäre natürlicher
Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstiaten beschränken oder untersagen nicht
den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten
aus Gründen des gemäß Absatz 1 gewährleisteten
Schutzes.
Artikel 2 Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) "personenbezogene Daten" alle Informationen über
eine bestimmte oder bestinimbare natürliche Person ("betroffene
Person"); als bestimmbar wird eine Person angesehen, die
direkt oder indirekt identifiziert werden kann, insbesondere durch
Zuordnung zu einer Kennummer oder, zu einem oder mehreren spezifischen
Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität sind;
b) "Verarbeitung personenbezogener Daten" ("Verarbeitung")
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen
Daten "wie das Erheben , das Speichern, die Organisation,
die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen,
das Abfraen, die Benutzung, die Weitergabe durch Übermittlung,
Verbreitung oder jede andere Form der Bereitstellnng, die Kombination
oder die Verknüpfung sowie das Sperren, Löscheil oder
Vernichten;
c) "Datei mit personenbezogenen Daten" ("Datei")
jede strukturierte Sammlung personenbezogener Daten, die nach
bestimmten Kriterien zuanglich sind, gleichgültig ob diese
Sammlung zentral, dezentralisiert oder nach funktionalen oder
geographischen Gesichtspunkten aufgeteilt geführt wird;
d) "für die Verarbeitung Verantwortlicher" die
natürliche oder juristische Person, Behörde, Einrichtung
oder jede andere Stelle, die allein oder gemeinsam mit anderen
über die Zwecke tind Mittel der Verarbeitung von personenbezogenen
Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung
von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen
Rechts und Verwaltungsvorschriften festgelegt, so können
der für die Verarbeitung Verant\vortliche bzw. die spezifischen
Kriterien für seine Benennung durch einzelstaatliche oder
gemeinschaftliche Rechtsvorschriften bestimmt werden;
e) "Auftragsverarbeiter." die natürliche oder juristische
Person, Behörde, Einrichtung oder jede andere Stelle, die
personenbezogene Daten im, Auftrag des für die Verarbeitung
Verantwortlichen verarbeitet;
f) "Dritten" die natürliche oder juristische Person,
Behörde, Einrichtung oder jede andere Stelle, außer
der betroffenen Person, dem für die Verarbeitung Verantwortlichen,
dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren
Veranmortung des für die Verarbeitung Verannwortlichen oder
des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
g) "Empfänger" die natürliche oder juristische
Person, Behörde, Einrichtung oder jede andere Stelle, die
Daten erhält, gleichgültig, ob es sich bei ihr um einen
Dritten handelt oder nicht. Behörden, die im Rahmen eines
einzelnen Untersuchungsauftrags möglicherweise Daten erhalten,
gelten jedoch nicht als Empfänger;
h) "Einwilligung der betroffenen Person" jede Willensbekundung,
die ohne Zwang, für den konkreten Fall und in Kenntnis der
Sachlage erfolgt und mit der die betroffene Person akzeptiert,
daß personenbezogene Daten, die sie betreffen, verarbeitet
werden,
Artikel 3 Anwendungsbereich
(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie für die nicht
automatisierte Verarbeitung personenbezogener Daten, die in einer
Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung
personenbezogener Daten,
-die für die Ausübung von Tätigkeiten erfolgt,
die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen,
beispielsweise Tätigkeiten gemäß den Titeln V
und VI des Vertrags aber die Europäische Union, und auf keinen
Fall auf Verarbeitungen betreffend die öffentliche Sicherheit,
die Landesverteidigung, die Sicherheit des Staates (einschließlich
seines wirtschaftlichen Wohls, wenn die Verarbeitu'ng die Sicherheit
des Staates berührt) und die Tätigkeiten des Staates
im strafrechtlichen Bereich;
-die von einer natürlichen Person zur Ausübung ausschließlich
p'ersönlicher oder familiärer Tätigkeiten vorgenommen
wird.
Artikel 4 Anwendbares einzelstaatliches Recht
(1) jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung
dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener
Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt
werden, die der für die Verarbeitung Veranwortliche im Hoheitsgebiet
dieses Mitgliedstaats besitzt. Wenn der Veranwortliche eine Niederlassung
im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er
die notwendigen Maßnahmen, damit jede dieser Niederlassungen
die im jeweils anwendbaren einzelstaatlichen Recht festgelegten
Verpflichtungen einhält;
b) die von einem für die Verarbeitung Veranwortlichen ausgeführt
werden, der nicht in seinein Hoheitsgebiet, aber an einem Ort
niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats
gemäß dem internationalen öffentlichen Recht Anwendung
findet;
c) die von einem für die Verarbeitung Verantwortlichen ausgeführt
werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist
und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte
oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet
des betreffenden Mitgliedstaats belegen sind, es sei denn, daß
diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der
Europäischeil Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der für
die Verarbeitung Verantwortliche einen im Holieitsgebiet des genannten
Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet
der Möglichkeit eines Vorgehens gegen den für die Verarbeitung
Veranwortlichen selbst.
KAPITEL II ALLGEMEINE BEDINGUNGEN FÜR DIE RECHTMÄSSIGKEIT
DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5
Die Mitgliedstaaten bestimmen nach Maßgabe dieses Kapitels
die Voraussetzungen näher, unter denen die Verarbeitung personenbezogener
Daten rechtmäßig ist.
ABSCHNITT 1 GRUNDSÄTZE IN BEZUG AUF DIE QUALITAT DER DATEN
Artikel 6
(1) Die Mitgliedstaaten sehen vor, daß personenbezogehe
Daten
a) nach Treu und Glauben und auf rechtniäßige Weise
verarbeitet werden;
b) für festgelegte eindeutige und rechtmäßige
Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen
nlcht zu Vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung
von Daten zu historischen, statistischen oder wissenschaftlichen
Zwecken ist im allgenieinen nicht als unvereinbar mit. den Zwecken
der voraus gegangenen Datenerhebung anzusehen, sofern die inlitgliedstaiten
geeignete Garantien vorsehen.
c) den Zwecken entsprechen, für die sie erhoben und/ oder
weiterverarbeitet werden, dafür erheblich sind tind nicht
darüber hinausgehen;
d) sachlich richtig und, wenn nötig, auf den neuesten Stand
gebracht sind; es sind alle angemessenen Maßnahnien zu treffen,
damit im Hinblick auf die Zwecke, für die sie erlioben oder
weiterverarbeitet werden, nichtzutreffende oder Unlvollständige
Daten gelöscht oder berichtigt werden;
e) nicht länger, als es für die Realisierung der Zwecke,
für die sie erhoben oder weiterverarbeitet werden, erforderlich
ist in einer Form aufbewahrt werden, die die Identifizierung der
betroffeneil Personen ermöglicht. Die Mitgliedstaaten sehen
geeignete Garantien für personenbezogene Daten vor, die über
die vorgenannte Dauer hinaus für historische, statistische
oder wissenschaftliche Zwecke aufbenwahrt werden.
(2) Der für die Verarbeitung Verantwortliche hat Einhaltung
des Absatzes 1 zu sorgen.
ABSCHNITT II
GRUNDSÄTZE IN BEZUG AUF DIE ZULÄSSIGKEIT DER VERARBEITUNG
VON DATEN
Artikel 7
Die Mitgliedstaaten selien vor, daß die Verarbeitung personenbezogener
Daten ledilich erfolgen darf, wenn eine der folgenden Voraussetzungen
erfüllt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung
gegeben
b) die Verarbeitung ist erforderlich für die Erfüllung
eines Vertrags, dessen Vertragspartei die betroffene Person ist,
oder für die Durchfülirung vorvertraglicher Maßnahmen,
die auf Antrag der betroffenen Person erfolgen,
c) die Verarbeitung ist für die Erfüllung einer rechtlichen
Verpflichtung erforderlich, der der für die Verarbeitung
Verantwortliche unterliegt;
für die
d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger
Interesse oder betroffenen Person
e) die Verarbeitung ist erforderlich für die Wahrnehmung
einer Aufgabe, die im öffentlichen Interesse liegtoder in
Ausübung öffentlicher Gewalt erfolgt und dem für
die Verarbeitung Verantvortlichen oder dem Dritten, dem die Daten
übermittelt werden übertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung, des berechtigten
Interesses, das von dem für die Verarbeitung Verantwortlichen
oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten
übermittelt werden, sofern nicht das Interesse oder die Grundrechte
und Grundfreiheiten der betroffenen Person, die gemäß
Artikel 1 Absatz 1 geschützt sind, überwiesen.
ABSCHNNT III BESONDERE KATEGORIEN DER VERARBERTUNG
Artikel 8 Verarbeitung besonderer Kategorien personenbezoener
Daten
(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener
Daten, aus denen die rassische und ethnische Herkunft, politische
Meinungen, religiöse oder philosophische Überzeugungen
oder die Gewerkschaftszugeliörigkeit hervorgehen, sowie von
Daten über Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Fällen keine Anwendung,
a) Die betroffene Person hat ausdrücklich in die Verarbeitung
der genannten Daten eiligewilligt, es sei denn, nach den Rechtsvorschriften
des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwillgung
der betroffenen Person nicht aufgehoben werden;
oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten
des für die Verarbeitung Verantwortlichen auf dem Gebiet
des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von
einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig
ist,
oder
c) die Verarbeitunig ist zuni Schutz lebeilswichtiger Interessen
der betroffenen Person oder eines Dritten erforderlich, sofern
die Person aus physischen oder rechtlichen Gründen außerstande
ist, ihre Einwilligung zu geben,
oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien
durch eine politisch, philosophisch, rellgiös oder gewerkschaftlich
ausgerichtete Stiftung, Vereinigung oder sonstige Organisation,
die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen
Tätigkeiten und unter der Voraussetzung, das sich die Verarbeitung
nur auf die Mitglieder der Organisation oder auf Personen, die
im Zusammenhang mit deren Tätigkeitszweck regelmäßige
Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne
Einwilligung der betroffenen Personen an Dritte weitergegeben
werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene
Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung,
Ausübung oder Verteidigung rechtlicher Ansprüche vor
Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck
der Gesundheitsvorsorge, der medizinschen Diagnostik, der Gesundlieitsversorung
oder Behandlung oder für die Verwaltung von Gesundheitsdiensten
erforderlich ist und die Verarbeitung dieser Daten durch ärztliches
Personal erfolgt, das nach dem enizelstaatlichen Recht, einschließlich
der von den zuständien enizelstaatlichen Stellen erlassenen
Regelungen, dem Berufsgehennnis unterligt, oder durch sonstige
Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten können vorbehaltlich angemessezier
Garantien aus Gründen eines wichtigen öffentlichen Interesses
entweder im Wege einer nationalen Rechtsvorschrift oder im Wege
einer Entscheidung der Kontrollstelle andere als die in Absatz
2 genannten Ausnahmen vorssehen.
(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche
Verurteilungen oder Sicherungsmaßregeln betreffen, darf
nur unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem
Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein
Mitgliedstaat jedoch Ausnahmen aufgrund innersttatlicher Rechtsvorschriften,
die geeignete besondere Garantien vorsehen, festlegen kann. Ein
vollständiges Register der strafrechtlichen Verurteilungen
darf allerdings nur unter beliördlicher Aufsicht geführt
werden.
Die Mitgliedstaaten können vorsehen, daß Daten, die
administrative Strafen oder zivillrechtliche Urteile betreffen,
ebenfalls unter beliördlicher Aufsicht verarbeitet werden
müssen.
(6) Die in den Absätzen 4 und 5 vorgesellenen Abweichungen
von Absatz 1 sind der Konimission mitzutellen.
(7) Die Mitgliedstaateil bestimnien, unter welchen Bedingungen
eine nationale Kennziffer oder andere Keilnzeichen allgeinenier
Bedeutun Gegenstand einer Verarbeitung sein dürfen.
Artikel 9 Verarbeitung personenbezogener Daten und Meinungsfreiheit
Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener
Daten, die allein zu journalistischeill künstlerischen oder
literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von
diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor,
als sich dies als nonvendig erweist, um das Recht auf Privatsphäre
mit den für die Freiheit der Meinungsäußerung
geltenden Vorschriften in Einklang zu bringen.
ABSCHNIT IV INFORMATION DER BETROFFENEN PERSON
Artikel 10 Information bei der Erhebung personenbezogener
Daten bei der betroffenen Person
Die Mitgliedstaaten sehen vor, daß die Person, bei der die
sie betreffenden Daten erhoben werden, vom für die Verarbeitung
Verantwortlichen oder seinem Vertreter zumindest die nachstehenden
Informationen erhält, sofern diese ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung verantwortlichen
und gegebenenfalls seines Vertreters,
b) Zweckbestimmunen der Verarbeitung, für die die Daten bestimmt
sind,
c) weitere lnformationen, beispielsweise betreffend
- die Empfänger oder Kategorien der Empfänger der
Daten,
- die Frage, ob die Beantwortung der Fragen obligatorisch oder
freiwillig ist, sowie mögliche Folgen einer unterlassenen
Beantwortung,
- das Bestehen von Auskunfts und Berichtigungsrechten bezüglich
sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände,
unter denen die Daten erhoben werden, notwendig sind, um gegenüber
der betroffenen Person eine Verarbeitung nach Treu und Glauben
zu gewährleisten.
Artikel 11 Informationen für den Fall, daß die
Daten nicht bei der betroffenen Person erhoben wurden
(1) Für den Fall, daß die Daten nicht bei der betroffenen
Person erhoben wurden, selien die Mitgliedstaaten vor, daß
die betroffene Person bei Beginn der Speicherung der Daten bzw.
im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens
bei der ersten Übermittlung vom für die Verarbeitung
Verantwortlichen oder seinem Vertreter zumindest die nachstehenien
Inforniationen erhält sofern diese noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen
und gegebenenfalls seines Vertreters,
b) Zweckbestnnrnungen der Verarbeitung,
c) weitere Informationen, beispielsweise betreffend
- die Datenkategorien, die verarbeitet werden,
- die Empfänger oder Kategorien der Empfänger der
Daten,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich
sie betreffender Daten,
sofern sie unter Berücksichtigung der spezifischen Umstände,
unter denen die Daten erhoben werden, nowendig sind, um gegenüber
der betroffenen Person eine Verarbeitung nach Treu und Glauben
zu gewährleisten.
(2) Absatz 1 findet insbesondere bei Verarbeitungen für Zwecke
der Statistik oder der historischen oder wissenschaftlichen Forschung
keine Anwendung, wenn die Information der betroffenen Person unmöglich
ist, unverhältnisniäßigen Auwalid erfordert oder
die Speicherung oder Weitergabe durch Gesetz ausdrücklich
vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten
geeignete Garantien vor.
ABSCHNITT V AUSKUNFTSRECHT DER BETROFFENEN PERSON
Artikel 12 Auskunftsrecht
Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht,
vom für die Verarbeitung Verantwortlichen folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abständen ohne hinzumutbare
Verzögerung oder übermäßige Kosten
- die Bestätigung, daß es Verarbeitungen sie betreffender
Daten gibt oder nicht gibt, sowie zumindest Informationen über
die Zweckbestinimungen dieser Verarbeitungen, die Kategorien der
Daten, die Gegenstand der Verarbeitung sind, und die Empfänger
oder Kategorien der Empfänger, an die die Daten übermittelt
werden;
- eine Mitteilung in verständlicher Form über die
Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren
Inforinationen über die Herkunft der Daten;
- Auskunft über den logischen Aufbau der automatisierten
verarbeitung der sie betreffenden Daten, zumindest im Fall autoinatisierter
Entscheidungen im Sinne von Artikel 15 Absatz 1;
b) je nach Fall die Berichtigung, Löschung ojer Sperrung
von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie
entspricht, insbesondere wenn diese Daten unvollständig oder
unrichtig sind;
c) die Gewähr, daß jede Berichtigung, Löschung.
oder Sperrung, die entsprechend Buchstabe b) durchgefülirt
wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt
wird, sofern sich dies nicht als unmöglich erweist oder kein
unverhältnismäßiger Aufwand damit verbunden ist.
ABSCHNITT VI AUSNAHMEN UND EINSCHRÄNKUNGEN
Artikel 13 Ausnahmen und Einschränkungen
(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen,
die die Pflichten und Rechte gemäß Artikel 6 Absatz
1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21
beschränken, sofern eine solche Beschränkung notwendig
ist für
a) die Sicherheit des Staates,
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und verfolgung
von Straftaten oder Verstößen gegen die berufsständischen
Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse
eines Mitgliedstaats oder der Europäischen Union einschließlich
Währungs, Haushalts und Steuerangelegenheiten;
f) Kontroll, Überwachungs und Ordnungsfunktionen, die dauernd
oder zeitweise mit der Ausübung öffentlicher Gewalt
für die unter den Buchstaben c), d) und
e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten
anderer Personen.
(2) Vorbelialtlich angemesener rechtlicher Garantien, mit denen
insbesondere ausgeschlossen wird, daß die Daten für
Maßnahmen oder Entscheidungen geenüber bestimmten Personen
verwendet werden, können die Mitgliedstaaten in Fällen,
in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre
der betroffenen Person besteht, die in Artikel 12 vorgeseheileil
Rechte gesetzlich einschränken, wenn die Daten ausschließlich
für Zwecke der wissenschaftlichen Forschung verarbeitet werden
oder personenbezogen nicht länger als erforderlich lediglich
zur Erstellung von Statistiken aufbewahrt werden.
ABSCHNITT VII WIDERSPRUCHSRECHT DER BETROFFENEN PERSON
Artikel 14 Widerspruchsrecht der betroffenen Person
Die Mitgliedstaaten erkennen das Recht der betroffenen Person
an,
a) zumindest in den Fällen von Artikel 7 Buchstaben e) und
f) jederzeit aus überwiegenden, schutzwürdigen, sich,
aus ihrer besonderen Situation ergebenden Gründen dagegen
Widerspruch einlegen zu können, daß sie betreffende
Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen
Recht vorgesehenen entgegenstehenden Bestimmung, Im Fall eines
berechtigten Widerspruchs kann sich die vom für die Verarbeitung
Veranwortlichen vorgenommene Verarbeitung nicht mehr auf diese
Daten beziehen;
b) auf Antrag kostenfrei gegen eine vom für die Verarbeitung
Veranwortlichen beabsichtigte Verarbeitung sie betreffender Daten
für Zwecke der Direkwerbüng Widerspruch einzulegen oder
vor der ersten Weitergabe personenbezogener Daten an Dritte oder
vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der
Direktwerbung informiert zu \werden und ausdrücklich auf
das Recht hingewiesen zu werden, kostenfrei gegen eine solche
Weitergabe oder Nutzung Widerspruch elnlegen zu können.
Die Mitgliedstaaten ergreifen die erforderlichen Maßnahmen,
um sicherzustellen, daß die betroffenen Personen vom Bestehen
des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis
haben.
Artikel 15 Automatisierte Einzelentscheidungen
(1) Die Mitgliedstaaten räumen jeder Person das Recht ein,
keiner für sie rechtliche Folgen nach sich ziehenden und
keiner sie erheblich beeinträchtigenden Entscheidung unterworfen
zu werden. die ausschließlich aufgrund einer automatisierten
Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte
ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähikeit,
ihrer Kreditwürdikeit, ihrer Zuverlässigkeit oder ihres
Verhaltens.
(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen
dieser Richtlinie vor, daß eine Person einer Entscheidung
nach Absatz 1 unterworfen werden kann, sofern diese
a) im Ralimen des Abschlusses oder der Erfüllung eines Vertrags
ergeht und dem Ersuchen der betroffenen Person auf Abschluß
oder Erfüllung des Vertrags stattgegeben wurde oder die Wahrung
ilirer berechtigten Interessen durch geeignete Maßnahmeil
beispielsweise die Möglichkeit, ihren Standpunkt geltend
zu machen garantiert wird oder
b) durch ein Gesetz zugelasscn ist, das Garantien zur Wahrung
der berechtigten Interessen der betroffenen Person festlegt.
ABSCHNITF VIII VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG
Artikel 16 Vertraulichkeit der Verarbeitung
Personen, die dem für die Verarbeitung Veratiwortlichen oder
dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen
Daten haben, sowie der Auftragsverarbeiter selbst dürfen
personenbezogene Daten nur auf Weisung des für die Verarbeitung
Verantwortlichen verarbeiten, es sei denn, es bestehen gesetzliche
Verpflichtungen.
Artikel 17 Sicherheit der Verarbeitung
(1) Die Mitgliedstaaten sehen vor, daß der für die
Verarbeitung Veranwortliche die geeigneten technischen und organisatorischen
Maßnahmen durchführen muß, die für den Schutz
gegen die zufällige oder unrechtmäßige Zerstörung,
den zufälligen Verlust, die unberechtigte Änderung,
die unberechtigte Weitergabe oder den unberechtigten Zugang insbesondere
wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen
werden und gegen jede andere Form der unrechtmäßigen
Verarbeitung personenbezogener Daten erforderlich sind.
Diese Maßnahmen müssen unter Berücksichtigung
des Standes der Technik und der bei ihrer Durchführung entstehenden
Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung
ausgehenden Risiken und der Art der zu schützenden Daten
angemessen ist.
(2) Die Mitgliedstaaten sehen vor, daß der für die
Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem
Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich
der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen
und organisatorischen Vorkehrungen ausreichende Gewähr bietet;
der für die Verarbeitung Verantwortliche überzeut sich
von der Einhaltung dieser Maßnahmen.
(3) Die Durchfülirung einer Verarbeitung im Auftrag erfolgt
auf der Grundlage eines Vertrags oder Rechtsakts, durch den der
Auftragsverarbeiter an den für die Verarbeitung Verantvortlichen
gebunden ist und in dein insbesondere folgendes vorgesehen ist:
- Der Auftragsverarbeiter handelt nur auf Weisung des für
die Verarbeitung Verantwortlichen;
- die in Absatz 1 genannten Verpflichtungen gelten auch für
den Auftragsverarbeiter, und zwar nach Maßgabe der Rechtsvorschriften
des Mitgliedstaats, in dem er seinen Sitz hat.
(4) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten
Elemente des Vertrags oder Rechtsakts und die Anforderungen in
bezu auf Maßnahmen nach Absatz 1 schriftlich oder in einer
anderen Form zu dokumentieren.
ABSCHNITT IX MELDUNG
Artikel 18 Pflicht zur Meldung bei der Kontrollstelle
(1) Die Mitgliedstaaten sehen eine Meldung durch den für
die Verarbeitung Veranwortlichen oder gegebenenfalls seinen Vertreter
bei der in Artikel 28 genannten Kontrollstelle vor, bevor eine
vollständig oder, teilweise automatisierte Verarbeitung oder
eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer
verbundener Zweckbestiminungen durchgeführt wird.
(2) Die Mitgliedstaaten können eine Vereinfachung der Meldung
oder eine Ausnahme von der Meldepflicht nur in den folgenden Fällen
und unter folgenden Bedingungen vorsehen:
- Sie legen für Verarbeitungskategorlen, bei denen unter
Berücksichtigung der zu verarbeitenden Daten eine Beeinträchtigtigung
der Rechte und Freiheiten der betroffenen Personen unwahrschenilich
ist, die Zweckbestimmungen der Verarbeitung, die Daten oder Kategorien
der verarbeiteten Daten, die Kategorie(n) der betroffenen Personen,
die Enipfäilger oder Kateorien der Empfänger, denen
die Daten weitergegeben werden, und die Dauer der Aufbewahrung
fest, und/oder
- der für die Verarbeitung Verantwortliche bestellt entsprechend
dein einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten,
dem insbesondere folgendes obliegt:
- die unabhängige Überwachung der Anwendung der zur
Umsetzung dieser Richtlinne erlassenen enizelstaatlichen Bestnnmungen,
- die Fülirung, eines Verzeichnisses mit den in Artikel
1 Absatz 2 vorgesehenen Informationen über die durch den
für die Verarbeitun Verantwortlichen vorgenommene Verarbeitung,
- um auf diese Weise sicherzustellen, daß die Rechte und
Freiheiten der betroffenen Personen durch die Verarbeitung nicht
beeinträchtigt werden.
(3) Die Mitgliedstaaten können vorsehen, daß Absatz
1 keine Anwendung auf Verarbeitungen findet, deren einziger Zweck
das Führen eines Register ist, das gemäß den Rechts
oder verwaltun@svorschriften zur Information der Offentlichkeit
bestimmt ist und ent\veder der gesamten Öffentlichkeit oder
allen Personen, die eil) berechtigtes Interesse nachweisen können,
zur Einsichtnahme offensteht.
(4) Die @litgliedstaaten können die in ArtiLel 8 Absatz 2
Buchstabe d) genannten Verarbeitungen von der \leldepflicht ausnehmen
oder die Meldun vereinfachen.
(5) Die Mitgliedstaaten können die Meldepflicht für
nicht automatisierte \7erarbeitungen @,on personenbezogenen Daten
generell oder ni Einzelfällen vorsehen oder sie einer ,@erenifachten
@Ieldung unter@,erfeil.
Artikel 19 Inhalt der Meldung
(1) 1)ie i\4itgliedstaaten legeü fest, welche Angaben die
Meldung zu enthalten liat. Hierzu gehört zumindest, folgendes:
a) Name und Anschrift des für die Verarb@itung Verant\wortlichen
und gegebenenfalls sel13esVertreters;
b) die Zweckbestimmung( n) der Verarbeitun@
c) eine Beschreibung der Kategorie(n) der betroffenen Personen
und der d.i esblezüglichen Daten oder Datenkätegorien;
d) die Empfänger oder Kategorien N,on Einpfängerli,
denen die Daten mitgeteilt "werden können;
e) eine geplante Datenübe . rmittlung in Drittländer;
f) eine allgemeine Beschreibung, die es ermöglicht, vorläufi
zu beurteilen, ob die Maßnahmen nach Artikel 17 zur Gewährleistung
der Sicherheit der Verarbeitung angeinessen sind.
(2) Die Mitgliedstaaten legen die Verfahren fest, nach denen Änderungen
der in Absatz 1 genannten Ailgabeil der Kontrollstelle zu melden
sind@
Artikel 20 Vorabkontrolle
(1) Die \lit_gliedstaaten legen fest, welche Verarbeitungen spezifische
Risiken für die Rechte und Freiheiten der Personen beinlialten
können, und tra,en dafür Sorge, daß diese Verarbeitungen
@,or ihrem Beginn geprüft @verden.
(2) Solche Vorabprüfungen ninimt die Kontrollstelle nach
Enipfang der Meldung des für die verarbeitunc Verantwortlichen
@,or, oder sie erfolgen durch den Dateilder im Zweifelsfall die
Kontrollstelle konsultieren niüß.
(3) Die @4itgliedstaaten können eine solche Prüfung
auch ini Zuge der Au sarbeitungenier Maßnahme ihres Parlaments
oder einer auf eine solche gesetzgeberische Maßnahme gestützten
Maßnahme durchfüliren, die die Art der Verarbeitung
fest legt und geeignete Garantien vorsieht.
Artikel 21 Öffentlichkeit der Verarbeitungen
(1) Die Äl itgliedstaaten erlassen Maßnahmen, mit denen
die Öffentlichkeit der Verarbeitungen sichergestellt wird.
(2), Di@ Mitgliedstaaten sehen vor, daß die Kontrollstelle
ein Register der gemäß Artikel 18 gemeldeten Verarbeitungen
führt.
Das Register enthält mindestens die Angaben nach Arti@el
19 Absatz 1 Buchstaben a) bis e).
Das Re@i ster kann von jedermann eingesehen werden.
(3) Di@ Mitgliedstaaten sehen vor, daß für Verarbeitungen,
die von der Meldung ausgenommen sind, der für die Verarbeitung
Verannwortliche oder eine andere von den Nlitg@l;@cdstaatcn benannte
Stelle zumindest dle @n Artikel 19 Absatz 1 Buchstaben a) bis
e) @orgeselienen Angaben auf Antrag jedermann in geeigneter Weise
verfügbar ni acht.
Die i@itgliedstaaten können vorsehen, daß diese Bestimmungen
keine Anwendung auf . Verarbeitungen findet, deren einziger Zweckdas
Führen von Registern ist, die gemäß den Rechts
und Ver altungsvorschri ten zur Information der Öffentlichkeit
bestimmt sind und die enweder der gesamten Ö@fentlichkeit
oder allen Persoi@en, die ein berechtigtes lnteresse nachweisen
können, zur Einsichtnahme offenstehen.
KAPITEL NI RECHTSBEHELFE, 1LAFTUNG UND SANKTIONEN
Artikel 22 Rechtsbehelfe
Unbeschadet des vernvaltungsrechtlichen Beschwerdeverfahrens,
das vor Beschreiten des Rechts",7eges insbesondere bei der
in Artikel 28 genannten Kontrollstelle eingeleitet \N,erden kann,
sehen die Mitgliedstaaten vor, daß jede Person bei der Verletzung
der Rechte, die ihr durch die für die betreffende Verarbeitung
geltenden einzelstaatlichen Rechts@orschriften garantiert sind,
bei Gericht einen Rechtsbehelf einlegen kann.
Artikel 23 Haftung
(1) Die \litgliedstaaten sehen vor, daß jede Person, der
wegen einer rechtswidrigen Verarbeitung od@r jeder anderen mit
den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie
nicht zu verenibarenden Handlung ein Schaden entsteht, das Recht
hat, von dem für die Verarbeitung Verant\vortlichen
Schadenersatz zu vertanen.
(2) Der für die Verarbeitung Verantwortliche kann teilweise
oder @,ollständig von seiner Haftung befreit werden, @%,enn
er nachweist, daß der Umstand, durch den der Schadeil eingetreten
ist, ihm nicht zur Last gelet werden kann.
Artikel 24 Sanktionen
Die I\litgliedstaaten ergreifen geeignete Maßnahinen, um
die volle Anwendung der Bestinnnungen dieser Richtlinie sicherzustellen,
und legen insbesondere die Sanktionen fest, die bei Verstößen
gegen die zur Unisetzung dieser Richtlinie erlassenen Vorschriften
anzum,enden sind.
KAPITEL IV ÜBER,%NTTLUNG PERSONEN]3EZOGENER DATEN IN DRITTLÄNDER
Artikel 25 Grundsätze
(1) Die Mitgliedstaaten sehen vor, daß die Obermittlung
personenbezogener baten, die Gegenstand einer Verarbeitung sind
oder nach der Überrnittlung verarbeitet werden sollen, in
ein Drittland vorbehaltlicn der Beachtung der aufgrund der anderen
Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften
zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau
gewährleistet.
(2) Die Angemessenheit des Schutzni@,e.aus, das ein Drittland
bietet, wird unter Berücksichtigung aller Umstände beurt@ilt,
die bei einer Datenübermittlung oder einer Kategorie von
Datenübermittlungen eine Rolle spielen; insbesondere werden
die Art der Daten, die Zweckbestiminung sowie die Dauer der geplanten
Verarbeitung das Herkunfts und das Endbestimmungsland, die in
dem betreffenden Drittland geltenden allgemeinen oder sektoriellen
Rechtsnormen sowie.die dort geltenden Standesregeln und Sicherheitsmaßnahmen
berücksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrichten einander
über die Fälle, in deneil ihres Erachtens ein Drittland
kein angemessenes Schutzniveau , irn Sinne des Absatzes 2 gewährleistet.
(4) Stellt die Kommission nach dem Verfahren des Artikels >l
Absatz 2 fest, daß ein Drittland kein ange messenies Schutzni%,eau
im Sinne des Absatzes 2 des vorliegenden Artikels auweist, so
treffen die Mitgliedstaateil die erforderlichen Maßnahmen,
damit keine gleichartige Datenübermittlung in das Drittland
erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungeij
ein, um Abhilfe für die gemäg Absatz 4 festgestellte
Lae zu schaffen.
(6) Die Kommission kann nach deni Verfahren des Artikels 31 Absatz
2 feststellen, daß ein Drittland auf,@,rund seiner innerstaatlichcn,
Rechtsvorschriften oder internationaler @lerpflichtungen, die
es insbesondere infolge der Verhandlungen gemäß Absatz
5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre
sowie der Freiheiten und Grundrechte N,on Personen ein angemessenes
Schutzni@eau irn Sinne des Absatzes 2 gewährleistet.
Die i\Iltgliedstaaten treffen die aufgrundder Feststellung der
Kommission gebotenen Maßnalimen.
Artikel 26 Ausnahnien
(1) Abweichend "oil Artikel 25 selien die Mitgliedstaaten
vorbehaltlicn entgegensteliender Regelungen für bestimnite
Fälle ini innerstaatlichen Recht vor, daß eine !Clbermittlung
oder eine Kategorie N,on Übernnttlungen personenbezogener
Da ten in ein Drittland, das kein angemessenes Schutzni,7eau nn
Sinne des Artikels 25 Absatz 2 geNwährleistet, vorgenoninien
""erden kann, sofern
a) die betroffene Person oline jeden Zweifel ihre Ein\w11ligung
gegeben liat oder
b) die t)bernnttlung für die Erfüllung eines Vertrags
zwischen der betroffenen Person und dem für die Verarbeitung
Verannwortlichen oder zur Durchführung von vorvert,raglichen
Maßnahmen auf Antrag der betroffenen Person erforderlich
istOder.
c) d . ie Übermittlung zum Abschluß oder zur Erfüllung
eines Ve rtrag erford erlich ist, der im Interesse der betroffenen
Person vom für die Verarbeitung Verantwortlichen init einem
Dritten geschlossen wurde oder geschlossen werden soll, oder
d) die Übernnttlung ent%weder für die @Vahrung eines
wichtigen öffentlichen Interesses oder zur Geltendmachung,
Ausübung oder Verteidigung \70n Rechtsallsprüchen @,or
Gericht erforderlich oder gesetzlich @,orgeschrieben ist oder
e) die Übermittlung für die Wahrung lebenswichtiger
Interessen der betroffenen Person erforderlich ist oder
f) die Übermittlun aus einem Register erfolgt, das geinäß
den Rechts oder Verwaltungsvorschriften zur Information der Öffentlichkeit
bestimmt ist und ent\veder der gesamten Öffentlichkeit oder
allen Personen, die ein berechtites Interesse nachweisen können,
zur Enisichtnahme offensteht, soweit die gesetzlichen Voraussetzungen
für die Einsichtnahme im Einzelfall gegeben sind.
(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung
oder eine Kategorie von Übermittlunlen personenbezogener
Daten in ein Drittland enehmi,en, das. kein an@emessenes Schurzni\"@au
im Sinne des Artikels 25 Absatz 2 @ewälirleistet, wenn der
für die Verarbeitung Verant\wortliche ausreichende Garantien
hnischtlich des Schutzes der Pri@,atsphäre, der Grundrechte
und der Grundfreiheiten der Personen sowie lnnsichtlich der Ausübun@
der damit verbund elien Rechte bietet; diese Garantien können
sich insbesondere aus entsprechenden Vertra@sklauseln ereben.
(3) Der MitI@iedstaat unterrichtet die Komin@isslön und die
anderen Mitgliedstaaten über die von ilnn nach Absatz 2 ertellten
Genehini@nen.
Legt ein anderer NlitNedstaat oder die Kommission einen in bezug
auf den Schutz der Privatsphäre, der Grundrechte und der
Personen hinreichend begründeten @X7iderspruch ein, so erläßt
die Kommission die geeigneten MaßLialimen nach dem Verfaliren
des Artikels 31 Absatz 2.
Die Nlitgliedstaaten treffen , die aufgrund des Beschlusses der
Kommission gebotenen Maßnahmen.
(4) Befindet die Kommission nach dem Verfahren des Artikels 31
Absatz 2, daß bestimmte Standardvertragsklauseln ausreichende
Garantien gemäß Absatz 2 bieten, so treffen die Mitgliedstaaten
die aufgrund der Feststellung der Kommission gebotenen Maßnahinen.
KAPITEL V VERHALTENSREGELN
Artikel 27
(1) Die \litgliedstaaten und die Kommission fördern die Ausarbeitung
von Verhaltensregeln, die nach Maßgabe der Besonderheiten
der einzelnen Bereiche zur ordnungsgemäßen Durchführung
der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten
zur Umsetzung dieser Richtlinie erlassen.
(2) Die Mitgliedstaaten sehen vor, daß die Berufs@,erbände
und andere Vereinigungen, die andere Kategorien von für die
Verarbeitung Verant%vortlichen vertreten, ilire Entwürfe
für einzelstaatliche Verhaltensregeln oder ihre Vorschläge
zur Änderung oder Verlängerung bestehender einzelstaatlicher
Verhaltensregeln der zuständigen einzelstaatlichen Stelle
unterbreiten können.
Die \litgliedstaaten sehen vor, daß sich diese Stellen insbesondere
davon überzeugt, daß die ihr unterbreiteten Ent\vnrfe
mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen
Vorschriften ni Einklang stelien. Die Stelle holt die Stellungnahmen
der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies
angebracht erscheint.
(3) Die Entwürfe für gemeinschaftliche verhaltensregeln
sowie @nderungen oder Verlängerun,@en bestehender genieinschaftlicher
Verhaltensregeln können der in Artikel 29 genannten Gruppe
unterbreitet ,%,erden. Die Gruppe nimmt insbesondere dazu Stellung
ob die ihr unterbreiteten Fnt\vürfe init den zur Umsetzung
dieser Richtlinie erlas@enen einzelstaatlichen Vorschriften in
Einklang stehen. Sie holt die Stellungnahmen der betroffenen Personen
oder ihrer Vertreter ein, falls ihr dies angebracht erscheint.
Die Kommission kann dafür Sorge tragen, daß die Verhaltensre
eln, zu denen die Gruppe eine positlve Stellungnahme ab@e@eben
hat, in ,ecigneter @Veise veröffentlicht ,@@erden.
KAPITEL VI KONTROLLSTELLE UND GRUPPE FOR DEN SCHUTZ VON PERSONEN
BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN
Ai,tikel 28 Kontrpllstelle
(1) Die Mitgliedstaaten sehen "or, daß eine oder mehrere
öffentliche Stellen beauftragt ,werden, die An""Tendung
der von den Nlitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen
einzelstaatlichen vorschriften in ihrem Hoheitsgebiet zu über,vachen.
Diese Stellen nelimen die ihnen zugewiesenen Aufgaben in völliger
Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, daß die Kontrollstellen
bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften
bezüglich des Schutzes der Rechte und Freiheiten von Personen
bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle @@erfügt insbesondere über:
- Untersu.chungsbefugnisse, wie das Recht aufZugang zu Daten,
die Gegenstand von Verarbeitungen sind, und das Recht auf Einliolung
aller für die Erfüllung ihres Kontrollauftrags erforderlichen
Informationen;
- wirksame Einwirkun@sbefugnisse, @@@ie beispielsweise bl die
\löglichkeit, im Einklang mit Artikel .20 vor der Durchführung
der Verarbeitungen Stellungnahmen abzugeben und für eine
geeignete Veröffentlichung der Stellungnahmen zu sorgen,
oder die Befugnis, die Sperrung, Löschun@ oder Vernichtung
von Daten oder das vorläufige oder endgültige Verbot
einer Verarbeitung anzuordnen, oder die Befugnis, eine V@rwarnung
oder eine Erniahnung an den für die Verarbeitung Verantwortlichen
zu rickten oder die Parlamente oder andere politische Institutionen
zu befassen;
- das Klagerecht oder eine Anzeigebefugnis bei Verstößen
gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser
Richtlinie.
Gegen beschwerende Entscheidun en der Kontrollstelle steht der
Rechtsweg offen.
(4) Jede Person oder eiti sie N,ertretender Verband kann sich
zuni Schutz der die Person betreffenden Rechte und Freiheiten
bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle
mit einer Eingabe wenden. Die betroffene Person ist darüber
zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem
Antrag befagt \werden, die RechtinäCslgkeit einer Verarbeitung
zu überprüfen, wenn enizelstaatliche Vorschriften gemäß
Artikel 13 Anwendun flnden. Die Person ist nnter allen Umständen
darüber zu unterrichten, daß eine £berprüfung
stattgefunden hat.
(5) Jede Kontrollstelle legt regelmäßig enien Bericht
über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.
(6) Jede Kontrollstelle ist im Holieitsebiet ihres Nlitgliedstaats
für die Ausübung der ilir gemäß Absatz .
3 übertra@enen Befu@nisse zuständig, uliabhängi
vom einzelstaatilchen Recht, das auf die e\%,eilne Verarbeitunc
anwendbar ist. jede Kontrollstelle kann Non einer Kontrollstelle
eines anderen vilt,@liedstaats hin d@ie Atisübun@, ihrer
Befugnisse ersucht werden.
Die Kontrollstellen sorgen für die zur, Erfüllun, ihrer
Kontrollaufgaben no@",endi@e eenseitige Zusainnienarbeit,
insbesondere durch den Austausch sachdienlicher Niforinationen.
(7) Die \litNedstaaten sehen vor, daf@ die Mitglieder und Bediensteten
der Kontrollstellen lnnsichtlich der traulichen Niforniationen,
zu denen sie Zu@ang haben, dein Berufseheimnis, auch nach Ausscheiden
aus dem Dienst, unterlieen.
Artikel 29 Datenschutzgruppe
(1) Es \vird eine Gruppe für den Schutz @@on Personen bei
der N7erarbeitun personenbezogener Daten eingesetzt (nichsteliend
"Gruppe" enannt).
Die Gruppe ist unabliäni undNat beratende Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von den enizeinen
Mit@lliedstaaten bestimniten Kontrollstellen und einem vertreter
der Stelle bzw. der Stellen, die für die Institutionen und
Organe der Gemeinschaft eingericntet sind, sowie enieni Vertreter
der Kommission.
Jedes Xlitglied der Gruppe wird von der Institution, der i Stelle
oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat
mehrere Kontrollstellen bestimmt, so ernennen diese einen gemeinsamen
Vertreter. Gleiches gilt für di@ Stellen, die für die
Institutionen und die Organe.der Gemeinschaft eingerichtet sind.@
(3) Die Gruppe, beschließt mit der einfachen Mehrheit der
Vertreter der Kontrollstellen.
(4) Die Gruppe wa@hlt ihren Vorsitzenden. Die Dauer der Amtszeit
des Vorsitzenden beträgt zwei Jahre. Wiederwahl ist möglich.,
(5) Die Sekretariatsgeschäfte der Gruppe ,werden von der
Kommission wahrgenommen.
(6) Die Gruppe gibt sich eine Geschäftsordnung.
(7) Die Gruppe prüft die Fragen, die der Vorsitzende von
sich aus oder auf Antrag eines Vertreters der Kontrollstellen
oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.
Artikel 30
(1) Die Gruppe hat die Aufgabe,
a) alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie
erlassenen einzelstaatlicheil Vorschriften zu prüfen, um
zu einer einheitlichen Anwendun beizutragen;
b) zum Schutznlveau in der Genieinschaft und ni Drittländern
gegenüber der Kommission Stellun@ zu nelimen;
c) die Kommission bei jeder , Vorlac zur Änderun dieser Richt,linie,
zu allen Enn@ürfen zusätzlicher oder spezifischer i\4aßnahmen
zur NX7ahrun der Rechte und Freiheiten natürlicher Personen
bei der Verarbeitung pers onenbezoener Daten sowie zu allen anderen
Enwürfen von Gemeinschaftsmaßnalinien zu beraten, die
sich auf diese Rechte und Freiheiten auswirken;
d) Stellungnahmen zu den auf Genieinschaftsebene erarbeiteten
Verhaltensregeln abzu@eben.
(2) S t ellt die Gruppe fest, daß sich nn Bereich des Schutzesvon
Personen bei der Verarbeitung personenbczogener Daten zwischen
den Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede
ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft
beeillträchtigen könnten, so teilt sie dies der Kommission
mit.
(3) Die Grupe kann von sich aus Empfehlungen zu allen Fragen abgeben,
die den Schutz von Personen bei der Verarbeitung personenbezogener
Daten in der Gemeinschaft betreffen.
(4) Die Stellungnahm@n und Empfehlungen der Gruppe @N,erden der
Kommission und dem in Artikel 31 genanilten Ausschuß übermittelt.
(5) Die Kommission teilt der Gruppe mit, welche Konsequenzen sie
aus den@ Stellungnahmen und Empfehlungen gezogen hat. Sie erstellt
hierzu einen Bericht, der auch dem Europäischen Parlament.
und dem Rat übermittelt Nwird. Dieser Bericht wird veröffentlicht.
(6) Die Gruppe erstellt jährlich @nen Bericht über den
Stand des Schutzes natürlicher Personen bei der Verarbeitung
personenbezogener Daten in der Gemeinschaft und in Drittländern,
den sie der Kommission, defn@ Europäischen Parlament und
dem Rat übermittelt. Dieser Beflicht wird veröffentlicht.
KAPITEL VN GE1vIEINSCHAFTLICHE DURCHFÜHRUNGSI%IASSNAHMEN
Artikel 31 Ausschußverfallren
(1) Die Kommission wird von einem Ausschuß unterstützt,
der si@h aus Vertretern der \litNedstaaten zusammensetzt und in
dein der Vertreter der Kommission den Vorsitz führt.
(2) Der Vertreter d er Kominission unterbreitet dem Ausschuß
einen Entwurf der zu treffenden Maßnalnnen. Der Ausschuß
ibt seine Stellunnahme zu diesein EntNwurf innerhalb einer Frist
ab, die der vorsitzende unter Berücksichtiung der Dringlichkeit
der betreffenden Frage festsetzen kann.
Die Stellunnalime wird mit der \lehrheit abgegeben, die in Artikel
148 Absatz 2 des Vertrags Z, \orgesehen ist. Bei der Abstimmung
im Ausschuß werden die Stinnnen der vertreter der \litgliedstaaten
genieß deni N@orgenannten Artikel gewogen. Der Vorsitzende
nimmt an der Abstiminun nicht teil.
Die Koninnssion erläßt iNlaUsnahmen, die unmittelbar
gelten. Stimmen sic jedoch mit der Stellungnahnie des Ausschusses
nicht überein, werden sie von der Komnilssion unverzüglich
dem Rat niltgeteilt. In diesem Fall gilt fol@endes:
- Die Kommission N,erschiebt die Durchfülirung der von
ihr beschlossenen @daßnaninen uni drei @lonate @,om Zeitpunkt
der Mitteilung an;
- derRat kann innerlialb des im ersten Gedankenstrich genannten
Zeitraums mit qualifizierter @lehrheit einenanderslautenden Beschluß
fa@en.
SCHLUSSBESTIMMUNGEN
Artikel 32
(1) Die \litgliedstaaten erlassen die erforderlichen Rechts und
Verwaltungs%@orschriften, uni dieser Riciltlinie binnen drei Jaliren
nach ihrer Annalime nachzukomrnen.
Wenn die @litgliedstaaten derartige Vorschriften erlassen, nehmen
sie in den Vorschriften selbst oder durch enienHinwels bei der
amtlichen Veröffentlichuil@ auf diese Richtlinie Bezug. Die
Nlitgliedstaaten regeln die Einzelheiten der Bezugnahme.
(2) Die Mitgliedstaaten tragen dafür Sorge, daß Verarbeitungen,
die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften
zur Umsetzung dieser Richtlinie bereits begonnen. wurden, binnen
drei Jahren nach diesein;Zeitpunkt mit diesen Bestimmungen in
Einklang gebracht werden.
Abweichend von Unterabsatz 1 können die MitNedstaatten vorsehen,
daß die Verarbeitungen @,on Daten, die zum Zeitpunkt des
Inkrafttretens der einzelstaatlichen Vorschriften zur Unisetzung
dieser Richtlinie bereits in manuellen Dateien entlialten sind,
binnen zwölf Jahren nachAnnahme dieser Richtlinie mit den
Artikeln 6, 7 und 8 ni Eniklang zu bringen sind. Die Mitgliedstaaten
gestatten jedoch, daß die betroffene Person auf Antrag und
insbesondere bei Ausübung des Zugangsrechts die Berichtigung,
Löschung oder Sperrung von Daten erreichen kann, die unvollständi,@"
unzutreffend oder auf eine Art und Weise aufbewahrt sind, die
init den @,oni für die Verarbeitun Verantwortlichen verfolgten
rechtmäßigen Zwecken unvereinbar ist.
(3) AbÄeichend von Absatz 2 können die Mitgliedstaaten
vorbehaltlich geeigneter Garantien vorsehen, daß Daten,
die ausschließlich zum Zwecke der historischen Forschung
aufbewalirt werden, nicht mit den Artikeln 6, 7 und 8 in Einklang
gebracht werden müssen.
(4) Die Mitgliedstaaten teilen der Kom@isslon de n \X7ortlaut
der innerstaatlichen Vorschriften mit, die sie auf dem unter diese
Richtlinie fallenden Gebiet erlassen.
Artikel 33
Die Kommission legt dem Europäischen Parlament und dem Rat
regelmäßig, und zwar erstmals drei Jahre nach dem in
Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht über
die Durchführung dieser Richtlinie vor und fügt ihm
gegebenenfalls geeignete Änderungsvorschläge bei. Dieser
Bericht wird veröffentlicht.
Die Kommission prüft insbesondere die Anwendung dieser Richtlinie
auf die verarbeitung personenbezogener Bild@ und Tönda.te"n
und unterbreitet:. geeignete Vorschräge, die sich unter Berücksichtigung7der
Entwi@ klung der Informationstechnoldgie und der Arbeit en über
die Informätio@sgesellschaft äls notwendig erweise@
könnten.
Artikel 34
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
Geschehen zu Luxemburg am 24. Oktober 1995.
|