Die Datenschutz-Grundverordnung | DSGVO

Willkommen bei der GADE GmbH. Hier finden Sie das offizielle PDF der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) in der aktuellen Version des ABl. L 119, 04.05.2016; ber. ABl. L 127, 23.05.2018 von uns √ľbersichtlich aufbereitet. Die Artikel sind mit den passenden Erw√§gungsgr√ľnden und dem BDSG n.F. verkn√ľpft. Die DSGVO und das BDSG n.F. sind seit dem 25. Mai 2018 anwendbar.¬†

Kapitel 1 | DSGVO

Allgemeine Bestimmungen | Art. 1 bis Art. 4 

 

Allgemeine Bestimmungen 

 

Art.1 DSGVO Gegenstand und Ziele

Art. 1 DSGVO Gegenstand und Ziele

  1. Diese Verordnung enth√§lt Vorschriften zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung sch√ľtzt die Grundrechte und Grundfreiheiten nat√ľrlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gr√ľnden des Schutzes nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschr√§nkt noch verboten werden.
Art. 51| Erw√§gungsgr√ľnde noch bearbeiten

(39) Grundsätze der Datenverarbeitung *

  1. (1) Datenschutz als Grundrecht (2) Wahrung der Grundrechte (3) Versuchte Harmonisierung der Datenschutzvorschriften durch die RL 95/46/EG (4) Einklang mit anderen Rechten (5) Zusammenarbeit der Mitgliedsstaaten zum Datenaustausch (6) Gewährleistung eines hohen Datenschutzniveaus trotz Zunahme des Datenaustausches (7) Rechtsrahmen und Vertrauensbasis durch Sicherheit und Kontrolle (8) Übernahme in nationale Rechtsvorschriften (9) Unterschiedliche Schutzstandards durch die RL 95/46/EG (10) Gleichwertiges Schutzniveau trotz nationaler Spielräume (11) Gleiche Befugnisse und Sanktionen (12) Ermächtigung des Europäischen Parlaments und des Rates

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art.2 Sachlicher Anwendungsbereich
  1. Diese Verordnung gilt f√ľr die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie f√ľr die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
  2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    1. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
    2. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
    3. durch nat√ľrliche Personen zur Aus√ľbung ausschlie√ülich pers√∂nlicher oder famili√§rer T√§tigkeiten,
    4. durch die zust√§ndigen Beh√∂rden zum Zwecke der Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschlie√ülich des Schutzes vor und der Abwehr von Gefahren f√ľr die √∂ffentliche Sicherheit.
  3. 1F√ľr die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, √Ąmter und Agenturen der Union gilt die Verordnung¬†(EG) Nr. 45/2001.¬†2Die Verordnung (EG)¬†Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit¬†Artikel 98¬†an die Grunds√§tze und Vorschriften der vorliegenden Verordnung angepasst.
  4. Die vorliegende Verordnung l√§sst die Anwendung der¬†Richtlinie 2000/31/EG¬†und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unber√ľhrt.
Art. 2 |Passende Paragraphen des BDSG

Passende Paragraphen des BDSG

  1. 1Dieses Gesetz gilt f√ľr die Verarbeitung personenbezogener Daten durch
    1. öffentliche Stellen des Bundes,
    2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
      1. Bundesrecht ausf√ľhren oder
      2. als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

    2F√ľr nicht√∂ffentliche Stellen gilt dieses Gesetz f√ľr die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch nat√ľrliche Personen erfolgt zur Aus√ľbung ausschlie√ülich pers√∂nlicher oder famili√§rer T√§tigkeiten.

  2. 1Andere Rechtsvorschriften des Bundes √ľber den Datenschutz gehen den Vorschriften dieses Gesetzes vor.¬†2Regeln sie einen Sachverhalt, f√ľr den dieses Gesetz gilt, nicht oder nicht abschlie√üend, finden die Vorschriften dieses Gesetzes Anwendung.¬†3Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unber√ľhrt.
  3. Die Vorschriften dieses Gesetzes gehen denen des Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhalts personenbezogene Daten verarbeitet werden.
  4. 1Dieses Gesetz findet Anwendung auf öffentliche Stellen. 2Auf nichtöffentliche Stellen findet es Anwendung, sofern
    1. der Verantwortliche oder Auftragsverarbeiter personenbezogene Daten im Inland verarbeitet,
    2. die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer inländischen Niederlassung des Verantwortlichen oder Auftragsverarbeiters erfolgt oder
    3. der Verantwortliche oder Auftragsverarbeiter zwar keine Niederlassung in einem Mitgliedstaat der Europ√§ischen Union oder in einem anderen Vertragsstaat des Abkommens √ľber den Europ√§ischen Wirtschaftsraum hat, er aber in den Anwendungsbereich der Verordnung (EU) 2016/679 des Europ√§ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) f√§llt.

    3Sofern dieses Gesetz nicht gem√§√ü Satz 2 Anwendung findet, gelten f√ľr den Verantwortlichen oder Auftragsverarbeiter nur die ¬ß¬ß¬†8¬†bis¬†21,¬†39¬†bis¬†44.

  5. Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweils geltenden Fassung, unmittelbar gilt.
  6. 1Bei Verarbeitungen zu Zwecken gem√§√ü¬†Artikel 2¬†der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens √ľber den Europ√§ischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europ√§ischen Union gleich.¬†2Andere Staaten gelten insoweit als Drittstaaten.
  7. 1Bei Verarbeitungen zu Zwecken gem√§√ü Artikel 1 Absatz 1 der Richtlinie¬†(EU) 2016/680des Europ√§ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten durch die zust√§ndigen Beh√∂rden zum Zweck der Verh√ľtung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des¬†Rahmenbeschlusses 2008/977/JI des Rates¬†(ABl. L 119 vom 4.5.2016, S. 89) stehen die bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands assoziierten Staaten den Mitgliedstaaten der Europ√§ischen Union gleich.¬†2Andere Staaten gelten insoweit als Drittstaaten.
  8. F√ľr Verarbeitungen personenbezogener Daten durch √∂ffentliche Stellen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie¬†(EU) 2016/680¬†fallenden T√§tigkeiten finden die Verordnung (EU) 2016/679 und die Teile 1 und 2 dieses Gesetzes entsprechend Anwendung, soweit nicht in diesem Gesetz oder einem anderen Gesetz Abweichendes geregelt ist.

Kapitel 2 | DSGVO

Grundsätze | Art. 5 bis Art. 11 

 

Grundsätze

 

Art.5 DSGVO Grunds√§tze f√ľr die Verarbeitung personenbezogener Daten
  1. Personenbezogene Daten m√ľssen
    1. auf rechtm√§√üige Weise, nach Treu und Glauben und in einer f√ľr die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚ÄěRechtm√§√üigkeit, Verarbeitung nach Treu und Glauben, Transparenz‚Äú);
    2. f√ľr festgelegte, eindeutige und legitime Zwecke erhoben werden und d√ľrfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung f√ľr im √∂ffentlichen Interesse liegende Archivzwecke, f√ľr wissenschaftliche oder historische Forschungszwecke oder f√ľr statistische Zwecke gilt gem√§√ü¬†Artikel 89¬†Absatz 1 nicht als unvereinbar mit den urspr√ľnglichen Zwecken (‚ÄěZweckbindung‚Äú);
    3. dem Zweck angemessen und erheblich sowie auf das f√ľr die Zwecke der Verarbeitung notwendige Ma√ü beschr√§nkt sein (‚ÄěDatenminimierung‚Äú);
    4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Ma√ünahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverz√ľglich gel√∂scht oder berichtigt werden (‚ÄěRichtigkeit‚Äú);
    5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange erm√∂glicht, wie es f√ľr die Zwecke, f√ľr die sie verarbeitet werden, erforderlich ist; personenbezogene Daten d√ľrfen l√§nger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchf√ľhrung geeigneter technischer und organisatorischer Ma√ünahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschlie√ülich f√ľr im √∂ffentlichen Interesse liegende Archivzwecke oder f√ľr wissenschaftliche und historische Forschungszwecke oder f√ľr statistische Zwecke gem√§√ü¬†Artikel 89¬†Absatz 1 verarbeitet werden (‚ÄěSpeicherbegrenzung‚Äú);
    6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gew√§hrleistet, einschlie√ülich Schutz vor unbefugter oder unrechtm√§√üiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerst√∂rung oder unbeabsichtigter Sch√§digung durch geeignete technische und organisatorische Ma√ünahmen (‚ÄěIntegrit√§t und Vertraulichkeit‚Äú);
  2. Der Verantwortliche ist f√ľr die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen k√∂nnen (‚ÄěRechenschaftspflicht‚Äú).
Art. 5 | Erwägungsgrund 39

(39) Grundsätze der Datenverarbeitung *

  1. Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen.
  2. F√ľr nat√ľrliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und k√ľnftig noch verarbeitet werden.
  3. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.
  4. Dieser Grundsatz betrifft insbesondere die Informationen √ľber die Identit√§t des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen nat√ľrlichen Personen gew√§hrleisten, sowie deren Recht, eine Best√§tigung und Auskunft dar√ľber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden.
  5. Nat√ľrliche Personen sollten √ľber die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und dar√ľber aufgekl√§rt werden, wie sie ihre diesbez√ľglichen Rechte geltend machen k√∂nnen.
  6. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.
  7. Die personenbezogenen Daten sollten f√ľr die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das f√ľr die Zwecke ihrer Verarbeitung notwendige Ma√ü beschr√§nkt sein.
  8. Dies erfordert insbesondere, dass die Speicherfrist f√ľr personenbezogene Daten auf das unbedingt erforderliche Mindestma√ü beschr√§nkt bleibt.
  9. Personenbezogene Daten sollten nur verarbeitet werden d√ľrfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.
  10. Um sicherzustellen, dass die personenbezogenen Daten nicht l√§nger als n√∂tig gespeichert werden, sollte der Verantwortliche Fristen f√ľr ihre L√∂schung oder regelm√§√üige √úberpr√ľfung vorsehen.
  11. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.
  12. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung

(1) 1 Die Verarbeitung ist nur rechtm√§√üig, wenn mindestens eine der nachstehenden Bedingungen erf√ľllt ist:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten f√ľr einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist f√ľr die Erf√ľllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchf√ľhrung vorvertraglicher Ma√ünahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erf√ľllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen nat√ľrlichen Person zu sch√ľtzen;
  5. die Verarbeitung ist f√ľr die Wahrnehmung einer Aufgabe erforderlich, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, √ľberwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2 Unterabsatz 1 Buchstabe f gilt nicht f√ľr die von Beh√∂rden in Erf√ľllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten k√∂nnen spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erf√ľllung von Absatz 1 Buchstaben c und e beibehalten oder einf√ľhren, indem sie spezifische Anforderungen f√ľr die Verarbeitung sowie sonstige Ma√ünahmen pr√§ziser bestimmen, um eine rechtm√§√üig und nach Treu und Glauben erfolgende Verarbeitung zu gew√§hrleisten, einschlie√ülich f√ľr andere besondere Verarbeitungssituationen gem√§√ü Kapitel IX.

(3) 1 Die Rechtsgrundlage f√ľr die Verarbeitungen gem√§√ü Absatz 1 Buchstaben c und e wird festgelegt durch

  1. Unionsrecht oder
  2. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

2 Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gem√§√ü Absatz 1 Buchstabe e f√ľr die Erf√ľllung einer Aufgabe erforderlich sein, die im √∂ffentlichen Interesse liegt oder in Aus√ľbung √∂ffentlicher Gewalt erfolgt, die dem Verantwortlichen √ľbertragen wurde.
3 Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen dar√ľber, welche allgemeinen Bedingungen f√ľr die Regelung der Rechtm√§√üigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und f√ľr welche Zwecke die personenbezogenen Daten offengelegt werden d√ľrfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden d√ľrfen und welche Verarbeitungsvorg√§nge und -verfahren angewandt werden d√ľrfen, einschlie√ülich Ma√ünahmen zur Gew√§hrleistung einer rechtm√§√üig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche f√ľr sonstige besondere Verarbeitungssituationen gem√§√ü Kapitel IX.
4 Das Unionsrecht oder das Recht der Mitgliedstaaten m√ľssen ein im √∂ffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verh√§ltnis zu dem verfolgten legitimen Zweck stehen.

(4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verh√§ltnism√§√üige Ma√ünahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so ber√ľcksichtigt der Verantwortliche ‚Äď um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten urspr√ľnglich erhoben wurden, vereinbar ist ‚Äď unter anderem

  1. jede Verbindung zwischen den Zwecken, f√ľr die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
  2. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
  3. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gem√§√ü Artikel 9 verarbeitet werden oder ob personenbezogene Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü Artikel 10 verarbeitet werden,
  4. die m√∂glichen Folgen der beabsichtigten Weiterverarbeitung f√ľr die betroffenen Personen,
  5. das Vorhandensein geeigneter Garantien, wozu Verschl√ľsselung oder Pseudonymisierung geh√∂ren kann.
Art. 6 |passende Erw√§gungsgr√ľnde

(39) Grundsätze der Datenverarbeitung
(40) Rechtmäßigkeit der Datenverarbeitung
(41) Rechtsgrundlagen und Gesetzgebungsmaßnahmen
(42) Beweislast und Erfordernisse einer Einwilligung
(43) Zwanglose Einwilligung
(44) Vertragserf√ľllung oder -abschluss
(45) Erf√ľllung rechtlicher Pflichten
(46) Lebenswichtige Interessen
(47) √úberwiegende berechtigte Interessen
(48) √úberwiegende berechtigte Interessen in der Unternehmensgruppe
(49) Netz- und Informationssicherheit als √ľberwiegendes berechtigtes Interesse
(50) Weiterverarbeitung
(171) Aufhebung der RL 95/46/EG und √úbergangsbestimmungen

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 6 |Passende Paragraphen des BDSG

Passende Paragraphen des BDSG

§ 3 BDSG Verarbeitung personenbezogener Daten durch öffentliche Stellen

¬ß 4 BDSG Video√ľberwachung √∂ffentlich zug√§nglicher R√§ume

§ 23 BDSG Verarbeitung zu anderen Zwecken durch öffentliche Stellen

§ 24 BDSG Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen

¬ß 25 BDSG Daten√ľbermittlungen durch √∂ffentliche Stellen

¬ß 26 BDSG Datenverarbeitung f√ľr Zwecke des Besch√§ftigungsverh√§ltnisses

§ 27 BDSG Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

¬ß 31 BDSG Schutz des Wirtschaftsverkehrs bei Scoring und Bonit√§tsausk√ľnften

Kapitel 4 | DSGVO

Verantwortlicher und Auftragsverarbeiter

 

Abschnitt 1 | Allgemeine Pflichten Art. 24 bis Art. 31

 

Art. 24 DSGVO Verantwortung des f√ľr die Verarbeitung Verantwortlichen
  1. ¬†(1) Der Verantwortliche setzt unter Ber√ľcksichtigung der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen geeignete technische und organisatorische Ma√ünahmen um, um sicherzustellen und den Nachweis daf√ľr erbringen zu k√∂nnen, dass die Verarbeitung gem√§√ü dieser Verordnung erfolgt.
    (2) Diese Ma√ünahmen werden erforderlichenfalls √ľberpr√ľft und aktualisiert.
  2. Sofern dies in einem angemessenen Verh√§ltnis zu den Verarbeitungst√§tigkeiten steht, m√ľssen die Ma√ünahmen gem√§√ü Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
  3. Die Einhaltung der genehmigten Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erf√ľllung der Pflichten des Verantwortlichen nachzuweisen.

     

Art. 24 | Erwägungsgrund 74

(74) Verantwortung und Haftung des Verantwortlichen *

  1. Die Verantwortung und Haftung des Verantwortlichen f√ľr jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden.
  2. Insbesondere sollte der Verantwortliche geeignete und wirksame Ma√ünahmen treffen m√ľssen und nachweisen k√∂nnen, dass die Verarbeitungst√§tigkeiten im Einklang mit dieser Verordnung stehen und die Ma√ünahmen auch wirksam sind.
  3. Dabei sollte er die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung und das Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ber√ľcksichtigen.

 

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 24 | Erwägungsgrund 75

(75) Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen *

Die Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ‚Äď mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere ‚Äď k√∂nnen aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden f√ľhren k√∂nnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identit√§tsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufsch√§digung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen f√ľhren kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi√∂se oder weltanschauliche √úberzeugungen oder die Zugeh√∂rigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenh√§ngende Sicherungsma√üregeln betreffende Daten verarbeitet werden, wenn pers√∂nliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers√∂nliche Vorlieben oder Interessen, die Zuverl√§ssigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um pers√∂nliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbed√ľrftiger nat√ľrlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine gro√üe Menge personenbezogener Daten und eine gro√üe Anzahl von betroffenen Personen betrifft.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 24 | Erwägungsgrund 76

(76) Risikobewertung *

Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung bestimmt werden.¬†2Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 24 | Erwägungsgrund 77

(77) Leitlinien zur Risikobewertung *

  1. Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Ma√ünahmen durchzuf√ľhren hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Absch√§tzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bew√§hrter Verfahren f√ľr dessen Eind√§mmung betrifft, k√∂nnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden.¬†
  2. Der Ausschuss kann ferner Leitlinien f√ľr Verarbeitungsvorg√§nge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen, und angeben, welche Abhilfema√ünahmen in diesen F√§llen ausreichend sein k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  1. Unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel f√ľr die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Ma√ünahmen ‚Äď wie z. B. Pseudonymisierung ‚Äď, die daf√ľr ausgelegt sind, die Datenschutzgrunds√§tze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu gen√ľgen und die Rechte der betroffenen Personen zu sch√ľtzen.
  2. 1Der Verantwortliche trifft geeignete technische und organisatorische Ma√ünahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung f√ľr den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.¬†2Diese Verpflichtung gilt f√ľr die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zug√§nglichkeit.¬†3Solche Ma√ünahmen m√ľssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von nat√ľrlichen Personen zug√§nglich gemacht werden.
  3. Ein genehmigtes Zertifizierungsverfahren gem√§√ü¬†Artikel 42¬†kann als Faktor herangezogen werden, um die Erf√ľllung der in den Abs√§tzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
Art. 25 | Erwägungsgrund 78

(78) Geeignete technische und organisatorische Maßnahmen*

1Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten nat√ľrlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Ma√ünahmen getroffen werden, damit die Anforderungen dieser Verordnung erf√ľllt werden.¬†2Um die Einhaltung dieser Verordnung nachweisen zu k√∂nnen, sollte der Verantwortliche interne Strategien festlegen und Ma√ünahmen ergreifen, die insbesondere den Grunds√§tzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Gen√ľge tun.¬†3Solche Ma√ünahmen k√∂nnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie m√∂glich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person erm√∂glicht wird, die Verarbeitung personenbezogener Daten zu √ľberwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.¬†4In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erf√ľllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu ber√ľcksichtigen und unter geb√ľhrender Ber√ľcksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.¬†5Den Grunds√§tzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei √∂ffentlichen Ausschreibungen Rechnung getragen werden.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 26 DSGVO Gemeinsam Verantwortliche
  1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.¬†2Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gem√§√ü dieser Verordnung erf√ľllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gem√§√ü den¬†Artikeln 13 und¬†14¬†nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.¬†3In der Vereinbarung kann eine Anlaufstelle f√ľr die betroffenen Personen angegeben werden.
  2. 1Die Vereinbarung gem√§√ü Absatz 1 muss die jeweiligen tats√§chlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegen√ľber betroffenen Personen geb√ľhrend widerspiegeln.¬†2Das wesentliche der Vereinbarung wird der betroffenen Person zur Verf√ľgung gestellt.
  3. Ungeachtet der Einzelheiten der Vereinbarung gem√§√ü Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegen√ľber jedem einzelnen der Verantwortlichen geltend machen.
Art. 26 | Erwägungsgrund 79

(79) Zuteilung der Verantwortlichkeit*

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bez√ľglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es ‚Äď auch mit Blick auf die √úberwachungs- und sonstigen Ma√ünahmen von Aufsichtsbeh√∂rden ‚Äď einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschlie√ülich der F√§lle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgef√ľhrt wird.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 27 DSGVO Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
  1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
  2. Diese Pflicht gilt nicht f√ľr
    1. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des¬†Artikels 9¬†Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des¬†Artikels 10¬†einschlie√üt und unter Ber√ľcksichtigung der Art, der Umst√§nde, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt, oder
    2. Behörden oder öffentliche Stellen.
  3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
  4. Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zus√§tzlich zu diesem oder an seiner Stelle insbesondere f√ľr Aufsichtsbeh√∂rden und betroffene Personen bei s√§mtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gew√§hrleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
  5. Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.
Art. 27 | Erwägungsgrund 80

(80) Benennung eines Vertreters*

1Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungst√§tigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten ‚Äď unabh√§ngig davon, ob von der betroffenen Person eine Zahlung verlangt wird ‚Äď oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen m√ľssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schlie√üt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten ein und bringt unter Ber√ľcksichtigung ihrer Art, ihrer Umst√§nde, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Beh√∂rde oder √∂ffentliche Stelle.¬†2Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters t√§tig werden und den Aufsichtsbeh√∂rden als Anlaufstelle dienen.¬†3Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdr√ľcklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln.¬†4Die Benennung eines solchen Vertreters ber√ľhrt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Ma√ügabe dieser Verordnung.¬†5Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausf√ľhren und insbesondere mit den zust√§ndigen Aufsichtsbeh√∂rden in Bezug auf Ma√ünahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten.¬†6Bei Verst√∂√üen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 28 DSGVO Auftragsverarbeiter
  1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien daf√ľr bieten, dass geeignete technische und organisatorische Ma√ünahmen so durchgef√ľhrt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gew√§hrleistet.
  2. 1Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.¬†2Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer √ľber jede beabsichtigte √Ąnderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die M√∂glichkeit erh√§lt, gegen derartige √Ąnderungen Einspruch zu erheben.
  3. 1Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. 2Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
    1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen ‚Äď auch in Bezug auf die √úbermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation ‚Äď verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen √∂ffentlichen Interesses verbietet;
    2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
    3. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
    4. die in den Abs√§tzen 2 und 4 genannten Bedingungen f√ľr die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einh√§lt;
    5. angesichts der Art der Verarbeitung den Verantwortlichen nach M√∂glichkeit mit geeigneten technischen und organisatorischen Ma√ünahmen dabei unterst√ľtzt, seiner Pflicht zur Beantwortung von Antr√§gen auf Wahrnehmung der in¬†Kapitel III¬†genannten Rechte der betroffenen Person nachzukommen;
    6. unter Ber√ľcksichtigung der Art der Verarbeitung und der ihm zur Verf√ľgung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den¬†Artikeln 32¬†bis¬†36genannten Pflichten unterst√ľtzt;
    7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder l√∂scht oder zur√ľckgibt und die vorhandenen Kopien l√∂scht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
    8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verf√ľgung stellt und √úberpr√ľfungen ‚Äď einschlie√ülich Inspektionen ‚Äď, die vom Verantwortlichen oder einem anderen von diesem beauftragten Pr√ľfer durchgef√ľhrt werden, erm√∂glicht und dazu beitr√§gt.

    Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverz√ľglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verst√∂√üt.

  4. 1Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungst√§tigkeiten im Namen des Verantwortlichen auszuf√ľhren, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gem√§√ü Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien daf√ľr geboten werden muss, dass die geeigneten technischen und organisatorischen Ma√ünahmen so durchgef√ľhrt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt.¬†2Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegen√ľber dem Verantwortlichen f√ľr die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
  5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
  6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
  7. Die Kommission kann im Einklang mit dem Pr√ľfverfahren gem√§√ü¬†Artikel 93¬†Absatz 2 Standardvertragsklauseln zur Regelung der in den Abs√§tzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
  8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
  9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
  10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
Art. 28 | Erwägungsgrund 81

(81) Heranziehung eines Auftragsverarbeiters*

1Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungst√§tigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die ‚Äď insbesondere im Hinblick auf Fachwissen, Zuverl√§ssigkeit und Ressourcen ‚Äď hinreichende Garantien daf√ľr bieten, dass technische und organisatorische Ma√ünahmen ‚Äď auch f√ľr die Sicherheit der Verarbeitung ‚Äď getroffen werden, die den Anforderungen dieser Verordnung gen√ľgen.¬†2Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erf√ľllung der Pflichten des Verantwortlichen nachzuweisen.¬†3Die Durchf√ľhrung einer Verarbeitung durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko f√ľr die Rechte und Freiheiten der betroffenen Person zu ber√ľcksichtigen sind.¬†4Der Verantwortliche und der Auftragsverarbeiter k√∂nnen entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Koh√§renzverfahren von einer Aufsichtsbeh√∂rde angenommen und dann von der Kommission erlassen wurden.¬†5Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zur√ľckgeben oder l√∂schen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 29 DSGVO Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, d√ľrfen diese Daten ausschlie√ülich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten
  1. 1Jeder Verantwortliche und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis aller Verarbeitungst√§tigkeiten, die ihrer Zust√§ndigkeit unterliegen.¬†2Dieses Verzeichnis enth√§lt s√§mtliche folgenden Angaben:
    1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    2. die Zwecke der Verarbeitung;
    3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
    4. die Kategorien von Empf√§ngern, gegen√ľber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschlie√ülich Empf√§nger in Drittl√§ndern oder internationalen Organisationen;
    5. gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in¬†Artikel 49¬†Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien;
    6. wenn m√∂glich, die vorgesehenen Fristen f√ľr die L√∂schung der verschiedenen Datenkategorien;
    7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter f√ľhren ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgef√ľhrten T√§tigkeiten der Verarbeitung, die Folgendes enth√§lt:
    1. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
    2. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgef√ľhrt werden;
    3. gegebenenfalls √úbermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschlie√ülich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in¬†Artikel 49¬†Absatz 1 Unterabsatz 2 genannten Daten√ľbermittlungen die Dokumentierung geeigneter Garantien;
    4. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
  3. Das in den Abs√§tzen 1 und 2 genannte Verzeichnis ist schriftlich zu f√ľhren, was auch in einem elektronischen Format erfolgen kann.
  4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbeh√∂rde das Verzeichnis auf Anfrage zur Verf√ľgung.
  5. Die in den Abs√§tzen 1 und 2 genannten Pflichten gelten nicht f√ľr Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter besch√§ftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gem√§√ü¬†Artikel 9¬†Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten im Sinne des¬†Artikels 10.

 

Art. 30 | Erwägungsgrund 13

(13) Ber√ľcksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen*

1Damit in der Union ein gleichm√§√üiges Datenschutzniveau f√ľr nat√ľrliche Personen gew√§hrleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern k√∂nnten, beseitigt werden, ist eine Verordnung erforderlich, die f√ľr die Wirtschaftsteilnehmer einschlie√ülich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, nat√ľrliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zust√§ndigkeiten f√ľr die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichm√§√üige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbeh√∂rden der einzelnen Mitgliedstaaten gew√§hrleistet.¬†2Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gr√ľnden des Schutzes nat√ľrlicher Personen bei der Verarbeitung personenbezogener Daten eingeschr√§nkt oder verboten wird.¬†3Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enth√§lt diese Verordnung eine abweichende Regelung hinsichtlich des F√ľhrens eines Verzeichnisses f√ľr Einrichtungen, die weniger als 250 Mitarbeiter besch√§ftigen.¬†4Au√üerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbeh√∂rden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bed√ľrfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu ber√ľcksichtigen.¬†5F√ľr die Definition des Begriffs ‚ÄěKleinstunternehmen sowie kleine und mittlere Unternehmen‚Äú sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission¬Ļ ma√ügebend sein.

¬Ļ Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C (2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36).

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 30 | Erwägungsgrund 82

(82) Verzeichnis der Verarbeitungstätigkeiten*

1Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungst√§tigkeiten, die seiner Zust√§ndigkeit unterliegen, f√ľhren.¬†2Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbeh√∂rde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorg√§nge anhand dieser Verzeichnisse kontrolliert werden k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 31 DSGVO Zusammenarbeit mit der Aufsichtsbehörde

Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbeh√∂rde bei der Erf√ľllung ihrer Aufgaben zusammen.

Art. 31 | Erwägungsgrund 82

(82) Verzeichnis der Verarbeitungstätigkeiten*

1Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungst√§tigkeiten, die seiner Zust√§ndigkeit unterliegen, f√ľhren.¬†2Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbeh√∂rde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorg√§nge anhand dieser Verzeichnisse kontrolliert werden k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 32 DSGVO Sicherheit der Verarbeitung

(1) Unter Ber√ľcksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Ma√ünahmen, um ein dem Risiko angemessenes Schutzniveau zu gew√§hrleisten; diese Ma√ünahmen schlie√üen gegebenenfalls unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschl√ľsselung personenbezogener Daten;
  2. die F√§higkeit, die Vertraulichkeit, Integrit√§t, Verf√ľgbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die F√§higkeit, die Verf√ľgbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelm√§√üigen √úberpr√ľfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Ma√ünahmen zur Gew√§hrleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu ber√ľcksichtigen, die mit der Verarbeitung ‚Äď insbesondere durch Vernichtung, Verlust oder Ver√§nderung, ob unbeabsichtigt oder unrechtm√§√üig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die √ľbermittelt, gespeichert oder auf andere Weise verarbeitet wurden ‚Äď verbunden sind.

(3) Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gem√§√ü Artikel 42 kann als Faktor herangezogen werden, um die Erf√ľllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

(4)¬†Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte nat√ľrliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Art. 32 | Erwägungsgrund 76

(76) Risikobewertung *

Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung bestimmt werden.¬†2Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 32 | Erwägungsgrund 77

(77) Leitlinien zur Risikobewertung *

  1. Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Ma√ünahmen durchzuf√ľhren hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Absch√§tzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bew√§hrter Verfahren f√ľr dessen Eind√§mmung betrifft, k√∂nnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden.¬†
  2. Der Ausschuss kann ferner Leitlinien f√ľr Verarbeitungsvorg√§nge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen, und angeben, welche Abhilfema√ünahmen in diesen F√§llen ausreichend sein k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 32 | Erwägungsgrund 78 Geeignete technische und organisatorische Maßnahmen

(78) Erwägungsgrund 78 Geeignete technische und organisatorische Maßnahmen *

1Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten nat√ľrlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Ma√ünahmen getroffen werden, damit die Anforderungen dieser Verordnung erf√ľllt werden.
2Um die Einhaltung dieser Verordnung nachweisen zu k√∂nnen, sollte der Verantwortliche interne Strategien festlegen und Ma√ünahmen ergreifen, die insbesondere den Grunds√§tzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Gen√ľge tun.
3Solche Ma√ünahmen k√∂nnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie m√∂glich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person erm√∂glicht wird, die Verarbeitung personenbezogener Daten zu √ľberwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.
4In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erf√ľllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu ber√ľcksichtigen und unter geb√ľhrender Ber√ľcksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
5Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 32 | Erwägungsgrund 79 Zuteilung der Verantwortlichkeit

(79) Erwägungsgrund 79 Zuteilung der Verantwortlichkeit *

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bez√ľglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es ‚Äď auch mit Blick auf die √úberwachungs- und sonstigen Ma√ünahmen von Aufsichtsbeh√∂rden ‚Äď einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschlie√ülich der F√§lle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgef√ľhrt wird.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 32 | Erwägungsgrund 83 Sicherheit der Verarbeitung*

(83) Erwägungsgrund 83 Sicherheit der Verarbeitung* *

1Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung versto√üende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Ma√ünahmen zu ihrer Eind√§mmung, wie etwa eine Verschl√ľsselung, treffen.
2Diese Ma√ünahmen sollten unter Ber√ľcksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau ‚Äď auch hinsichtlich der Vertraulichkeit ‚Äď gew√§hrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu sch√ľtzenden personenbezogenen Daten angemessen ist.
3Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken ber√ľcksichtigt werden, wie etwa ‚Äď ob unbeabsichtigt oder unrechtm√§√üig ‚Äď Vernichtung, Verlust, Ver√§nderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die √ľbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden f√ľhren k√∂nnte.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) 1Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverz√ľglich und m√∂glichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gem√§√ü Artikel 55 zust√§ndigen Aufsichtsbeh√∂rde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt. 2Erfolgt die Meldung an die Aufsichtsbeh√∂rde nicht binnen 72 Stunden, so ist ihr eine Begr√ľndung f√ľr die Verz√∂gerung beizuf√ľgen.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverz√ľglich.

(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle f√ľr weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden k√∂nnen, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verz√∂gerung schrittweise zur Verf√ľgung stellen.

(5) 1Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschlie√ülich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfema√ünahmen. 2Diese Dokumentation erm√∂glicht der Aufsichtsbeh√∂rde die √úberpr√ľfung der Einhaltung der Bestimmungen dieses Artikels.

Art. 33 | (85) Meldepflicht von Verletzungen an die Aufsichtsbehörde

(85) Meldepflicht von Verletzungen an die Aufsichtsbehörde *

1Eine Verletzung des Schutzes personenbezogener Daten kann ‚Äď wenn nicht rechtzeitig und angemessen reagiert wird ‚Äď einen physischen, materiellen oder immateriellen Schaden f√ľr nat√ľrliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle √ľber ihre personenbezogenen Daten oder Einschr√§nkung ihrer Rechte, Diskriminierung, Identit√§tsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufsch√§digung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile f√ľr die betroffene nat√ľrliche Person. 2Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbeh√∂rde von der Verletzung des Schutzes personenbezogener Daten unverz√ľglich und, falls m√∂glich, binnen h√∂chstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt. 3Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gr√ľnde f√ľr die Verz√∂gerung angegeben werden m√ľssen, und die Informationen k√∂nnen schrittweise ohne unangemessene weitere Verz√∂gerung bereitgestellt werden.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 33 | (87) Unverz√ľglichkeit der Meldung/Benachrichtigung

(87) Unverz√ľglichkeit der Meldung/Benachrichtigung *

Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Ma√ünahmen getroffen wurden, um sofort feststellen zu k√∂nnen, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbeh√∂rde und die betroffene Person umgehend unterrichten zu k√∂nnen. 2Bei der Feststellung, ob die Meldung unverz√ľglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen f√ľr die betroffene Person ber√ľcksichtigt werden. 3Die entsprechende Meldung kann zu einem T√§tigwerden der Aufsichtsbeh√∂rde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen f√ľhren.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 33 | Erwägungsgrund 88 Format und Verfahren der Meldung

(88)  Format und Verfahren der Meldung*

1Bei der detaillierten Regelung des Formats und der Verfahren f√ľr die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umst√§nde der Verletzung hinreichend ber√ľcksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen gesch√ľtzt waren, die die Wahrscheinlichkeit eines Identit√§tsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. 2√úberdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbeh√∂rden in F√§llen Rechnung tragen, in denen die Untersuchung der Umst√§nde einer Verletzung des Schutzes personenbezogener Daten durch eine fr√ľhzeitige Offenlegung in unn√∂tiger Weise behindert w√ľrde.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
  1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverz√ľglich von der Verletzung.
  2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.
  3. Die Benachrichtigung der betroffenen Person gem√§√ü Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erf√ľllt ist:
    1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten f√ľr alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzug√§nglich gemacht werden, etwa durch Verschl√ľsselung,
    2. der Verantwortliche durch nachfolgende Ma√ünahmen sichergestellt hat, dass das hohe Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen gem√§√ü Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
    3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
  4. Wenn der Verantwortliche die betroffene Person nicht bereits √ľber die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbeh√∂rde unter Ber√ľcksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko f√ľhrt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erf√ľllt sind.
Art. 33 | (86) Benachrichtigung von Verletzungen an die Betroffenen*

(86) Benachrichtigung von Verletzungen an die Betroffenen*

1Der f√ľr die Verarbeitung Verantwortliche sollte die betroffene Person unverz√ľglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko f√ľr die pers√∂nlichen Rechte und Freiheiten nat√ľrlicher Personen f√ľhrt, damit diese die erforderlichen Vorkehrungen treffen k√∂nnen.¬†2Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene nat√ľrliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten.¬†3Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen m√∂glich, in enger Absprache mit der Aufsichtsbeh√∂rde und nach Ma√ügabe der von dieser oder von anderen zust√§ndigen Beh√∂rden wie beispielsweise Strafverfolgungsbeh√∂rden erteilten Weisungen erfolgen.¬†4Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu k√∂nnen, m√ľssten betroffene Personen sofort benachrichtigt werden, wohingegen eine l√§ngere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Ma√ünahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 33 | (87) Unverz√ľglichkeit der Meldung/Benachrichtigung

(87) Unverz√ľglichkeit der Meldung/Benachrichtigung *

Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Ma√ünahmen getroffen wurden, um sofort feststellen zu k√∂nnen, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbeh√∂rde und die betroffene Person umgehend unterrichten zu k√∂nnen. 2Bei der Feststellung, ob die Meldung unverz√ľglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen f√ľr die betroffene Person ber√ľcksichtigt werden. 3Die entsprechende Meldung kann zu einem T√§tigwerden der Aufsichtsbeh√∂rde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen f√ľhren.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 33 | Erwägungsgrund 88 Format und Verfahren der Meldung

(88)  Format und Verfahren der Meldung*

1Bei der detaillierten Regelung des Formats und der Verfahren f√ľr die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umst√§nde der Verletzung hinreichend ber√ľcksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen gesch√ľtzt waren, die die Wahrscheinlichkeit eines Identit√§tsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. 2√úberdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbeh√∂rden in F√§llen Rechnung tragen, in denen die Untersuchung der Umst√§nde einer Verletzung des Schutzes personenbezogener Daten durch eine fr√ľhzeitige Offenlegung in unn√∂tiger Weise behindert w√ľrde.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 34 I (§29) Passender Paragraph des BDSG

§ 29 BDSGRechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten

  1. 1Die Pflicht zur Information der betroffenen Person gem√§√ü¬†Artikel 14¬†Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht erg√§nzend zu den in¬†Artikel 14¬†Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit durch ihre Erf√ľllung Informationen offenbart w√ľrden, die ihrem Wesen nach, insbesondere wegen der √ľberwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m√ľssen.¬†2Das Recht auf Auskunft der betroffenen Person gem√§√ü¬†Artikel 15¬†der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart w√ľrden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der √ľberwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m√ľssen.¬†3Die Pflicht zur Benachrichtigung gem√§√ü¬†Artikel 34¬†der Verordnung (EU) 2016/679 besteht erg√§nzend zu der in¬†Artikel 34¬†Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart w√ľrden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der √ľberwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden m√ľssen.¬†4Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach¬†Artikel 34¬†der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Ber√ľcksichtigung drohender Sch√§den, gegen√ľber dem Geheimhaltungsinteresse √ľberwiegen.
  2. Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverh√§ltnisses an einen Berufsgeheimnistr√§ger √ľbermittelt, so besteht die Pflicht der √ľbermittelnden Stelle zur Information der betroffenen Person gem√§√ü¬†Artikel 13¬†Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der betroffenen Person an der Informationserteilung √ľberwiegt.
  3. 1Gegen√ľber den in¬†¬ß 203¬†Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbeh√∂rden gem√§√ü¬†Artikel 58¬†Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Versto√ü gegen die Geheimhaltungspflichten dieser Personen f√ľhren w√ľrde.¬†2Erlangt eine Aufsichtsbeh√∂rde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch f√ľr die Aufsichtsbeh√∂rde
Art. 35 DSGVO Datenschutz-Folgenabschätzung
  1. 1Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen zur Folge, so f√ľhrt der Verantwortliche vorab eine Absch√§tzung der Folgen der vorgesehenen Verarbeitungsvorg√§nge f√ľr den Schutz personenbezogener Daten durch.¬†2F√ľr die Untersuchung mehrerer √§hnlicher Verarbeitungsvorg√§nge mit √§hnlich hohen Risiken kann eine einzige Absch√§tzung vorgenommen werden.
  2. Der Verantwortliche holt bei der Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
    1. systematische und umfassende Bewertung pers√∂nlicher Aspekte nat√ľrlicher Personen, die sich auf automatisierte Verarbeitung einschlie√ülich Profiling gr√ľndet und die ihrerseits als Grundlage f√ľr Entscheidungen dient, die Rechtswirkung gegen√ľber nat√ľrlichen Personen entfalten oder diese in √§hnlich erheblicher Weise beeintr√§chtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem√§√ü¬†Artikel 9¬†Absatz 1 oder von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü¬†Artikel 10¬†oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  4. 1Die Aufsichtsbeh√∂rde erstellt eine Liste der Verarbeitungsvorg√§nge, f√ľr die gem√§√ü Absatz 1 eine Datenschutz-Folgenabsch√§tzung durchzuf√ľhren ist, und ver√∂ffentlicht diese.¬†2Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem in¬†Artikel 68¬†genannten Ausschuss.
  5. 1Die Aufsichtsbeh√∂rde kann des Weiteren eine Liste der Arten von Verarbeitungsvorg√§ngen erstellen und ver√∂ffentlichen, f√ľr die keine Datenschutz-Folgenabsch√§tzung erforderlich ist.¬†2Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem Ausschuss.
  6. Vor Festlegung der in den Abs√§tzen 4 und 5 genannten Listen wendet die zust√§ndige Aufsichtsbeh√∂rde das Koh√§renzverfahren gem√§√ü¬†Artikel 63¬†an, wenn solche Listen Verarbeitungst√§tigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen f√ľr betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeintr√§chtigen k√∂nnten.
  7. Die Folgenabschätzung enthält zumindest Folgendes:
    1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    3. eine Bewertung der Risiken f√ľr die Rechte und Freiheiten der betroffenen Personen gem√§√ü Absatz 1 und
    4. die zur Bew√§ltigung der Risiken geplanten Abhilfema√ünahmen, einschlie√ülich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis daf√ľr erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
  8. Die Einhaltung genehmigter Verhaltensregeln gem√§√ü¬†Artikel 40¬†durch die zust√§ndigen Verantwortlichen oder die zust√§ndigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgef√ľhrten Verarbeitungsvorg√§nge, insbesondere f√ľr die Zwecke einer Datenschutz-Folgenabsch√§tzung, geb√ľhrend zu ber√ľcksichtigen.
  9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
  10. Falls die Verarbeitung gem√§√ü¬†Artikel 6¬†Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorg√§nge regeln und bereits im Rahmen der allgemeinen Folgenabsch√§tzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabsch√§tzung erfolgte, gelten die Abs√§tze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungst√§tigkeiten eine solche Folgenabsch√§tzung durchzuf√ľhren.
  11. Erforderlichenfalls f√ľhrt der Verantwortliche eine √úberpr√ľfung durch, um zu bewerten, ob die Verarbeitung gem√§√ü der Datenschutz-Folgenabsch√§tzung durchgef√ľhrt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorg√§ngen verbundenen Risikos √Ąnderungen eingetreten sind.
  12.  
Art. 35 | Erwägungsgrund 75

(75) Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen *

Die Risiken f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ‚Äď mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere ‚Äď k√∂nnen aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden f√ľhren k√∂nnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identit√§tsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufsch√§digung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen f√ľhren kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi√∂se oder weltanschauliche √úberzeugungen oder die Zugeh√∂rigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenh√§ngende Sicherungsma√üregeln betreffende Daten verarbeitet werden, wenn pers√∂nliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers√∂nliche Vorlieben oder Interessen, die Zuverl√§ssigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um pers√∂nliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbed√ľrftiger nat√ľrlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine gro√üe Menge personenbezogener Daten und eine gro√üe Anzahl von betroffenen Personen betrifft.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (84) Risikoevaluierung und Folgenabschätzung*

(84) Risikoevaluierung und Folgenabschätzung*

1Damit diese Verordnung in F√§llen, in denen die Verarbeitungsvorg√§nge wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche f√ľr die Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein.¬†2Die Ergebnisse der Absch√§tzung sollten ber√ľcksichtigt werden, wenn dar√ľber entschieden wird, welche geeigneten Ma√ünahmen ergriffen werden m√ľssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht.¬†3Geht aus einer Datenschutz-Folgenabsch√§tzung hervor, dass Verarbeitungsvorg√§nge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Ma√ünahmen in Bezug auf verf√ľgbare Technik und Implementierungskosten eind√§mmen kann, so sollte die Aufsichtsbeh√∂rde vor der Verarbeitung konsultiert werden.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (89) Entfall der generellen Meldepflicht*

(89) Entfall der generellen Meldepflicht*

1Gem√§√ü der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbeh√∂rden generell meldepflichtig.¬†2Diese Meldepflicht ist mit einem b√ľrokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen F√§llen zu einem besseren Schutz personenbezogener Daten gef√ľhrt.¬†3Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorg√§ngen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umst√§nde und ihrer Zwecke wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen.¬†4Zu solchen Arten von Verarbeitungsvorg√§ngen geh√∂ren insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabsch√§tzung durchgef√ľhrt hat bzw. bei denen aufgrund der seit der urspr√ľnglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabsch√§tzung notwendig geworden ist.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (90) Datenschutz-Folgenabschätzung*

(90) Datenschutz-Folgenabschätzung*

1In derartigen F√§llen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabsch√§tzung durchf√ľhren, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Ber√ľcksichtigung der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden.¬†2Diese Folgenabsch√§tzung sollte sich insbesondere mit den Ma√ünahmen, Garantien und Verfahren befassen, durch die dieses Risiko einged√§mmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (91) Erforderlichkeit einer Datenschutz-Folgenabschätzung*

(91) Erforderlichkeit einer Datenschutz-Folgenabschätzung*

1Dies sollte insbesondere f√ľr umfangreiche Verarbeitungsvorg√§nge gelten, die dazu dienen, gro√üe Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine gro√üe Zahl von Personen betreffen k√∂nnten und ‚Äď beispielsweise aufgrund ihrer Sensibilit√§t ‚Äď wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in gro√üem Umfang eine neue Technologie eingesetzt wird, sowie f√ľr andere Verarbeitungsvorg√§nge, die ein hohes Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorg√§nge den betroffenen Personen die Aus√ľbung ihrer Rechte erschweren.¬†2Eine Datenschutz-Folgenabsch√§tzung sollte auch durchgef√ľhrt werden, wenn die personenbezogenen Daten f√ľr das Treffen von Entscheidungen in Bezug auf bestimmte nat√ľrliche Personen im Anschluss an eine systematische und eingehende Bewertung pers√∂nlicher Aspekte nat√ľrlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten sowie damit zusammenh√§ngende Sicherungsma√üregeln verarbeitet werden.¬†3Gleicherma√üen erforderlich ist eine Datenschutz-Folgenabsch√§tzung f√ľr die weitr√§umige √úberwachung √∂ffentlich zug√§nglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder f√ľr alle anderen Vorg√§nge, bei denen nach Auffassung der zust√§ndigen Aufsichtsbeh√∂rde die Verarbeitung wahrscheinlich ein hohes Risiko f√ľr die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Aus√ľbung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchf√ľhrung eines Vertrags hindern oder weil sie systematisch in gro√üem Umfang erfolgen.¬†4Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angeh√∂rigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.¬†5In diesen F√§llen sollte eine Datenschutz-Folgenabsch√§tzung nicht zwingend vorgeschrieben sein.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (92) Thematische Datenschutz-Folgenabschätzung*

(92) Thematische Datenschutz-Folgenabschätzung*

Unter bestimmten Umst√§nden kann es vern√ľnftig und unter √∂konomischen Gesichtspunkten zweckm√§√üig sein, eine Datenschutz-Folgenabsch√§tzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen ‚Äď beispielsweise wenn Beh√∂rden oder √∂ffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen m√∂chten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung f√ľr einen gesamten Wirtschaftssektor, f√ľr ein bestimmtes Marktsegment oder f√ľr eine weit verbreitete horizontale T√§tigkeit einf√ľhren m√∂chten.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 35 | (93) Datenschutz-Folgenabschätzung bei Behörden*

(93) Datenschutz-Folgenabschätzung bei Behörden*

Anl√§sslich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Beh√∂rde oder √∂ffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorg√§ngen regelt, k√∂nnen die Mitgliedstaaten es f√ľr erforderlich erachten, solche Folgeabsch√§tzungen vor den Verarbeitungsvorg√§ngen durchzuf√ľhren.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 36 DSGVO Vorherige Konsultation
  1. Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
  2. 1Falls die Aufsichtsbeh√∂rde der Auffassung ist, dass die geplante Verarbeitung gem√§√ü Absatz 1 nicht im Einklang mit dieser Verordnung st√ľnde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend einged√§mmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in¬†Artikel 58genannten Befugnisse aus√ľben.¬†2Diese Frist kann unter Ber√ľcksichtigung der Komplexit√§t der geplanten Verarbeitung um sechs Wochen verl√§ngert werden.¬†3Die Aufsichtsbeh√∂rde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter √ľber eine solche Fristverl√§ngerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gr√ľnden f√ľr die Verz√∂gerung.¬†4Diese Fristen k√∂nnen ausgesetzt werden, bis die Aufsichtsbeh√∂rde die f√ľr die Zwecke der Konsultation angeforderten Informationen erhalten hat.
  3. Der Verantwortliche stellt der Aufsichtsbeh√∂rde bei einer Konsultation gem√§√ü Absatz 1 folgende Informationen zur Verf√ľgung:
    1. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
    2. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
    3. die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
    4. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    5. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
    6. alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
  4. Die Mitgliedstaaten konsultieren die Aufsichtsbeh√∂rde bei der Ausarbeitung eines Vorschlags f√ľr von einem nationalen Parlament zu erlassende Gesetzgebungsma√ünahmen oder von auf solchen Gesetzgebungsma√ünahmen basierenden Regelungsma√ünahmen, die die Verarbeitung betreffen.
  5. Ungeachtet des Absatzes 1 k√∂nnen Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erf√ľllung einer im √∂ffentlichen Interesse liegenden Aufgabe, einschlie√ülich der Verarbeitung zu Zwecken der sozialen Sicherheit und der √∂ffentlichen Gesundheit, die Aufsichtsbeh√∂rde zu konsultieren und deren vorherige Genehmigung einzuholen.
Art. 36 | (94) Konsultierung der Aufsichtsbehörde*

(94) Konsultierung der Aufsichtsbehörde*

1Geht aus einer Datenschutz-Folgenabsch√§tzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen mit sich bringen w√ľrde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verf√ľgbare Technologien und Implementierungskosten vertretbare Mittel einged√§mmt werden kann, so sollte die Aufsichtsbeh√∂rde vor Beginn der Verarbeitungst√§tigkeiten konsultiert werden.¬†2Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der H√§ufigkeit der Verarbeitung verbunden, die f√ľr nat√ľrliche Personen auch eine Sch√§digung oder eine Beeintr√§chtigung der pers√∂nlichen Rechte und Freiheiten mit sich bringen k√∂nnen.¬†3Die Aufsichtsbeh√∂rde sollte das Beratungsersuchen innerhalb einer bestimmten Frist beantworten.¬†4Allerdings kann sie, auch wenn sie nicht innerhalb dieser Frist reagiert hat, entsprechend ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschlie√üt, Verarbeitungsvorg√§nge zu untersagen.¬†5Im Rahmen dieses Konsultationsprozesses kann das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgef√ľhrten Datenschutz-Folgenabsch√§tzung der Aufsichtsbeh√∂rde unterbreitet werden; dies gilt insbesondere f√ľr die zur Eind√§mmung des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen geplanten Ma√ünahmen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 36 | (95) Unterst√ľtzung durch den Auftragsverarbeiter*

(95) Unterst√ľtzung durch den Auftragsverarbeiter*

Der Auftragsverarbeiter sollte erforderlichenfalls den Verantwortlichen auf Anfrage bei der Gew√§hrleistung der Einhaltung der sich aus der Durchf√ľhrung der Datenschutz-Folgenabsch√§tzung und der vorherigen Konsultation der Aufsichtsbeh√∂rde ergebenden Auflagen unterst√ľtzen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 36 | (96) Konsultierung der Aufsichtsbehörde im Zuge eines Gesetzgebungsprozesses*

(96) Konsultierung der Aufsichtsbehörde im Zuge eines Gesetzgebungsprozesses*

Eine Konsultation der Aufsichtsbeh√∂rde sollte auch w√§hrend der Ausarbeitung von Gesetzes- oder Regelungsvorschriften, in denen eine Verarbeitung personenbezogener Daten vorgesehen ist, erfolgen, um die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sicherzustellen und insbesondere das mit ihr f√ľr die betroffene Person verbundene Risiko einzud√§mmen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 37 DSGVO Benennung eines Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Beh√∂rde oder √∂ffentlichen Stelle durchgef√ľhrt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen T√§tigkeit handeln,
  2. die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchf√ľhrung von Verarbeitungsvorg√§ngen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelm√§√üige und systematische √úberwachung von betroffenen Personen erforderlich machen, oder
  3. die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem√§√ü¬†Artikel 9¬†oder von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü¬†Artikel 10¬†besteht.


(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Beh√∂rde oder √∂ffentliche Stelle handelt, kann f√ľr mehrere solcher Beh√∂rden oder Stellen unter Ber√ľcksichtigung ihrer Organisationsstruktur und ihrer Gr√∂√üe ein gemeinsamer Datenschutzbeauftragter benannt werden.

(4)1In anderen als den in Absatz 1 genannten F√§llen k√∂nnen der Verantwortliche oder der Auftragsverarbeiter oder Verb√§nde und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, m√ľssen sie einen solchen benennen.¬†2Der Datenschutzbeauftragte kann f√ľr derartige Verb√§nde und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner F√§higkeit zur Erf√ľllung der in Artikel 39¬†genannten Aufgaben.

(6) Der Datenschutzbeauftragte kann Besch√§ftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erf√ľllen.

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Art. 37 | Erwägungsgrund 97

(97) Datenschutzbeuftragter *

  1. In F√§llen, in denen die Verarbeitung durch eine Beh√∂rde ‚Äď mit Ausnahmen von Gerichten oder unabh√§ngigen Justizbeh√∂rden, die im Rahmen ihrer justiziellen T√§tigkeit handeln ‚Äď, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kernt√§tigkeit in Verarbeitungsvorg√§ngen besteht, die eine regelm√§√üige und systematische √úberwachung der betroffenen Personen in gro√üem Umfang erfordern, oder wenn die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der √úberwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die √ľber Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verf√ľgt, unterst√ľtzt werden Im privaten Sektor bezieht sich die Kernt√§tigkeit eines Verantwortlichen auf seine Hauptt√§tigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebent√§tigkeit.
  2. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgef√ľhrten Datenverarbeitungsvorg√§ngen und dem erforderlichen Schutz f√ľr die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.
  3. Derartige Datenschutzbeauftragte sollten unabh√§ngig davon, ob es sich bei ihnen um Besch√§ftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollst√§ndiger Unabh√§ngigkeit aus√ľben k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

§ 5 BDSG Benennung

§ 5 Bennennung

  1. √Ėffentliche Stellen benennen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. 2Dies gilt auch f√ľr √∂ffentliche Stellen nach ¬ß 2 Absatz 5, die am Wettbewerb teilnehmen.
  2. F√ľr mehrere √∂ffentliche Stellen kann unter Ber√ľcksichtigung ihrer Organisationsstruktur und ihrer Gr√∂√üe eine gemeinsame Datenschutzbeauftragte oder ein gemeinsamer Datenschutzbeauftragter benannt werden.
  3. Die oder der Datenschutzbeauftragte wird auf der Grundlage ihrer oder seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens benannt, das sie oder er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage ihrer oder seiner F√§higkeit zur Erf√ľllung der in ¬ß 7 genannten Aufgaben.
  4. Die oder der Datenschutzbeauftragte kann Besch√§ftigte oder Besch√§ftigter der √∂ffentlichen Stelle sein oder ihre oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erf√ľllen.
  5. Die √∂ffentliche Stelle ver√∂ffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten und teilt diese Daten der oder dem Bundesbeauftragten f√ľr den Datenschutz und die Informationsfreiheit mit.

 

§ 38 BDSG Datenschutzbeauftragte nichtöffentlicher Stellen

§ 38 BDSG Datenschutzbeauftragte nichtöffentlicher Stellen

Eintrittswahrscheinlichkeit und Schwere des Risikos f√ľr die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung bestimmt werden.¬†2Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

Art. 38 DSGVO Stellung des Datenschutzbeauftragten
  1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgem√§√ü und fr√ľhzeitig in alle mit dem Schutz personenbezogener Daten zusammenh√§ngenden Fragen eingebunden wird.
  2. Der Verantwortliche und der Auftragsverarbeiter unterst√ľtzen den Datenschutzbeauftragten bei der Erf√ľllung seiner Aufgaben gem√§√ü Artikel 39, indem sie die f√ľr die Erf√ľllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorg√§ngen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verf√ľgung stellen.
  3. 1Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erf√ľllung seiner Aufgaben keine Anweisungen bez√ľglich der Aus√ľbung dieser Aufgaben erh√§lt. 2Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erf√ľllung seiner Aufgaben nicht abberufen oder benachteiligt werden. 3Der Datenschutzbeauftragte berichtet unmittelbar der h√∂chsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
  4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
  5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erf√ľllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
  6. 1Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. 2Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.
Art. 38 | Erwägungsgrund 97

(97) Datenschutzbeuftragter *

  1. In F√§llen, in denen die Verarbeitung durch eine Beh√∂rde ‚Äď mit Ausnahmen von Gerichten oder unabh√§ngigen Justizbeh√∂rden, die im Rahmen ihrer justiziellen T√§tigkeit handeln ‚Äď, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kernt√§tigkeit in Verarbeitungsvorg√§ngen besteht, die eine regelm√§√üige und systematische √úberwachung der betroffenen Personen in gro√üem Umfang erfordern, oder wenn die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der √úberwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die √ľber Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verf√ľgt, unterst√ľtzt werden Im privaten Sektor bezieht sich die Kernt√§tigkeit eines Verantwortlichen auf seine Hauptt√§tigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebent√§tigkeit.
  2. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgef√ľhrten Datenverarbeitungsvorg√§ngen und dem erforderlichen Schutz f√ľr die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.
  3. Derartige Datenschutzbeauftragte sollten unabh√§ngig davon, ob es sich bei ihnen um Besch√§ftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollst√§ndiger Unabh√§ngigkeit aus√ľben k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

§ 6 BDSG Stellung

§ 6 Stellung

  1. Die √∂ffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte ordnungsgem√§√ü und fr√ľhzeitig in alle mit dem Schutz personenbezogener Daten zusammenh√§ngenden Fragen eingebunden wird.
  2. Die √∂ffentliche Stelle unterst√ľtzt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erf√ľllung ihrer oder seiner Aufgaben gem√§√ü¬†¬ß 7, indem sie die f√ľr die Erf√ľllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorg√§ngen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verf√ľgung stellt.
  3. 1Die √∂ffentliche Stelle stellt sicher, dass die oder der Datenschutzbeauftragte bei der Erf√ľllung ihrer oder seiner Aufgaben keine Anweisungen bez√ľglich der Aus√ľbung dieser Aufgaben erh√§lt.¬†2Die oder der Datenschutzbeauftragte berichtet unmittelbar der h√∂chsten Leitungsebene der √∂ffentlichen Stelle.¬†3Die oder der Datenschutzbeauftragte darf von der √∂ffentlichen Stelle wegen der Erf√ľllung ihrer oder seiner Aufgaben nicht abberufen oder benachteiligt werden.
  4. 1Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des¬†¬ß 626¬†des B√ľrgerlichen Gesetzbuchs zul√§ssig.¬†2Die K√ľndigung des Arbeitsverh√§ltnisses ist unzul√§ssig, es sei denn, dass Tatsachen vorliegen, welche die √∂ffentliche Stelle zur K√ľndigung aus wichtigem Grund ohne Einhaltung einer K√ľndigungsfrist berechtigen.¬†3Nach dem Ende der T√§tigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die K√ľndigung des Arbeitsverh√§ltnisses innerhalb eines Jahres unzul√§ssig, es sei denn, dass die √∂ffentliche Stelle zur K√ľndigung aus wichtigem Grund ohne Einhaltung einer K√ľndigungsfrist berechtigt ist.
  5. 1Betroffene Personen k√∂nnen die Datenschutzbeauftragte oder den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gem√§√ü der Verordnung (EU) 2016/679, diesem Gesetz sowie anderen Rechtsvorschriften √ľber den Datenschutz im Zusammenhang stehenden Fragen zu Rate ziehen.¬†2Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit √ľber die Identit√§t der betroffenen Person sowie √ľber Umst√§nde, die R√ľckschl√ľsse auf die betroffene Person zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
  6. 1Wenn die oder der Datenschutzbeauftragte bei ihrer oder seiner T√§tigkeit Kenntnis von Daten erh√§lt, f√ľr die der Leitung oder einer bei der √∂ffentlichen Stelle besch√§ftigten Person aus beruflichen Gr√ľnden ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihr oder ihm unterstellten Besch√§ftigten zu.¬†2√úber die Aus√ľbung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gr√ľnden zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigef√ľhrt werden kann.¬†3Soweit das Zeugnisverweigerungsrecht der oder des Datenschutzbeauftragten reicht, unterliegen ihre oder seine Akten und andere Dokumente einem Beschlagnahmeverbot.

 

Art. 39 DSGVO Aufgaben des Datenschutzbeauftragten

1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Besch√§ftigten, die Verarbeitungen durchf√ľhren, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  2. √úberwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters f√ľr den Schutz personenbezogener Daten einschlie√ülich der Zuweisung von Zust√§ndigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorg√§ngen beteiligten Mitarbeiter und der diesbez√ľglichen √úberpr√ľfungen;
  3. Beratung ‚Äď auf Anfrage ‚Äď im Zusammenhang mit der Datenschutz-Folgenabsch√§tzung und √úberwachung ihrer Durchf√ľhrung gem√§√ü¬†Artikel 35;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. T√§tigkeit als Anlaufstelle f√ľr die Aufsichtsbeh√∂rde in mit der Verarbeitung zusammenh√§ngenden Fragen, einschlie√ülich der vorherigen Konsultation gem√§√ü¬†Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.


2. Der Datenschutzbeauftragte tr√§gt bei der Erf√ľllung seiner Aufgaben dem mit den Verarbeitungsvorg√§ngen verbundenen Risiko geb√ľhrend Rechnung, wobei er die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung ber√ľcksichtigt.

Art. 39 | Erwägungsgrund 97

(97) Datenschutzbeuftragter *

  1. In F√§llen, in denen die Verarbeitung durch eine Beh√∂rde ‚Äď mit Ausnahmen von Gerichten oder unabh√§ngigen Justizbeh√∂rden, die im Rahmen ihrer justiziellen T√§tigkeit handeln ‚Äď, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kernt√§tigkeit in Verarbeitungsvorg√§ngen besteht, die eine regelm√§√üige und systematische √úberwachung der betroffenen Personen in gro√üem Umfang erfordern, oder wenn die Kernt√§tigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten √ľber strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der √úberwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die √ľber Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verf√ľgt, unterst√ľtzt werden Im privaten Sektor bezieht sich die Kernt√§tigkeit eines Verantwortlichen auf seine Hauptt√§tigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebent√§tigkeit.
  2. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgef√ľhrten Datenverarbeitungsvorg√§ngen und dem erforderlichen Schutz f√ľr die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.
  3. Derartige Datenschutzbeauftragte sollten unabh√§ngig davon, ob es sich bei ihnen um Besch√§ftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollst√§ndiger Unabh√§ngigkeit aus√ľben k√∂nnen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

§ 7 BDSG Aufgaben

§ 7 Aufgaben

  1. 1Der oder dem Datenschutzbeauftragten obliegen neben den in der Verordnung (EU) 2016/679 genannten Aufgaben zumindest folgende Aufgaben:
    1. Unterrichtung und Beratung der √∂ffentlichen Stelle und der Besch√§ftigten, die Verarbeitungen durchf√ľhren, hinsichtlich ihrer Pflichten nach diesem Gesetz und sonstigen Vorschriften √ľber den Datenschutz, einschlie√ülich der zur Umsetzung der Richtlinie¬†(EU) 2016/680¬†erlassenen Rechtsvorschriften;
    2. √úberwachung der Einhaltung dieses Gesetzes und sonstiger Vorschriften √ľber den Datenschutz, einschlie√ülich der zur Umsetzung der Richtlinie¬†(EU) 2016/680¬†erlassenen Rechtsvorschriften, sowie der Strategien der √∂ffentlichen Stelle f√ľr den Schutz personenbezogener Daten, einschlie√ülich der Zuweisung von Zust√§ndigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorg√§ngen beteiligten Besch√§ftigten und der diesbez√ľglichen √úberpr√ľfungen;
    3. Beratung im Zusammenhang mit der Datenschutz-Folgenabsch√§tzung und √úberwachung ihrer Durchf√ľhrung gem√§√ü¬†¬ß 67¬†dieses Gesetzes;
    4. Zusammenarbeit mit der Aufsichtsbehörde;
    5. T√§tigkeit als Anlaufstelle f√ľr die Aufsichtsbeh√∂rde in mit der Verarbeitung zusammenh√§ngenden Fragen, einschlie√ülich der vorherigen Konsultation gem√§√ü¬†¬ß 69dieses Gesetzes, und gegebenenfalls Beratung zu allen sonstigen Fragen.

    2Im Fall einer oder eines bei einem Gericht bestellten Datenschutzbeauftragten beziehen sich diese Aufgaben nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit.

  2. 1Die oder der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.¬†2Die √∂ffentliche Stelle stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.
  3. Die oder der Datenschutzbeauftragte tr√§gt bei der Erf√ľllung ihrer oder seiner Aufgaben dem mit den Verarbeitungsvorg√§ngen verbundenen Risiko geb√ľhrend Rechnung, wobei sie oder er die Art, den Umfang, die Umst√§nde und die Zwecke der Verarbeitung ber√ľcksichtigt.
Art. 40 DSGVO Verhaltensregeln
  1. Die Mitgliedstaaten, die Aufsichtsbeh√∂rden, der Ausschuss und die Kommission f√∂rdern die Ausarbeitung von Verhaltensregeln, die nach Ma√ügabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bed√ľrfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgem√§√üen Anwendung dieser Verordnung beitragen sollen.
  2. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
    1. faire und transparente Verarbeitung;
    2. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
    3. Erhebung personenbezogener Daten;
    4. Pseudonymisierung personenbezogener Daten;
    5. Unterrichtung der √Ėffentlichkeit und der betroffenen Personen;
    6. Aus√ľbung der Rechte betroffener Personen;
    7. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Tr√§gers der elterlichen Verantwortung f√ľr das Kind einzuholen ist;
    8. die Ma√ünahmen und Verfahren gem√§√ü den¬†Artikeln 24¬†und¬†25¬†und die Ma√ünahmen f√ľr die Sicherheit der Verarbeitung gem√§√ü¬†Artikel 32;
    9. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
    10. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
    11. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
  3. 1Zus√§tzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter k√∂nnen Verhaltensregeln, die gem√§√ü Absatz 5 des vorliegenden Artikels genehmigt wurden und gem√§√ü Absatz 9 des vorliegenden Artikels allgemeine G√ľltigkeit besitzen, auch von Verantwortlichen oder Auftragsverarbeitern, die gem√§√ü¬†Artikel 3¬†nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen nach Ma√ügabe des¬†Artikels 46¬†Absatz 2 Buchstabe e zu bieten.¬†2Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
  4. Die Verhaltensregeln gem√§√ü Absatz 2 des vorliegenden Artikels m√ľssen Verfahren vorsehen, die es der in¬†Artikel 41¬†Absatz 1 genannten Stelle erm√∂glichen, die obligatorische √úberwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbeh√∂rde, die nach¬†Artikel 55¬†oder¬†56¬†zust√§ndig ist.
  5. 1Verb√§nde und andere Vereinigungen gem√§√ü Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu √§ndern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung der Aufsichtsbeh√∂rde vor, die nach¬†Artikel 55¬†zust√§ndig ist.¬†2Die Aufsichtsbeh√∂rde gibt eine Stellungnahme dar√ľber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
  6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungst√§tigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbeh√∂rde die Verhaltensregeln in ein Verzeichnis auf und ver√∂ffentlicht sie.
  7. Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungst√§tigkeiten in mehreren Mitgliedstaaten, so legt die nach¬†Artikel 55¬†zust√§ndige Aufsichtsbeh√∂rde ‚Äď bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren √Ąnderung oder Erweiterung genehmigt ‚Äď ihn nach dem Verfahren gem√§√ü¬†Artikel 63¬†dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist oder ‚Äď im Fall nach Absatz 3 ‚Äď geeignete Garantien vorsieht.
  8. Wird durch die Stellungnahme nach Absatz 7 best√§tigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren √Ąnderung oder Erweiterung mit dieser Verordnung vereinbar ist oder ‚Äď im Fall nach Absatz 3 ‚Äď geeignete Garantien vorsieht, so √ľbermittelt der Ausschuss seine Stellungnahme der Kommission.
  9. 1Die Kommission kann im Wege von Durchf√ľhrungsrechtsakten beschlie√üen, dass die ihr gem√§√ü Absatz 8 √ľbermittelten genehmigten Verhaltensregeln bzw. deren genehmigte √Ąnderung oder Erweiterung allgemeine G√ľltigkeit in der Union besitzen.¬†2Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem Pr√ľfverfahren nach¬†Artikel 93¬†Absatz 2 erlassen.
  10. Die Kommission tr√§gt daf√ľr Sorge, dass die genehmigten Verhaltensregeln, denen gem√§√ü Absatz 9 allgemeine G√ľltigkeit zuerkannt wurde, in geeigneter Weise ver√∂ffentlicht werden.
  11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte √Ąnderungen oder Erweiterungen in ein Register auf und ver√∂ffentlicht sie in geeigneter Weise.
Art. 40 | Erwägungsgrund 98

(98) Erstellung von Verhaltensregeln durch Verbände und Vereinigungen*

  1. 1Verb√§nde oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bed√ľrfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist.¬†2Insbesondere k√∂nnten in diesen Verhaltensregeln ‚Äď unter Ber√ľcksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen ‚Äď die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden.

    * Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 40 | Erwägungsgrund 99

(99) Konsultation von Interessenträgern und Betroffenen bei der Ausarbeitung von Verhaltensregeln*

Bei der Ausarbeitung oder bei der √Ąnderung oder Erweiterung solcher Verhaltensregeln sollten Verb√§nde und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die ma√ügeblichen Interessentr√§ger, m√∂glichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, ber√ľcksichtigen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 41 DSGVO √úberwachung der genehmigten Verhaltensregeln
  1. Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü den¬†Artikeln 57¬†und¬†58¬†kann die √úberwachung der Einhaltung von Verhaltensregeln gem√§√ü¬†Artikel 40¬†von einer Stelle durchgef√ľhrt werden, die √ľber das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verf√ľgt und die von der zust√§ndigen Aufsichtsbeh√∂rde zu diesem Zweck akkreditiert wurde.
  2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
    1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;
    2. Verfahren festgelegt hat, die es ihr erm√∂glichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden k√∂nnen, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu √ľberwachen und die Anwendung der Verhaltensregeln regelm√§√üig zu √ľberpr√ľfen;
    3. Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden √ľber Verletzungen der Verhaltensregeln oder √ľber die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen f√ľr betroffene Personen und die √Ėffentlichkeit transparent macht; und
    4. zur Zufriedenheit der zust√§ndigen Aufsichtsbeh√∂rde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.
  3. Die zust√§ndige Aufsichtsbeh√∂rde √ľbermittelt den Entwurf der Anforderungen an die Akkreditierung einer Stelle nach Absatz 1 gem√§√ü dem Koh√§renzverfahren nach¬†Artikel 63an den Ausschuss.
  4. 1Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde und der Bestimmungen des¬†Kapitels VIII¬†ergreift eine Stelle gem√§√ü Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Ma√ünahmen, einschlie√ülich eines vorl√§ufigen oder endg√ľltigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln.¬†2Sie unterrichtet die zust√§ndige Aufsichtsbeh√∂rde √ľber solche Ma√ünahmen und deren Begr√ľndung.
  5. Die zust√§ndige Aufsichtsbeh√∂rde widerruft die Akkreditierung einer Stelle gem√§√ü Absatz 1, wenn die Anforderungen an ihre Akkreditierung nicht oder nicht mehr erf√ľllt sind oder wenn die Stelle Ma√ünahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
  6. Dieser Artikel gilt nicht f√ľr die Verarbeitung durch Beh√∂rden oder √∂ffentliche Stellen.
Art. 42 DSGVO Zertifizierung
  1. 1Die Mitgliedstaaten, die Aufsichtsbeh√∂rden, der Ausschuss und die Kommission f√∂rdern insbesondere auf Unionsebene die Einf√ľhrung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -pr√ľfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorg√§ngen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.¬†2Den besonderen Bed√ľrfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
  2. 1Zus√§tzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter k√∂nnen auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Pr√ľfzeichen, die gem√§√ü Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gem√§√ü¬†Artikel 3¬†nicht unter diese Verordnung fallen, im Rahmen der √úbermittlung personenbezogener Daten an Drittl√§nder oder internationale Organisationen nach Ma√ügabe von¬†Artikel 46¬†Absatz 2 Buchstabe f geeignete Garantien bieten.¬†2Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
  3. Die Zertifizierung muss freiwillig und √ľber ein transparentes Verfahren zug√§nglich sein.
  4. Eine Zertifizierung gem√§√ü diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters f√ľr die Einhaltung dieser Verordnung und ber√ľhrt nicht die Aufgaben und Befugnisse der Aufsichtsbeh√∂rden, die gem√§√ü¬†Artikel 55oder¬†56¬†zust√§ndig sind.
  5. 1Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach¬†Artikel 43¬†oder durch die zust√§ndige Aufsichtsbeh√∂rde anhand der von dieser zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü¬†Artikel 58¬†Absatz 3 oder ‚Äď gem√§√ü¬†Artikel 63¬†‚Äď durch den Ausschuss genehmigten Kriterien erteilt.¬†2Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europ√§ischen Datenschutzsiegel, f√ľhren.
  6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgef√ľhrte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach¬†Artikel 43¬†oder gegebenenfalls der zust√§ndigen Aufsichtsbeh√∂rde alle f√ľr die Durchf√ľhrung des Zertifizierungsverfahrens erforderlichen Informationen zur Verf√ľgung und gew√§hrt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungst√§tigkeiten.
  7. 1Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter f√ľr eine H√∂chstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verl√§ngert werden, sofern die einschl√§gigen Kriterien weiterhin erf√ľllt werden.¬†2Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach¬†Artikel 43¬†oder durch die zust√§ndige Aufsichtsbeh√∂rde widerrufen, wenn die Kriterien f√ľr die Zertifizierung nicht oder nicht mehr erf√ľllt werden.
  8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen in ein Register auf und ver√∂ffentlicht sie in geeigneter Weise.
Art. 42 | Erwägungsgrund 100

(100) Zertifizierung*

Um die Transparenz zu erh√∂hen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -pr√ľfzeichen eingef√ľhrt werden, die den betroffenen Personen einen raschen √úberblick √ľber das Datenschutzniveau einschl√§giger Produkte und Dienstleistungen erm√∂glichen.

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Art. 43 DSGVO Zertifizierungsstellen
  1. 1Unbeschadet der Aufgaben und Befugnisse der zust√§ndigen Aufsichtsbeh√∂rde gem√§√ü den¬†Artikeln 57¬†und¬†58¬†erteilen oder verl√§ngern Zertifizierungsstellen, die √ľber das geeignete Fachwissen hinsichtlich des Datenschutzes verf√ľgen, nach Unterrichtung der Aufsichtsbeh√∂rde ‚Äď damit diese erforderlichenfalls von ihren Befugnissen gem√§√ü¬†Artikel 58¬†Absatz 2 Buchstabe h Gebrauch machen kann ‚Äď die Zertifizierung.¬†2Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
    1. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
    2. der nationalen Akkreditierungsstelle, die gem√§√ü der Verordnung¬†(EG) Nr. 765/2008des Europ√§ischen Parlaments und des Rates¬Ļ¬†im Einklang mit EN-ISO/IEC 17065/2012 und mit den zus√§tzlichen von der gem√§√ü Artikel¬†55¬†oder¬†56¬†zust√§ndigen Aufsichtsbeh√∂rde festgelegten Anforderungen benannt wurde.
  2. Zertifizierungsstellen nach Absatz 1 d√ľrfen nur dann gem√§√ü Absatz 1 akkreditiert werden, wenn sie
    1. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
    2. sich verpflichtet haben, die Kriterien nach¬†Artikel 42¬†Absatz 5, die von der gem√§√ü¬†Artikel 55¬†oder¬†56¬†zust√§ndigen Aufsichtsbeh√∂rde oder ‚Äď gem√§√ü¬†Artikel 63¬†‚Äď von dem Ausschuss genehmigt wurden, einzuhalten;
    3. Verfahren f√ľr die Erteilung, die regelm√§√üige √úberpr√ľfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -pr√ľfzeichen festgelegt haben;
    4. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden √ľber Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen f√ľr betroffene Personen und die √Ėffentlichkeit transparent machen, und
    5. zur Zufriedenheit der zust√§ndigen Aufsichtsbeh√∂rde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt f√ľhren.
  3. 1Die Akkreditierung von Zertifizierungsstellen nach den Abs√§tzen 1 und 2 erfolgt anhand der Anforderungen, die von der gem√§√ü¬†Artikel 55¬†oder¬†56¬†zust√§ndigen Aufsichtsbeh√∂rde oder ‚Äď gem√§√ü¬†Artikel 63¬†‚Äď von dem Ausschuss genehmigt wurden.¬†2Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels erg√§nzen diese Anforderungen diejenigen, die in der Verordnung¬†(EG) Nr. 765/2008¬†und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.
  4. 1Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter f√ľr die Einhaltung dieser Verordnung hat, f√ľr die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich.¬†2Die Akkreditierung wird f√ľr eine H√∂chstdauer von f√ľnf Jahren erteilt und kann unter denselben Bedingungen verl√§ngert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erf√ľllt.
  5. Die Zertifizierungsstellen nach Absatz 1 teilen den zust√§ndigen Aufsichtsbeh√∂rden die Gr√ľnde f√ľr die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
  6. 1Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach¬†Artikel 42¬†Absatz 5 werden von der Aufsichtsbeh√∂rde in leicht zug√§nglicher Form ver√∂ffentlicht.¬†2Die Aufsichtsbeh√∂rden √ľbermitteln diese Anforderungen und Kriterien auch dem Ausschuss.
  7. Unbeschadet des¬†Kapitels VIII¬†widerruft die zust√§ndige Aufsichtsbeh√∂rde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen f√ľr die Akkreditierung nicht oder nicht mehr erf√ľllt sind oder wenn eine Zertifizierungsstelle Ma√ünahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
  8. Der Kommission wird die Befugnis √ľbertragen, gem√§√ü¬†Artikel 92¬†delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die f√ľr die in¬†Artikel 42¬†Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu ber√ľcksichtigen sind.
  9. 1Die Kommission kann Durchf√ľhrungsrechtsakte erlassen, mit denen technische Standards f√ľr Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen sowie Mechanismen zur F√∂rderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -pr√ľfzeichen festgelegt werden.¬†2Diese Durchf√ľhrungsrechtsakte werden gem√§√ü dem in¬†Artikel 93¬†Absatz 2 genannten Pr√ľfverfahren erlassen.

¬Ļ¬†Verordnung (EG) Nr. 765/2008 des Europ√§ischen Parlaments und des Rates vom 9. Juli 2008 √ľber die Vorschriften f√ľr die Akkreditierung und Markt√ľberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30).

§ 39 BDSG Akkreditierung

§ 39 BDSG Akkreditierung

Die Erteilung der Befugnis, als Zertifizierungsstelle gem√§√ü¬†Artikel 43¬†Absatz 1 Satz 1 der Verordnung (EU) 2016/679 t√§tig zu werden, erfolgt durch die f√ľr die datenschutzrechtliche Aufsicht √ľber die Zertifizierungsstelle zust√§ndige Aufsichtsbeh√∂rde des Bundes oder der L√§nder auf der Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle.¬†2¬ß 2 Absatz 3 Satz 2, ¬ß 4 Absatz 3 und ¬ß 10 Absatz 1 Satz 1 Nummer 3 des¬†Akkreditierungsstellengesetzesfinden mit der Ma√ügabe Anwendung, dass der Datenschutz als ein dem Anwendungsbereich des¬†¬ß 1¬†Absatz 2 Satz 2 unterfallender Bereich gilt.

Kapitel 5 | DSGVO

√úBERMITTLUNG PERSONENBEZOGENER DATEN AN DRITTL√ĄNDER ODER AN INTERNATIONALE ORGANISATIONEN I ART. 44 BIS ART. 50

 

 

Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen

 

 

Art.84 DSGVO Sanktionen

(1) 1Die Mitgliedstaaten legen die Vorschriften √ľber andere Sanktionen f√ľr Verst√∂√üe gegen diese Verordnung ‚Äď insbesondere f√ľr Verst√∂√üe, die keiner Geldbu√üe gem√§√ü Artikel 83unterliegen ‚Äď fest und treffen alle zu deren Anwendung erforderlichen Ma√ünahmen.¬†
2Diese Sanktionen m√ľssen wirksam, verh√§ltnism√§√üig und abschreckend sein.

(2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erl√§sst, sowie unverz√ľglich alle sp√§teren √Ąnderungen dieser Vorschriften mit.

Art. 84 | passende Erw√§gungsgr√ľnde

(39) Grundsätze der Datenverarbeitung *

(149) Sanktionen f√ľr Verst√∂√üe gegen nationale Vorschriften

(150) Geldbußen

(151) Geldbußenregelung in Dänemark und Estland

(152) Sanktionsbefugnis der Mitgliedsstaaten

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.

Kapitel 8 | DSGVO

Rechtsbehelfe, Haftung und Sanktionen

 

Rechtsbehelfe, Haftung und Sanktionen | Art. 77 bis Art. 84 

 

Art.84 DSGVO Sanktionen

(1) 1Die Mitgliedstaaten legen die Vorschriften √ľber andere Sanktionen f√ľr Verst√∂√üe gegen diese Verordnung ‚Äď insbesondere f√ľr Verst√∂√üe, die keiner Geldbu√üe gem√§√ü Artikel 83unterliegen ‚Äď fest und treffen alle zu deren Anwendung erforderlichen Ma√ünahmen.¬†
2Diese Sanktionen m√ľssen wirksam, verh√§ltnism√§√üig und abschreckend sein.

(2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erl√§sst, sowie unverz√ľglich alle sp√§teren √Ąnderungen dieser Vorschriften mit.

Art. 84 | passende Erw√§gungsgr√ľnde

(39) Grundsätze der Datenverarbeitung *

(149) Sanktionen f√ľr Verst√∂√üe gegen nationale Vorschriften

(150) Geldbußen

(151) Geldbußenregelung in Dänemark und Estland

(152) Sanktionsbefugnis der Mitgliedsstaaten

* Dieser Titel ist eine inoffizielle Beschreibung des Erwägungsgrundes.