Datenschutz-Grundverordnung: DS-GVO - Beck-Shop

Datenschutz-Grundverordnung: DS-GVO - Beck-Shop

Beck'sche Kurz-Kommentare Datenschutz-Grundverordnung: DS-GVO Bearbeitet von Dr. Eugen Ehmann, Prof. Dr. Martin Selmayr, Jan Philipp Albrecht, Dr. U...

NAN Sizes 0 Downloads 3 Views

Recommend Documents

EU-Datenschutzgrundverordnung EU DSGVO - CBH Rechtsanwälte
07.07.2016 - Fachbereich IT-Recht. Datenschutzgrundverordnung (DSGVO). VO (EU) 2016/679. Konzept, Neuerungen, Umsetzungs

170918 DSGVO
Quelle: Bayrisches Landesamt für. Datenschutzaufsicht, BayLDA. Risikobestimmung - Risikomatrix. Page 37. 37. © RA Speich

DSGVO Einhaltungs-Checkliste - Netop
15.06.2017 - RECHT AUF VERGESSENWERDEN: • Das Zugangsrecht und Recht auf Übertragbarkeit wird dadurch erweitert, dass

Datenschutzgrundverordnung - Cisco Summit 2017
10.05.2017 - Datenschutzrecht heute. • Verstöße: Verwaltungsstrafe bis zu EUR 25.000,00. In gewissen Fällen bis zu

Kompendium DSGVO - Secur-Data
ABSCHNITT 2 INFORMATIONSPFLICHT UND RECHT AUF AUSKUNFT ZU ... Artikel 17 Recht auf Löschung („Recht auf Vergessenwerd

eu-dsgvo - DataStax
In den Nachrichten wurde viel dazu gebracht– insbesondere im. Zusammenhang mit dem 'Recht auf Vergessen werden' – je

Konformität mit EU-DSGVO erreichen Die EU-DSGVO - EgoSecure
Aufgrund der unterschiedlichen Datenschutzbestimmungen in den EU-Ländern hat die EU-. Kommission eine allgemeine Richtl

Datenschutzbeauftragte iSd DSGVO - WKO
16.10.2017 - Datenschutzbeauftragte iSd. DSGVO. (Data Protection Officer – DPO). Page 2. Inhalt/Agenda. 1. Rechtliche

20161201 DSGVO, IHK Kurzvortrag
Neu: Datenschutzfolgenabschätzung statt Vorabkontrolle. • Löschpflicht u Recht auf Vergessenwerden. • Datenpannen:

EU-DSGVO - IHK Trier
07.11.2016 - Ablösung BVerfG durch EU-Recht (+ neues Rechtsschutzsystem). • Nationale ... Art. 17 Recht auf Löschung

Beck'sche Kurz-Kommentare

Datenschutz-Grundverordnung: DS-GVO

Bearbeitet von Dr. Eugen Ehmann, Prof. Dr. Martin Selmayr, Jan Philipp Albrecht, Dr. Ulrich Baumgartner, Nikolaus Bertermann, Dr. Martin Braun, Dr. Horst Heberlein, Prof. Dr. Dirk Heckmann, Dr. Jörg Hladjk, Prof. Dr. Hans-Georg Kamann, Achim Klabunde, Dr. Rainer Knyrim, Thomas Kranig, Paul Nemitz, Anne Paschke, Bertram Raum, Prof. Dr. Stephanie Schiedermair, Alexander Schiff, Martin Schweinoch, Dr. Robert Selk, Michael Will, Thomas Zerdick

1. Auflage 2017. Buch. XXXVI, 1240 S. In Leinen ISBN 978 3 406 70215 0 Format (B x L): 12,8 x 19,4 cm

Recht > Handelsrecht, Wirtschaftsrecht > Telekommunikationsrecht, Postrecht, ITRecht > Datenschutz, Postrecht Zu Leseprobe und Sachverzeichnis schnell und portofrei erhältlich bei

Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft. Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, eBooks, etc.) aller Verlage. Ergänzt wird das Programm durch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr als 8 Millionen Produkte.

Ehmann/Selmayr DS-GVO Datenschutz-Grundverordnung

DS-GVO Datenschutz-Grundverordnung Kommentar Herausgegeben von

Dr. Eugen Ehmann, Ansbach Prof. Dr. Martin Selmayr, Brüssel Bearbeitet von den Herausgebern und von Jan Philipp Albrecht, LL. M., Brüssel/Hamburg; Dr. Ulrich Baumgartner, Rechtsanwalt, München; Nikolaus Bertermann, Rechtsanwalt, Berlin; Dr. Martin Braun, Rechtsanwalt, Frankfurt a. M./Brüssel; Dr. Horst Heberlein, Brüssel; Prof. Dr. Dirk Heckmann, Passau; Dr. Jörg Hladjk, LL. M., Rechtsanwalt, Brüssel; Prof. Dr. Hans-Georg Kamann, Rechtsanwalt, Frankfurt a. M./Brüssel; Dipl.-Inf. Achim Klabunde, Brüssel; Dr. Rainer Knyrim, Rechtsanwalt, Wien; Thomas Kranig, Ansbach; Susanne Mentel, München; Paul Nemitz, M. C. L., Brüssel; Anne Paschke, Passau; Bertram Raum, Bonn; Prof. Dr. Stephanie Schiedermair, Leipzig; Alexander Schiff, LL. M., Berlin; Martin Schweinoch, Rechtsanwalt, München; Dr. Robert Selk, LL. M., Rechtsanwalt, München; Michael Will, München; Thomas Zerdick, LL. M., Brüssel

2017

www.beck.de ISBN 978 3 406 70215 0 (C.H.Beck) ISBN 978 3 7007 6845 6 (LexisNexis) © 2017 Verlag C.H.BECK oHG Wilhelmstraße 9, 80801 München Satz und Umschlaggestaltung: Druckerei C.H.Beck, Nördlingen Druck und Bindung: Beltz Bad Langensalza GmbH, Neustädter Straße 1–4, 99947 Bad Langensalza Gedruckt auf säurefreiem, alterungsbeständigem Papier (hergestellt aus chlorfrei gebleichtem Zellstoff)

Vorwort Wenn unter deutschsprachigen Datenschutzexperten bekannt geworden wäre, dass die Herausgeber bereits im Juli 2012 mit dem Verlag C.H.BECK Verträge über einen Kommentar zur Datenschutz-Grundverordnung unterzeichneten, hätte dies sicherlich in weiten Kreisen für Belustigung gesorgt. Nur wenige konnten sich damals vorstellen, dass der ambitionierte Vorschlag der Europäischen Kommission vom 25. Januar 2012, die 28 unterschiedlichen Datenschutzrechte der Mitgliedstaaten der Europäischen Union durch ein einheitliches, unmittelbar geltendes europäisches Datenschutzrecht zu ersetzen, in absehbarer Zeit Wirklichkeit werden würde. Viele erwarteten seinerzeit vielmehr, dass der europäische Gesetzgeber die vorgeschlagene Datenschutz-Grundverordnung zur Gänze ablehnen würde. Andere rechneten zumindest damit, dass der Verordnungsvorschlag im Laufe des Gesetzgebungsverfahrens in eine Richtlinie verwandelt werden würde, so dass das Datenschutzrecht auch weiterhin maßgeblich durch nationale Rechtsvorschriften hätte geregelt werden können. Die Vorstellung, dass eines Tages das deutsche Bundesdatenschutzgesetz ebenso wie das österreichische Datenschutzgesetz – um nur zwei wichtige Beispiele mitgliedstaatlicher Normwerke zu nennen – durch die Datenschutz-Grundverordnung abgelöst würden, erschien auch den meisten Sachkennern im Juli 2012 schlicht wirklichkeitsfremd. Bis heute zeugen erste juristische Stellungnahmen zur Datenschutz-Grundverordnung von einer gewissen Überraschung über das schließlich erzielte Ergebnis des fünf Jahre dauernden europäischen Gesetzgebungsprozesses. Den Verantwortlichen im Verlag C.H.BECK, allen voran Herrn Dr. Hans Dieter Beck, ist herzlich dafür zu danken, dass sie schon früh die Zuversicht der Herausgeber teilten, dass Europa demnächst ein einheitliches Datenschutzrecht erhalten würde, und sich deshalb ohne jedes Zögern bereit erklärten, den ersten großen Kommentar zur neuen Datenschutz-Grundverordnung in ihr Verlagsprogramm aufzunehmen. Für die Wirtschaft stand bereits 2012 fest, dass Europa seine Pläne, einen wettbewerbsfähigen digitalen Binnenmarkt aufzubauen, nur dann würde realisieren können, wenn es sich auf gemeinsame und möglichst einheitliche Datenschutzregeln verständigte. Dass es sich dabei um Datenschutzregeln mit hohem Schutzniveau handeln musste, entsprach der Interessenlage wohl der meisten Bürger. Es ist der besonderen, oft leidvollen Geschichte unseres Kontinents und seinen Erfahrungen mit Diktaturen von rechts und von links geschuldet, dass die Menschenwürde und damit auch die Selbstbestimmung des Bürgers über die ihn betreffenden oder mit ihm in Zusammenhang zu bringenden Daten auch im Unionsrecht grundrechtlich verbürgt sind. Der Schutz personenbezogener Daten gehört gewissermaßen zur Seele Europas. Zur Schaffung eines modernen Datenschutzrechts auf europäischer Ebene haben dabei gerade Politiker und Juristen aus Deutschland maßgeblich beigetragen. Unter Vorsitz von Roman Herzog, dem früheren deutschen BundesV

Vorwort präsidenten und vormaligen Präsidenten des Bundesverfassungsgerichts, beschloss der Europäische Grundrechtekonvent bereits im Oktober 2000, in der Charta der Grundrechte der Europäischen Union neben der Menschenwürde auch das Datenschutzgrundrecht explizit zu verankern und ausdrücklich unabhängige Datenschutz-Aufsichtsbehörden mit der Überwachung und Durchsetzung dieses wichtigen Grundrechts zu betrauen. Mit dem maßgeblich unter deutschem Vorsitz im ersten Halbjahr 2007 ausgehandelten Vertrag von Lissabon wurde nicht nur die Grundrechtecharta rechtsverbindlich. Zugleich verliehen die Mitgliedstaaten der Europäischen Union dem europäischen Gesetzgeber in Artikel 16 des Vertrags über die Arbeitsweise der Union auch eine weitreichende Rechtsetzungszuständigkeit für das Datenschutzrecht; der europaweite Schutz des Datenschutzgrundrechts wurde somit zum Auftrag für den europäischen Gesetzgeber. Mit der DatenschutzGrundverordnung, die am 24. Mai 2016 in Kraft getreten ist und ab dem 25. Mai 2018 überall in der Europäischen Union unmittelbar gelten wird, werden diese gemeinsam von allen Mitgliedstaaten getroffenen Vorgaben nun in die Praxis umgesetzt und mit Leben erfüllt. Europäische Projekte verlangen stets das Zusammenwirken vieler unterschiedlicher Personen und das harmonische Zusammenführen unterschiedlicher Prioritäten und Präferenzen. Dieser Kommentar zur DatenschutzGrundverordnung, der sich das Ziel gesetzt hat, im Einklang mit der europarechtlichen Rechtsnatur und Herkunft des neuen Regelwerks das künftig europaweit geltende Datenschutzrecht aus europäischem Blickwinkel zu analysieren, zu erläutern und zu kommentieren, bildet dabei keine Ausnahme. 13 renommierte Praktiker und Wissenschaftler konnten wir dazu bewegen, ihre aus unterschiedlichen Blickwinkeln gewonnenen Erfahrungen in diesen Kommentar einzubringen. Ihnen allen sei an dieser Stelle für die engagierte Mitwirkung und die Wahrung der ehrgeizigen Abgabetermine herzlich gedankt. Dass zu den Kommentatoren die maßgeblichen Entscheidungsträger gehören, die zwischen 2012 und 2016 in der Europäischen Kommission, im Europäischen Parlament, beim Europäischen Datenschutzbeauftragten sowie in Deutschland die wesentlichen Arbeiten zur Datenschutz-Grundverordnung verantworteten oder mitgestalteten, sehen wir als besonderes Alleinstellungmerkmal des „Ehmann/Selmayr“, auch wenn sämtliche Autoren selbstverständlich ausschließlich ihre persönliche Auffassung vertreten und nicht die ihrer jeweiligen Anstellungsbehörde. Der Kommentar verfolgt dabei das Anliegen, der Praxis auf fundierter unionsrechtlicher Basis hilfreiche Hinweise zu den neuen Vorgaben des europäischen Gesetzgebers zu geben. Die einzelnen Kommentierungen schenken deshalb der Rechtsprechung des Gerichtshofs der Europäischen Union und der Praxis der EUInstitutionen besondere Beachtung. Auch Literatur aus dem EU-Ausland wird berücksichtigt, stellt europäisches Recht doch stets die Synthese mehrerer unterschiedlicher nationaler Sichtweisen und Auslegungsmöglichkeiten dar. Es kann daher nur richtig verstanden und angewendet werden, wenn man bereit ist, die Brille des nationalen Rechts bewusst abzulegen. Parallelen zum bisherigen nationalen Datenschutzrecht wurden, da meist irreführend, möglichst vermieden. Ebenso wie die Datenschutz-Grundverordnung ein VI

Vorwort unmittelbar europäisches Gesetz darstellt, ist der „Ehmann/Selmayr“ somit ein unmittelbar europäischer Kommentar. Alle Kommentierungen sind auf dem Stand von Mitte Januar 2017. Die Kommentatoren haben die Entwicklung des europäischen Datenschutzrechts bis zu diesem Zeitpunkt soweit wie möglich berücksichtigt und sind auf Rechtsprechung und Literatur sowie die Leitlinien der Artikel-29-Datenschutzgruppe, die bis Mitte Januar veröffentlicht wurden, eingegangen. Noch berücksichtigt werden konnten auch die Vorschläge der Europäischen Kommission vom 10. Januar 2017 zur Neufassung der Verordnung (EG) Nr. 45/2001 und zur neuen ePrivacy-Verordnung, welche an die Stelle der bisherigen ePrivacy-Richtlinie treten soll und die an mehreren Stellen für die Praxis wichtige Berührungspunkte mit der Datenschutz-Grundverordnung aufweist. Für aktuelle Entwicklungen nach dem Januar 2017 verweisen wir auf die Beiträge in der monatlich erscheinenden Zeitschrift für Datenschutz (ZD). Großen Dank schulden wir Herrn Dr. Johannes Wasmuth vom Verlag C.H.BECK, der durch seine engagierte verlegerische Betreuung über die Jahre hinweg das Erscheinen des Kommentars erst möglich gemacht hat. Zu danken haben wir ebenfalls in besonderem Maße Frau Rechtsanwältin Ruth Schrödl, die sich bei hohem Zeitdruck mannigfaltige Verdienste um die Qualität und Konsistenz des Werks erworben hat. Ein besonderer Dank gilt schließlich unseren jeweiligen Familien, die unser Vorhaben, trotz erheblicher beruflicher Belastungen kostbare Wochenend- und Ferienzeit in den vorliegenden Kommentar zu investieren, nicht nur tolerierten, sondern durch stete Ermunterung ganz maßgeblich dazu beitrugen, dass die Arbeiten zum Jahresanfang 2017 abgeschlossen werden konnten. Für Anregungen und Kritik sind wir stets dankbar. Bitte nutzen Sie dazu gerne die E-Mail-Adressen der Herausgeber ([email protected] oder [email protected]). Ansbach und Brüssel, im Februar 2017

Eugen Ehmann, Martin Selmayr

Bearbeiterverzeichnis I. Nach Artikeln Einführung a .................... Art. 1–3 a ....................... Art. 4 a .......................... Art. 5, 6 a ....................... Art. 7, 8 a ....................... Art. 9, 10 a ...................... Art. 11 a......................... Art. 12 a......................... Art. 13, 14 a..................... Art. 15 a......................... Art. 16–21 a..................... Art. 22 a......................... Art. 23, 24 a..................... Art. 25 a......................... Art. 26–30 a..................... Art. 31 a......................... Art. 32–34 a..................... Art. 35, 36 a..................... Art. 37–39 a..................... Vorb Art. 40–43 a .............. Art. 40, 41 a..................... Art. 42, 43 a..................... Art. 44–50 a..................... Art. 51–59 a..................... Art. 60–67 a..................... Art. 68–76 a..................... Art. 77–84 a..................... Art. 85 a......................... Art. 86, 87 a..................... Art. 88 a......................... Art. 89 a......................... Art. 90, 91 a..................... Art. 92–94 a..................... Art. 95 a......................... Art. 96 a......................... Art. 97 a......................... Art. 98 a......................... Art. 99 a......................... Sachverzeichnis a ...............

Selmayr/Ehmann Zerdick Klabunde Heberlein Heckmann/Paschke Schiff Klabunde Heckmann/Paschke Knyrim Ehmann Kamann/Braun Hladjk Bertermann Baumgartner Bertermann Raum Hladjk Baumgartner Heberlein Schweinoch/Will Schweinoch Will Zerdick Selmayr Klabunde Albrecht Nemitz Schiedermair Ehmann Selk Raum Ehmann/Kranig Ehmann Klabunde/Selmayr Zerdick Ehmann Zerdick Ehmann Mentel

II. In alphabetischer Ordnung Jan Philipp Albrecht, LL.M., MdEP, stv. Vorsitzender des Ausschusses für Bürgerliche Freiheiten, Inneres und Justiz, Europäisches Parlament, Brüssel/Hamburg a ...................................... Art. 68–76 Dr. Ulrich Baumgartner, Rechtsanwalt, München a .. Art. 25, 35, 36 Nikolaus Bertermann, Rechtsanwalt, Berlin a ......... Art. 23, 24, 26–30

IX

Bearbeiterverzeichnis Dr. Martin Braun, Rechtsanwalt, Frankfurt a. M./ Brüssel a .................................................. Art. 16–21 Dr. Eugen Ehmann, Regierungsvizepräsident von Mittelfranken, Ansbach a................................ Einf., Art. 15, 86, 87, 90–94, 97, 99 Dr. Horst Heberlein, Europäische Kommission, Brüssel a .................................................. Art. 5, 6, 37–39 Prof. Dr. Dirk Heckmann, Universität Passau a ....... Art. 7, 8, 12 Dr. Jörg Hladjk, LL. M., Rechtsanwalt, Brüssel a ..... Art. 22, 32–34 Prof. Dr. Hans-Georg Kamann, Rechtsanwalt, Frankfurt a. M./Brüssel a................................ Art. 16–21 Dipl.-Inf. Achim Klabunde, Europäischer Datenschutzbeauftragter, Brüssel a...................... Art. 4, 11, 60–67, 95 Dr. Rainer Knyrim, Rechtsanwalt, Wien a............ Art. 13, 14 Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht, Ansbach a......................... Art. 90, 91 Susanne Mentel, München a............................ Sachverzeichnis Paul Nemitz, M.C.L., Direktor in der Europäischen Kommission, Brüssel a .................................. Art. 77–84 Anne Paschke, Akademische Beamtin auf Zeit, Universität Passau a ...................................... Art. 7, 8, 12 Bertram Raum, Ministerialrat, Die Bundesbeauftragte für den Datenschutz, Bonn a............................ Art. 31, 89 Prof. Dr. Stephanie Schiedermair, Universität Leipzig a. ................................................. Art. 85 Alexander Schiff, LL. M., Berlin a ...................... Art. 9, 10 Martin Schweinoch, Rechtsanwalt, München a....... Vorb Art. 40–43, Art. 40, 41 Dr. Robert Selk, LL. M., Rechtsanwalt, Münchena .. Art. 88 Prof. Dr. Martin Selmayr, Kabinettchef des Präsidenten der Europäischen Kommission und Direktor des Centrums für Europarecht an der Universität Passau, Brüssel/Passau a.......................................... Einf., Art. 51–59, 95 Michael Will, Ministerialrat, Bayer. Staatsministerium des Innern, für Bau und Verkehr, München a ......... Vorb Art. 40–43, Art. 42, 43 Thomas Zerdick, LL. M., Europäische Kommission, Brüssel a .................................................. Art. 1–3, 44–50, 96, 98

Inhaltsverzeichnis Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V IX Bearbeiterverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XV Allgemeines Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXVII

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Gesetzestext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1 135

Kapitel I. Allgemeine Bestimmungen Art. Art. Art. Art.

1 2 3 4

Gegenstand und Ziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sachlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . Begriffsbestimmungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

207 212 223 233

Kapitel II. Grundsätze Grundsätze für die Verarbeitung personenbezogener Daten . . . . . . . . Rechtmäßigkeit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . Bedingungen für die Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten . . . . . Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. Art. Art. Art.

5 6 7 8

256 274 304 323 334 358 361

Kapitel III. Rechte der betroffenen Person Abschnitt 1. Transparenz und Modalitäten Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person . . . . . . . . . . . . . . . . . . Abschnitt 2. Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden . . . . . . . . . . . . . . . . . . . . . . . . . Art. 15 Auskunftsrecht der betroffenen Person . . . . . . . . . . . . . . . . . . . . . . .

367

391 412 423

XI

Inhaltsverzeichnis Abschnitt 3. Berichtigung und Löschung Recht auf Berichtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Recht auf Löschung („Recht auf Vergessenwerden“) . . . . . . . . . . . . . Recht auf Einschränkung der Verarbeitung . . . . . . . . . . . . . . . . . . . . Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 20 Recht auf Datenübertragbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Art. Art. Art. Art.

16 17 18 19

435 449 475 485 494

Abschnitt 4. Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall Art. 21 Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508 529 Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling . . Abschnitt 5. Beschränkungen Art. 23 Beschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

537

Kapitel IV. Verantwortlicher und Auftragsverarbeiter Abschnitt 1. Allgemeine Pflichten Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen . . . . . . . . . Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 26 Gemeinsam für die Verarbeitung Verantwortliche . . . . . . . . . . . . . . . Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 28 Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 30 Verzeichnis von Verarbeitungstätigkeiten . . . . . . . . . . . . . . . . . . . . . . Art. 31 Zusammenarbeit mit der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . Abschnitt 2. Sicherheit personenbezogener Daten Art. 32 Sicherheit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person . . . . . . . . . . . . . . . . . .

542 547 559 564 568 584 587 593 596 603 609

Abschnitt 3. Datenschutz-Folgenabschätzung und vorherige Konsultation 615 Art. 35 Datenschutz-Folgenabschätzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 36 Vorherige Konsultation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643 Abschnitt 4. Datenschutzbeauftragter Art. 37 Benennung eines Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . Art. 38 Stellung des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . . . Art. 39 Aufgaben des Datenschutzbeauftragten . . . . . . . . . . . . . . . . . . . . . . .

654 683 697

Abschnitt 5. Verhaltensregeln und Zertifizierung Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 40 Verhaltensregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 41 Überwachung der genehmigten Verhaltensregeln . . . . . . . . . . . . . . . . Art. 42 Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 43 Zertifizierungsstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

710 717 735 745 761

XII

Inhaltsverzeichnis Kapitel V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen Art. 44 Allgemeine Grundsätze der Datenübermittlung . . . . . . . . . . . . . . . . . Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien . . . . . . . . . . . Art. 47 Verbindliche interne Datenschutzvorschriften . . . . . . . . . . . . . . . . . . Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung Art. 49 Ausnahmen für bestimmte Fälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten

770 780 796 806 816 821 833

Kapitel VI. Unabhängige Aufsichtsbehörden

Art. Art. Art. Art.

51 52 53 54

Abschnitt 1. Unabhängigkeit Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde . . . Errichtung der Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . .

838 853 879 892

Art. Art. Art. Art. Art.

55 56 57 58 59

Abschnitt 2. Zuständigkeit, Aufgaben und Befugnisse Zuständigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zuständigkeit der federführenden Aufsichtsbehörde . . . . . . . . . . . . . . Aufgaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Befugnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tätigkeitsbericht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

904 914 931 947 970

Kapitel VII. Zusammenarbeit und Kohärenz Abschnitt 1. Zusammenarbeit Art. 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . Art. 61 Gegenseitige Amtshilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden . . . . . . . . . . . . . . .

979 986 990

Art. Art. Art. Art. Art.

63 64 65 66 67

Abschnitt 2. Kohärenz Kohärenzverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stellungnahme Ausschusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Streitbeilegung durch den Ausschuss . . . . . . . . . . . . . . . . . . . . . . . . . Dringlichkeitsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Informationsaustausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

998 1000 1005 1013 1017

Art. Art. Art. Art. Art. Art. Art. Art. Art.

68 69 70 71 72 73 74 75 76

Abschnitt 3. Europäischer Datenschutzausschuss Europäischer Datenschutzausschuss . . . . . . . . . . . . . . . . . . . . . . . . . . Unabhängigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufgaben des Ausschusses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Berichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Verfahrensweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vorsitz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Aufgaben des Vorsitzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sekretariat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Vertraulichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1020 1024 1025 1032 1033 1034 1035 1036 1038

XIII

Inhaltsverzeichnis Kapitel VIII. Rechtsbehelfe, Haftung und Sanktionen Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde . . . . . . . . . . . . . . . Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 80 Vertretung von betroffenen Personen . . . . . . . . . . . . . . . . . . . . . . . . Art. 81 Aussetzung des Verfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 82 Haftung und Recht auf Schadenersatz . . . . . . . . . . . . . . . . . . . . . . . . Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen . . . . . . Art. 84 Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1040 1047 1053 1057 1061 1065 1076 1093

Kapitel IX. Vorschriften für besondere Verarbeitungssituationen Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 87 Verarbeitung der nationalen Kennziffer . . . . . . . . . . . . . . . . . . . . . . . Art. 88 Datenverarbeitung im Beschäftigungskontext . . . . . . . . . . . . . . . . . . Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken . . Art. 90 Geheimhaltungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften . . . . . . . . . . . . . . . . . . . . . . . . .

1097 1104 1109 1111 1151 1168 1173

Kapitel X. Delegierte Rechtsakte und Durchführungsrechtsakte Art. 92 Ausübung der Befugnisübertragung . . . . . . . . . . . . . . . . . . . . . . . . . . Art. 93 Ausschussverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1183 1185

Kapitel XI. Schlussbestimmungen Aufhebung der Richtlinie 95/46/EG . . . . . . . . . . . . . . . . . . . . . . . . Verhältnis zur Richtlinie 2002/58/EG . . . . . . . . . . . . . . . . . . . . . . . . Verhältnis zu bereits geschlossenen Übereinkünften . . . . . . . . . . . . . . Berichte der Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Überprüfung anderer Rechtsakte der Union zum Datenschutz . . . . . . Inkrafttreten und Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1190 1191 1200 1202 1206 1215

Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1217

Art. Art. Art. Art. Art. Art.

94 95 96 97 98 99

XIV