Vorschlag einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (KOM(99) 337 endg.; Ratsdok. 11144/99)

Vorschlag einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

(Auszug)

KOM(99) 337 endg.; Ratsdok. 11144/99, (Drucksache 546/99)

Die Organe und Einrichtungen der Gemeinschaft - und insbesondere die Kommission verarbeiten im Rahmen ihrer Tätigkeit ständig personenbezogene Daten. Die Kommission tauscht personenbezogene Daten mit den Mitgliedstaaten im Rahmen der gemeinsamen Agrarpolitik, für die Verwaltung der Zollverfahren, der Strukturfonds und im Rahmen anderer Gemeinschaftspolitiken aus. Um einen vollständigen Datenschutz zu gewährleisten, hat die Kommission, als sie die Richtlinie 95/46/EG 1990 vorschlug, erklärt, daß sie die in der Richtlinie enthaltenen Grundsätze ebenfalls einhalten werde.

Zum Zeitpunkt ihrer Annahme haben sich die Kommission und der Rat in einer öffentlichen Erklärung verpflichtet, die Richtlinie einzuhalten, und die übrigen Organe und Einrichtungen der Gemeinschaft aufgefordert, diesem Beispiel Folge zu leisten.

In der Regierungskonferenz für die Überprüfung der Verträge ist die Frage der Anwendung der Datenschutzbestimmungen auf die Organe der Gemeinschaft von der niederländischen und der griechischen Regierung aufgeworfen worden. Der nach Abschluß der Verhandlungen in Amsterdam unterzeichnete Vertrag bringt in den Vertrag zur Gründung der Europäischen Gemeinschaft eine diesbezügliche spezifische Bestimmung ein. In der endgültigen Numerierung handelt es sich um Artikel 286 mit folgendem Wortlaut:

1. Ab 1. Januar 1999 finden die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten auf die durch diesen Vertrag oder auf der Grundlage dieses Vertrags errichteten Organe und Einrichtungen der Gemeinschaft Anwendung.

2. Vor dem in Absatz 1 genannten Zeitpunkt beschließt der Rat gemäß dem Verfahren des Artikels 251 die Errichtung einer unabhängigen Kontrollinstanz, die für die Überwachung der Anwendung solcher Rechtsakte der Gemeinschaft auf die Organe und Einrichtungen der Gemeinschaft verantwortlich ist, und erläßt erforderlichenfalls andere einschlägige Bestimmungen.

Artikel 286 sieht somit vor, daß die Organe und Einrichtungen der Gemeinschaft ab 1. Januar 1999 die Gemeinschaftsbestimmungen für den Schutz personenbezogener-Daten anzuwenden haben, die im wesentlichen durch die Richtlinie 95/46/EG festgelegt wurden, und daß die Anwendung der genannten Bestimmungen durch eine unabhängige Kontrollinstanz überwacht werden muß. Mit dem vorliegenden Verordnungsvorschlag soll dieses zweifache Ziel erreicht werden.

Vorschlag für eine

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf (die) Artikel 286,

(1) Artikel 286 EG-Vertrag fordert die Anwendung der Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten auf die Organe und Einrichtungen der Gemeinschaft.

(2) Ein umfassendes Datenschutzsystem erfordert nicht nur eine Bestimmung der Rechte der betroffenen Personen und der Pflichten der Personen, die personenbezogene Daten verarbeiten, sondern auch geeignete Sanktionen für Rechtsverletzer und eine Kontrolle durch eine unabhängige Kontrollinstanz.

(3) Artikel 286 Absatz 2 EG-Vertrag schreibt die Errichtung einer unabhängigen Kontrollinstanz vor, die die Anwendung der Gemeinschaftsrechtsakte auf die Organe und Einrichtungen der Gemeinschaft überwacht.

(4) Artikel 286 Absatz 2 EG-Vertrag bestimmt, daß erforderlichenfalls weitere einschlägige Bestimmungen erlassen werden.

(5) Eine Verordnung ist erforderlich, um den natürlichen Personen gesetzlich durchsetzbare Rechte zu geben, die Verpflichtungen der für die Verarbeitung in den Organen und Einrichtungen der Gemeinschaft Verantwortlichen darzulegen und eine unabhängige Kontrollinstanz für die externe Überwachung der Datenverarbeitung in der Gemeinschaft zu schaffen.

(6) Die Grundsätze des Datenschutzes müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Um festzustellen, ob eine Person bestimmbar ist, sind alle Mittel zu berücksichtigen, die der für die Verarbeitung Verantwortliche oder jede andere Person zweckmäßigerweise zur Identifizierung der betreffenden Person nutzen wird. Die Grundsätze des Datenschutzes sollten nicht für Daten gelten, die in einer Weise anonymisiert worden sind, daß die betroffene Person nicht mehr identifiziert werden kann.

(7) Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr fordert die Mitgliedstaaten auf, den Schutz der Grundrechte und -freiheiten der natürlichen Personen und insbesondere deren Recht auf die Privatsphäre bei der Verarbeitung personenbezogener Daten sicherzustellen, um den freien Verkehr personenbezogener Daten in der Gemeinschaft zu gewährleisten.

(8) Die Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation präzisiert und ergänzt die Richtlinie 95/46/EG im Hinblick auf die Verarbeitung personenbezogener Daten im Bereich Telekommunikation.

(9) Verschiedene andere Gemeinschaftsmaßnahmen, insbesondere im Bereich der Amtshilfe zwischen den einzelstaatlichen Verwaltungen und der Kommission, zielen ebenfalls darauf ab, die Richtlinie 95/46/EG in dem maßgeblichen Bereich zu präzisieren und zu ergänzen.

(10) Die kohärente, homogene Anwendung der Bestimmungen für den Schutz der Grundrechte und -freiheiten von Personen bei der Verarbeitung personenbezogener Daten muß in der gesamten Gemeinschaft gewährleistet sein.

(11) Damit soll sowohl die tatsächliche Einhaltung der Bestimmungen für den Schutz der Grundrechte und -freiheiten der Personen als auch der freie Verkehr personenbezogener Daten insbesondere zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft bzw. zwischen den Organen und Einrichtungen der Gemeinschaft zum Zwecke der Ausübung ihrer jeweiligen Befugnisse garantiert werden.

(12) Das vorgenannte Ziel läßt sich durch den Erlaß zwingender Vorschriften für die Organe und Einrichtungen der Gemeinschaft am besten gewährleisten. Diese Vorschriften sollten auf alle Verarbeitungen personenbezogener Daten Anwendung finden, die durch die Organe und Einrichtungen der Gemeinschaft im Rahmen der Befugnisse durchgeführt werden, die ihnen durch die Verträge zur Gründung der Europäischen Gemeinschaften und der Vertrag über die Europäische Union übertragen werden.

(13) Diese Bestimmungen müssen den Vorschriften entsprechen, die für die Harmonisierung der einzelstaatlichen Rechtsvorschriften oder die Umsetzung anderer Gemeinschaftspolitiken, insbesondere im Bereich der Amtshilfe vorgesehen sind.

Präzisierungen und Ergänzungen können allerdings für die Umsetzung des Schutzes bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft erforderlich sein.

(14) Dies gilt sowohl für die Rechte der Personen, deren Daten verarbeitet werden, und die Verpflichtungen der Organe und Einrichtungen der Gemeinschaft, die für die Verarbeitungen verantwortlich sind, als auch für die Befugnisse, über die die unabhängige Kontrollinstanz verfügen muß, die für die einwandfreie Anwendung dieser Verordnung Sorge zu tragen hat.

(15) Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft für die Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und das Funktionieren dieser Organe und Einrichtungen erforderlich ist.

(16) Die Überwachung von Computer Netzwerken, die unter Kontrolle eines Organs oder einer Einrichtung betrieben werden, kann erforderlich sein zur Verhinderung unerlaubter Benutzung. Der Europäische Datenschutzbeauftragte legt fest ob und unter welchen Voraussetzungen dies möglich ist.

(17) Die Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftsstatistiken gilt laut ihrem Artikel 21 unbeschadet der Richtlinie 95/46/EG.

(18) Aus Gründen der Transparenz ist es notwendig, weitere Informationen über die Anwendung dieser Verordnung einschließlich einer Liste der Organe und Einrichtungen der Gemeinschaft, die dieser Verordnung unterliegen, zu veröffentlichen.

(19) Die Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten, die durch Artikel 29 der Richtlinie 95/46/EG eingesetzt wurde, hat ihre Stellungnahme abgegeben -

1. Die nachstehend als Organe und Einrichtungen der Gemeinschaft bezeichneten, durch die Verträge zur Gründung der Europäischen Gemeinschaften oder auf deren Grundlage geschaffenen Organe und Einrichtungen, gewährleisten nach den Bestimmungen dieser Verordnung den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten.

2. Die durch diese Verordnung eingerichtete unabhängige Kontrollbehörde, im folgenden als Europäischer Datenschutzbeauftragter bezeichnet, überwacht die Anwendung der Bestimmungen dieser Verordnung auf alle Verarbeitungen durch Organe und Einrichtungen der Gemeinschaft.

a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

c) "Datei mit personenbezogenen Daten" ("Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird;

d) "für die Verarbeitung Verantwortlicher" das Organ oder die Einrichtung der Gemeinschaft, die Generaldirektion, das Referat oder jede andere Verwaltungseinheit, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; sind die Zwecke und Mittel der Verarbeitung durch einen spezifischen Rechtsakt der Gemeinschaft festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einen solchen Rechtsakt der Gemeinschaft bestimmt werden;

e) "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle; die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

f) "Dritter" jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle außer der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des, Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;

g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht; Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger;

h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß sie betreffende personenbezogene Daten verarbeiten werden.

1. Diese Verordnung findet auf die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft Anwendung.

2. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

ALLGEMEINE BESTIMMUNGEN ÜBER DIE RECHTMÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen, nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist nicht als unvereinbar anzusehen, sofern der für die Verarbeitung Verantwortliche geeignete Garantien vorsieht, insbesondere, um sicherzustellen, daß die Daten lediglich für derartige Zwecke verarbeitet werden;

c) den Zwecken entsprechen, für die sie erhoben und/oder dann verarbeitet werden, dafür erheblich sein und nicht darüber hinausgehen;

d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sein; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht. Die Organe oder Einrichtungen der Gemeinschaft sehen insbesondere im Hinblick auf die Anonymisierung geeignete Garantien für personenbezogene Daten vor, die für historische, statistische oder wissenschaftliche Zwecke länger gespeichert werden.

2. Der für die Verarbeitung Verantwortliche hat für die Einhaltung der Bestimmungen des Absatzes 1 zu sorgen.

Personenbezogene Daten dürfen lediglich verarbeitet werden, wenn eine der folgenden Voraussetzungen erfüllt ist:

a) Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die aufgrund eines Gesetzes im öffentlichen Interesse oder in legitimer Ausübung öffentlicher Gewalt ausgeführt wird, die dem Organ oder der Einrichtung der Gemeinschaft oder einem Dritten, dem die Daten übermittelt werden, übertragen wurde;

b) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

c) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen;

e) die Verarbeitung ist für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich.

1. Personenbezogene Daten dürfen für andere Zweckbestimmungen als die, für die sie erhoben wurden, lediglich verarbeitet werden, wenn die Änderung der Zwecke ausdrücklich durch die Geschäftsordnung des Organs oder der Einrichtung der Gemeinschaft erlaubt ist.

2. Für andere Zweckbestimmungen erfaßte personenbezogene Daten können verarbeitet werden, um die Einhaltung der Finanz- und Haushaltsvorschriften zu gewährleisten.

3. Mit Ausnahme der in Artikel 18 Absatz 1 Buchstabe a) genannten Zwecke dürfen personenbezogene Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -Vorgänge erfaßt werden, für keinen anderen Zweck verwendet werden.

Artikel 7
Übermittlung personenbezogener Daten innerhalb von oder zwischen Organen, oder Einrichtungen der Gemeinschaft

1. Personenbezogene Daten werden innerhalb der Organe oder Einrichtungen der Gemeinschaft oder an andere Organe oder Einrichtungen der Gemeinschaft nur übermittelt, wenn die Daten für die rechtmäßige Erfüllung der Aufgaben erforderlich sind, die in den Zuständigkeitsbereich des Empfängers fallen.

2. Der für die Verarbeitung Verantwortliche und der Empfänger tragen die Verantwortung für die Rechtmäßigkeit der Übermittlung.

Der für die Verarbeitung Verantwortliche prüft lediglich die Zuständigkeit des Empfängers und die Begründetheit des Ersuchens. Im Fall von Zweifeln hinsichtlich der Begründetheit überprüft der für die Verarbeitung Verantwortliche allerdings auch die Notwendigkeit der Übermittlung.

Der Empfänger stellt sicher, daß die Notwendigkeit der Übermittlung im nachhinein überprüft werden kann.

Artikel 8
Übermittlung an Personen und Einrichtungen in den Mitgliedstaaten, die nicht Organe und Einrichtungen der Gemeinschaft sind

1. Personenbezogene Daten werden an Personen und Einrichtungen in den Mitgliedstaaten nur übermittelt, wenn der Empfänger die Notwendigkeit der Datenübermittlung nachweist und kein Grund zu der Annahme besteht, daß die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten.

2. Der Empfänger verarbeitet die personenbezogenen Daten nur für die Zwecke, für die sie übermittelt wurden.

Artikel 9
Übermittlung personenbezogener Daten an Personen und Einrichtungen, die nicht Einrichtungen oder Organe der Gemeinschaft und die nicht der Richtlinie 95/46/EG unterworfen sind

1. Personenbezogene Daten werden nur dann an Personen und Einrichtungen übermittelt, die nicht Einrichtungen oder Organe der Gemeinschaft und keinem nationalen Datenschutzgesetz nach Artikel 4 der Richtlinie 95/46/EG unterworfen sind, wenn ein angemessenes Schutzniveau in dem Land des Empfängers oder innerhalb der empfangenden internationalen Organisation gewährleistet ist, die Daten strikt im Rahmen der unter die Zuständigkeit des für die Verarbeitung Verantwortlichen fallenden Aufgaben übermittelt werden und die Voraussetzungen nach Artikel 4 Absatz 1 Buchstabe b) dieser Verordnung erfüllt sind.

2. Die Angemessenheit des von dem betreffenden Land oder der betreffenden internationalen Organisation gebotenen Schutzniveaus ist im Lichte aller Umstände einer Datenübermittlung oder einer Reihe von Datenübermittlungen zu beurteilen; besondere Beachtung sind der Art der Daten, dem Zweck und der Dauer des vorgeschlagenen Verarbeitungsvorgangs oder der vorgeschlagenen Verarbeitungsvorgänge zu schenken, dem Land oder der internationalen Organisation der Endbestimmung, den in dem betreffenden Land oder der betreffenden internationalen Organisation geltenden allgemeinen und sektoralen Rechtsvorschriften sowie den in diesem Land oder in dieser internationalen Organisation eingehaltenen Standesregeln und Sicherheitsmaßnahmen.

3. Die Organe und Einrichtungen der Gemeinschaft teilen der Kommission und dem Europäischen Datenschutzbeauftragten die Fälle mit, in denen das betreffende Land oder die betreffende internationale Organisation ihres Erachtens kein angemessenes Schutzniveau im Sinne von Absatz 2 gewährleistet.

4. Kommt die Kommission, unterstützt von dem mit Artikel 31 Absatz 1 der Richtlinie 95/46/EG eingesetzten Ausschuß, zu der Auffassung, daß ein Land oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne von Absatz 2 des vorliegenden Artikels gewährleistet bzw. nicht gewährleistet, so treffen die Organe und Einrichtungen der Gemeinschaft die erforderlichen Maßnahmen, um der Entscheidung der Kommission nachzukommen. Die Entscheidung wird gemäß dem Verwaltungsverfahren nach Artikel 4 des Beschlusses 1999/468/EG des Rates und unbeschadet dessen Artikels 8 erlassen. Der in Artikel 4 Absatz 3 des Beschlusses 1999/468/EG genannte Zeitraum beträgt drei Monate.

5. Abweichend von Absatz 1 kann das Organ oder die Einrichtung der Gemeinschaft personenbezogene Daten übermitteln, sofern

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung in die vorgeschlagene Übermittlung erteilt hat,

b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen "Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist,

c) die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person zwischen dem für die Verarbeitung Verantwortlichen und einem Dritten geschlossen wird,

d) die Übermittlung aus wichtigen Gründen des öffentlichen Interesses oder zur Begründung, Geltendmachung, oder Verteidigung von Rechtsansprüchen erforderlich oder gesetzlich vorgesehen ist,

e) die Übermittlung zum Schutz der vitalen Interessen .der betroffenen Person erforderlich ist, oder

f) die Übermittlung aus einem Register erfolgt, das gemäß dem Gemeinschaftsrecht zur Information der Öffentlichkeit bestimmt ist und entweder von der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die im Gemeinschaftsrecht für die Einsichtnahme festgelegten Voraussetzungen im Einzelfall gegeben sind.

6. Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über alle (Kategorien von) Fälle(n), in denen sie Absatz 5 angewendet haben.

1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Daten über Gesundheit oder Sexualleben sind verboten.

a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, die Geschäftsordnung des Organs oder der Einrichtung der Gemeinschaft sieht vor, daß das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden kann.

b) Die Verarbeitung ist erforderlich, um den Pflichten und spezifischen Rechten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies durch die Rechtsvorschriften der Gemeinschaft oder, deren Durchführungsvorschriften oder eine Genehmigung des Europäischen Datenschutzbeauftragten, die angemessene Garantien vorsehen, zulässig ist.

c) Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

d) Die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Begründung, Geltendmachung oder Verteidigung rechtlicher Ansprüche erforderlich.

e) Die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisation ohne Erwerbszweck, die Teil eines Organs oder einer Einrichtung der Gemeinschaft ist und die gemäß Artikel 4 der Richtlinie 95/46/EG nicht dem einzelstaatlichen Datenschutzrecht unterliegt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

3. Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Feststellung der medizinischen Eignung bei der Einstellung, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch dem Berufsgeheimnis unterliegendes ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen.

4. Vorbehaltlich angemessener Garantien können aus Gründen eines wichtigen öffentlichen Interesses andere als die in Absatz 2 genannten Ausnahmen im Wege einer Entscheidung des Europäischen Datenschutzbeauftragten festgelegt werden.

5. Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur erfolgen, wenn sie aufgrund gemeinschaftlicher Rechtsvorschriften oder anderer auf der Grundlage des EU-Vertrags angenommener Rechtsinstrumente, die geeignete besondere Garantien vorsehen, oder vom Europäischen Datenschutzbeauftragten genehmigt ist.

6. Der Europäische Datenschutzbeauftragte bestimmt, unter welchen Bedingungen eine Personalnummer oder ein anderes Kennzeichen allgemeiner Bedeutung in einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden dürfen.

Artikel 11
Information bei der Erhebung personenbezogener Daten bei der betroffenen Person

1. Der für die Verarbeitung Verantwortliche sieht vor, daß die Person, bei der die sie betreffenden Daten erhoben werden, zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

d) Hinweis darauf, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

- das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

2. Abweichend von Absatz 1 kann die Erteilung der Informationen vollständig oder teilweise zurückgestellt werden, solange dies für die Erreichung des rechtmäßigen Ziels der Erhebung im Hinblick auf ihren Gegenstand oder ihren Charakter erforderlich ist. Die Informationen müssen erteilt werden, sobald der Grund, aus dem die Informationen zurückgehalten wurden, nicht mehr besteht, es sei denn, dies ist offenkundig unzweckmäßig oder undurchführbar. In diesen Fällen werden die Informationen zu einem späteren Zeitpunkt erteilt, sobald diese Umstände nicht mehr vorliegen.

Artikel 12
Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden

1. Wurden die Daten nicht bei der betroffenen Person erhoben, so hat der für die Verarbeitung Verantwortliche der betroffenen Person bei Beginn der Speicherung der personenbezogenen Daten oder im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung der Daten zumindest die nachstehenden Informationen zu erteilen, sofern diese ihr noch nicht vorliegen:

e) das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

- das Recht, sich jederzeit an den Europäischen Datenschutzbeauftragten zu wenden,

- die Herkunft der Daten, außer wenn der für die Verarbeitung Verantwortliche diese aufgrund der beruflichen Geheimhaltungspflicht nicht offenlegen kann,

2. Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Rechtsvorschriften der Gemeinschaft ausdrücklich vorgesehen ist. In diesen Fällen sieht das Organ oder die Einrichtung der Gemeinschaft geeignete Garantien vor.

Jede betroffene Person hat das Recht, jederzeit ohne unzumutbare Verzögerung unentgeltlich von dem für die Verarbeitung Verantwortlichen folgende Auskünfte zu erhalten:

b) Angaben über die Zweckbestimmung der Verarbeitung, die Datenkategorien, die verarbeitet werden, die Empfänger oder Kategorien der Empfänger der Daten,

c) eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie alle verfügbaren Informationen über die Herkunft der Daten,

d) Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.

Der für die Verarbeitung Verantwortliche berichtigt auf Antrag der betroffenen Person unverzüglich unrichtige oder unvollständige personenbezogene Daten.

a) ihre Richtigkeit von der betroffenen Person bestritten wird und sich weder ihre Richtigkeit noch die Unrichtigkeit feststellen läßt,

b) der für die Verarbeitung Verantwortliche sie für die Erfüllung seiner Aufgaben nicht länger benötigt, sie aber aus Beweisgründen weiter gespeichert blieben,

c) die Verarbeitung unrechtmäßig war, die betroffene Person sich ihrer Löschung widersetzt und statt dessen ihre Sperrung fordert.

2. In automatisierten Dateien wird die Sperrung grundsätzlich durch technische Mittel gewährleistet. Die Tatsache, daß die personenbezogenen Daten gesperrt sind, ist in dem System in einer Weise anzugeben, aus der klar wird, daß die personenbezogenen Daten nicht verwendet werden dürfen.

3. Gesperrte personenbezogene Daten werden mit Ausnahme ihrer Speicherung lediglich verarbeitet, wenn sie zur Behebung der Beweisnot erforderlich sind, wenn die betroffene Person ihre Einwilligung erteilt hat oder aus Gründen rechtmäßiger Interessen eines Dritten.

1. Personenbezogene Daten werden gelöscht, wenn ihre Verarbeitung rechtswidrig war, insbesondere, wenn die Bestimmungen von Kapitel II, Abschnitte 1, 2 und 3 verletzt wurden.

2. Personenbezogene Daten werden gelöscht, wenn der für die Verarbeitung Verantwortliche sie für die Wahrnehmung seiner Aufgaben nicht mehr benötigt und kein Grund zu der Annahme besteht, daß die Interessen der betroffenen Person durch die Löschung beeinträchtigt werden können.

Der für die Verarbeitung Verantwortliche teilt Dritten, denen die Daten übermittelt wurden, jede Berichtigung, Löschung oder Sperrung mit, sofern sich dies nicht als unmöglich erweist und kein unverhältnismäßiger Aufwand damit verbunden ist.

1. Die Organe und Einrichtungen der Gemeinschaft können die Anwendung von Artikel 4 Absatz 1, Artikel 11, Artikel 12 Absatz 1, Artikel 13, Artikel 33 und Artikel 34 Absatz 1 einschränken, wenn eine solche Einschränkung notwendig ist für

b) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- oder Steuerangelegenheiten;

c) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen;

d) Überwachungs-, Untersuchungs- oder Regelungsaufgaben, die - auch gelegentlich - mit der Ausübung öffentlicher Gewalt in den unter den Buchstaben a) und b) genannten Fällen verbunden sind.

2. Die Artikel 13 bis 16 finden keine Anwendung, wenn Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet oder personenbezogen nicht länger als lediglich zur Erstellung von Statistiken erforderlich aufbewahrt werden, sofern offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht und der für die Verarbeitung Verantwortliche angemessene rechtliche Garantien vorsieht, insbesondere, daß die Daten nicht für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden.

3. Findet eine Einschränkung nach Absatz 1 Anwendung, so ist die betroffene Person über die wesentlichen Gründe für diese Einschränkung und über ihr Recht zu unterrichten, sich an den Europäischen Datenschutzbeauftragten zu wenden.

4. Sobald der Grund für die Anwendung der Einschränkungen nach Absatz 1 nicht mehr besteht, finden die in Absatz 1 genannten Bestimmungen wieder uneingeschränkt Anwendung.

Die betroffene Person hat das Recht, jederzeit aus zwingenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Verarbeitung von zu ihrer Person gespeicherten Daten Widerspruch einlegen zu können, außer in den unter Artikel 5 Buchstaben b), c) und d) fallenden Fällen. Bei berechtigtem Widerspruch darf die betreffende Verarbeitung diese Daten nicht länger einbeziehen.

Die betroffene Person hat das Recht, jederzeit beim Europäischen Datenschutzbeauftragten Beschwerde einzulegen.

Keine betroffene Person ist einer Entscheidung unterworfen, die für sie rechtliche Folgen nach sich zieht oder sie erheblich beeinträchtigt, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens, sofern die Entscheidung nicht ausdrücklich aufgrund einer Rechtsvorschrift zulässig ist, die auch Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person festlegt.

Personen, die den für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen Verpflichtungen aus dem einzelstaatlichen Gesetz.

1. Unter Berücksichtigung des Standes der Technik und der bei der Durchführung entstehenden Kosten hat der für die Verarbeitung Verantwortliche die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.

2. Werden personenbezogene Daten manuell verarbeitet, so sind geeignete Maßnahmen zu treffen, um insbesondere jedem unzulässigen Zugriff oder jeder unberechtigten Weitergabe, Änderung, Zerstörung oder jedem zufälligen Verlust vorzubeugen.

3. Werden personenbezogene Daten mit automatischen Mitteln verarbeitet, so sind Maßnahmen zu treffen, um insbesondere

a) zu verhindern, daß Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, mit denen personenbezogene Daten verarbeitet werden;

b) zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können;

c) jede unbefugte Eingabe in den Speicher sowie die unbefugte Weitergabe, Veränderung oder Löschung gespeicherter personenbezogener Daten zu verhindern;

d) zu verhindern, daß Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können;

e) zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können;

f) zu erfassen, welche personenbezogenen Daten zu welcher Zeit von wem übermittelt worden sind;

g) zu gewährleisten, daß nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem verarbeitet worden sind;

h) zu gewährleisten, daß personenbezogene Daten, die im Auftrag Dritter verarbeitet werden, nur entsprechend den Weisungen des auftraggebenden Organs oder der auftraggebenden Einrichtung verarbeitet werden können;

i) sicherzustellen, daß während der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern die Daten nicht unbefugt gelesen, kopiert oder gelöscht werden können;

j) die organisatorische Struktur innerhalb eines Organs oder einer Einrichtung derart zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird.

Artikel 24
Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

1. Wird die Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen vorgenommen, so hat dieser einen Auftragsverarbeiter auszuwählen, der hinsichtlich der für die Verarbeitung nach Artikel 23 zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet, und sich von der Einhaltung dieser Maßnahmen zu überzeugen.

2. Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrages oder Rechtsakts, durch den der Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist:

a) Der Auftragsverarbeiter handelt nur auf Weisung des für die Verarbeitung Verantwortlichen;

b) die in Artikel 23 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter.

3. Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf Maßnahmen nach Artikel 23 schriftlich oder in einer anderen Form zu dokumentieren.

1. Jedes Organ und jede Einrichtung der Gemeinschaft bestellt zumindest eine Person angemessenen Ranges als behördlichen Datenschutzbeauftragten für personenbezogene Daten, der

a) gewährleistet, daß die für die Verarbeitung Verantwortlichen und die betroffenen Personen über ihre Rechte und Pflichten unterrichtet sind,

b) mit dem Europäischen Datenschutzbeauftragten auf dessen Ersuchen oder aus eigener Initiative zusammenarbeitet,

c) in unabhängiger Art und Weise die innerbehördliche Anwendung der Bestimmungen dieser Verordnung und aller weiteren zu ihrer Durchführung erlassenen Bestimmungen gewährleistet,

d) das Register der von dem für die Verarbeitung Verantwortlichen vorgenommenen Verarbeitungen mit den einzelnen Informationen gemäß Artikel 26 Absatz 2 führt,

e) dem Europäischen Datenschutzbeauftragten Verarbeitungen meldet, die spezifische Risiken im Sinne von Artikel 28 beinhalten können,

und damit sicherstellt, daß die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitungen aller Wahrscheinlichkeit nach nicht beeinträchtigt werden.

2. Der Datenschutzbeauftragte ist mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und den erforderlichen Mitteln auszustatten.

3. Jedes Organ und jede Einrichtung erläßt weitere Durchführungsbestimmungen auf der Grundlage der Richtlinien in Anhang I. Die Durchführungsbestimmungen betreffen insbesondere die Qualifikation, die Ernennung, Entlassung, Unabhängigkeit und Befugnisse des Datenschutzbeauftragten.

1. Der für die Verarbeitung Verantwortliche hat dem in Artikel 25 genannten behördlichen Datenschutzbeauftragten jede Verarbeitung oder jede Reihe von Verarbeitungen zuvor zu melden, die für einen Zweck oder verschiedene, miteinander zusammenhängende Zwecke bestimmt sind.

Alle Änderungen hinsichtlich der Angaben sind dem Datenschutzbeauftragten unverzüglich mitzuteilen.

Jeder Datenschutzbeauftragte führt ein Register der gemäß Artikel 26 gemeldeten Verarbeitungen.

1. Der Europäische Datenschutzbeauftragte bestimmt die Verarbeitungen, die aufgrund ihres Charakters, ihres Sachgebiets oder ihrer Zweckbestimmungen oder aufgrund der spezifischen Verwendung neuer Techniken besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten können, wie die des Ausschlusses einzelner vom einem Recht, einer Leistung oder einem Vertrag.

- bestimmte Verarbeitungen, die besondere Datenkategorien nach Artikel 10 betreffen;

- Verarbeitungen, die dazu bestimmt sind, die Persönlichkeit der betroffenen Person zu bewerten einschließlich ihrer Kompetenz, ihrer Leistung oder ihres Verhaltens.

2. Die Vorabprüfungen nimmt der Europäische Datenschutzbeauftragte nach Erhalt der Meldung von dem Datenschutzbeauftragten vor, der im Zweifelsfall den Europäischen Datenschutzbeauftragten zu konsultieren hat.

3. Der Europäische Datenschutzbeauftragte gibt seine Stellungnahme innerhalb von zwei Monaten nach Empfang der Meldung ab. Ist nach Ablauf dieser beiden Monate keine Stellungnahme erfolgt, so gilt sie als positiv.

4. Der Europäische Datenschutzbeauftragte führt ein Register der ihm aufgrund von Absatz 2 gemeldeten Verarbeitungen. Das Register enthält die Angaben nach Artikel 26 Absatz 2. Es steht zur allgemeinen Einsichtnahme frei.

5. Automatisierte Kommunikationsmittel zwischen den Organen und Einrichtungen der Gemeinschaft wie ein Onlinezugang zu Datenbanken oder eine Verbindung werden nur nach Prüfung des Europäischen Datenschutzbeauftragten eingeführt.

Bei der Prüfung entscheidet der Europäische Datenschutzbeauftragte, ob eine automatische Übermittlung mit den berechtigten Interessen der betroffenen Personen vereinbar und im Hinblick auf die Aufgaben der beteiligten Organe und Einrichtungen der Gemeinschaft erforderlich ist.

1. Unbeschadet jedes gerichtlichen Rechtsschutzes kann jede betroffene Person beim Europäischen Datenschutzbeauftragten Beschwerde führen, wenn sie der Ansicht ist, daß ihre Rechte infolge der Verarbeitung ihrer personenbezogenen Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verletzt wurden.

2. Der Gerichtshof der Europäischen Gemeinschaften und das Gericht erster Instanz der Europäischen Gemeinschaften sind für alle Streitfälle, die die Bestimmungen dieser Verordnung betreffen, einschließlich Schadenersatzklagen zuständig.

Jede vorsätzliche oder fahrlässige Nichteinhaltung der Verpflichtungen aus dieser Verordnung zieht für Beamte oder sonstige Bedienstete der Europäischen Gemeinschaften disziplinarische Maßnahmen gemäß den Bestimmungen und Verfahren nach sich, die im Statut der Beamten der Europäischen Gemeinschaften oder in den auf sie Anwendung findenden Beschäftigungsbedingungen niedergelegt sind.

SCHUTZ DER PERSONENBEZOGENEN DATEN UND DER PRIVATSPHÄRE IM RAHMEN INTERNER TELEKOMMUNIKATIONSNETZE

Dieses Kapitel findet zusätzlich zu den übrigen Bestimmungen dieser Verordnung auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Verwendung von Telekommunikationsnetzen und Endgeräten Anwendung, die unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betrieben werden.

In diesem Kapitel bedeutet "Nutzer" jede natürliche Person, die ein unter der Kontrolle eines Organs oder einer Einrichtung der Gemeinschaft betriebenes Telekommunikationsnetz nutzt.

1. Die Organe und Einrichtungen der Gemeinschaft treffen geeignete technische und organisatorische Maßnahmen, um die sichere Nutzung der Telekommunikationsnetze und Endgeräte gegebenenfalls mit den Anbietern öffentlich zugänglicher Telekommunikationsdienste und/oder den Anbietern öffentlicher Telekommunikationsnetze zu garantieren. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der Kosten ihrer Durchführung ein Sicherheitsniveau gewährleisten, das angesichts des bestehenden Risikos angemessen ist.

2. Besteht ein besonderes Risiko der Verletzung der Sicherheit der Telekommunikationsnetze und Endgeräte, unterrichtet das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft die Nutzer über dieses Risiko und über mögliche Abhilfen oder alternative Kommunikationsmittel.

1. Die Organe und Einrichtungen der Gemeinschaft gewährleisten die Vertraulichkeit der Übermittlungen über Telekommunikationsnetze und Endgeräte.

Das Mithören, Abhören, Speichern oder andere Formen des Abfangens oder Überwachens von Übermittlungen durch andere Personen als die Nutzer sind ohne Einwilligung der betreffenden Nutzer untersagt.

2. Absatz 1 betrifft nicht das aufgrund interner Regeln von Organen und Einrichtungen der Gemeinschaft zulässige Aufzeichnen von Kommunikationen zum Nachweis von rechtlichen oder Verwaltungshandlungen im Rahmen der Erfüllung rechtmäßiger Aufgaben der betroffenen Organe und Einrichtungen der Gemeinschaft, sofern der Europäische Datenschutzbeauftragte zugestimmt hat.

1. Verkehrsdaten, die sich auf Nutzer beziehen und die für den Verbindungsaufbau von Anrufen oder anderen Verbindungen über das Telekommunikationsnetz verarbeitet oder gespeichert werden, sind nach Beendigung des Gesprächs oder anderer Verbindungen unbeschadet der Bestimmungen der Absätze 2, 3 und 4 zu löschen oder zu anonymisieren.

2. Für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs einschließlich der Kontrolle rechtmäßiger Nutzung des Telekommunikationssystems können die in einer vom Europäischen Datenschutzbeauftragten genehmigten Liste genannten Verkehrsdaten verarbeitet werden.

3. Die Verarbeitung von Verkehrsdaten oder Daten für die Gebührenabrechnung ist auf das für die in Absatz 2 genannten Tätigkeiten erforderliche Maß zu beschränken und darf lediglich durch Personen vorgenommen werden, die für die Gebührenabrechnung, Verkehrsabwicklung oder die Verwaltung des Haushalts zuständig sind.

4. Die Nutzer der Telekommunikationsnetze haben das Recht, Rechnungen ohne Einzelgebührennachweis zu erhalten.

1. Personenbezogene Daten in gedruckten oder elektronischen Nutzerverzeichnissen sollten auf das für die besonderen Zwecke dieses Nutzerverzeichnisses erforderliche. Maß beschränkt sein.

2. Die Organe und Einrichtungen der Gemeinschaft treffen die erforderlichen Maßnahmen, um zu verhindern, daß in diesen Verzeichnissen enthaltene personenbezogene Daten, unabhängig davon, ob sie der Öffentlichkeit zugänglich sind, für Zwecke des Direktmarketings verwendet werden.

Artikel 36
Anzeige der Rufnummer des Anrufers und des Angerufenen und deren Unterdrückung

1. Wird die Anzeige der Rufnummer des Anrufers angeboten, so muß der anrufende Nutzer die Möglichkeit haben, die Rufnummernanzeige auf einfache Weise und gebührenfrei zu unterdrücken.

2. Wird die Anzeige der Rufnummer des Anrufers angeboten, so muß der angerufene Nutzer die Möglichkeit haben, die Anzeige der Rufnummer eingehender Anrufe auf einfache Weise und gebührenfrei zu unterdrücken.

3. Wird die Anzeige der Rufnummer des Angerufenen angeboten, so muß der angerufene Nutzer die Möglichkeit haben, die Anzeige seiner Rufnummer beim anrufenden Nutzer auf einfache Weise und gebührenfrei zu unterdrücken.

4. Wird die Anzeige der Rufnummer des Anrufers und/oder des Angerufenen angeboten, so unterrichten die Organe und Einrichtungen der Gemeinschaft die Nutzer hierüber und über die in den Absätzen 1, 2 und 3 beschriebenen Möglichkeiten.

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, daß es transparente Verfahren gibt, nach denen sie die Unterdrückung der Rufnummernanzeige aufheben können, und zwar

a) vorübergehend, wenn ein Nutzer beantragt hat, daß böswillige oder belästigende Anrufe zurückverfolgt werden;

b) permanent für Verwaltungseinheiten, die Notrufe bearbeiten, zum Zwecke der Beantwortung dieser Anrufe.

1. Hiermit wird eine Kontrollbehörde, der Europäische Datenschutzbeauftragte, eingerichtet.

2. Er ist für die Überwachung der Anwendung der Bestimmungen dieser Verordnung und aller anderen Rechtsakte der Gemeinschaft zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Gemeinschaft verantwortlich.

1. Der Europäische Datenschutzbeauftragte wird auf Vorschlag der Kommission im Einverständnis von Europäischem Parlament, Rat und Kommission ernannt.

2. Der Europäische Datenschutzbeauftragte wird aus dem Kreis der Personen ausgewählt, die in ihren jeweiligen Ländern den unabhängigen Behörden angehören oder angehört haben, die die Verarbeitung personenbezogener Daten überwachen, oder die für dieses Amt besonders qualifiziert sind.

3. Eine Wiederernennung des Europäischen Datenschutzbeauftragten ist zulässig.

5. Außer bei normaler Neubesetzung oder im Todesfall enden die Aufgaben des Europäischen Datenschutzbeauftragten, wenn er von seinem Mandat zurücktritt oder nach Absatz 6 seines Amtes enthoben wird.

6. Der Europäische Datenschutzbeauftragte kann auf Antrag des Europäischen Parlaments des Rates oder der Kommission vom Gerichtshof seines Amtes enthoben werden, wenn er die Voraussetzungen für die Ausübung seines Amtes nicht mehr erfüllt oder eine schwere Verfehlung begangen hat.

7. Vorbehaltlich der Bestimmungen dieses Kapitels finden die für die Richter des Gerichtshofes geltenden Bestimmungen des Protokolls über die Vorrechte und Befreiungen der Europäischen Gemeinschaften auf den Europäischen Datenschutzbeauftragten Anwendung.

1. Das Europäische Parlament, der Rat und die Kommission legen im Einverständnis die Arbeitsbedingungen des Europäischen Datenschutzbeauftragten fest, insbesondere sein Gehalt, seine Zulagen und alle Vergütungen, die anstelle von Dienstbezügen erfolgen.

2. Das Europäische Parlament gewährleistet, daß der Europäische Datenschutzbeauftragte mit dem für die Erfüllung seiner Aufgaben erforderlichen Personal und der erforderlichen Ausrüstung ausgestattet wird.

3. Die personelle und materielle Ausstattung werden in einem gesonderten Kapitel des Haushalts des Europäischen Parlaments aufgeführt.

4. Das Personal wird vom Europäischen Datenschutzbeauftragten eingestellt. Sein Vorgesetzter ist der Europäische Datenschutzbeauftragte, es untersteht ausschließlich seiner Leitung.

5. Für die Beamten und die sonstigen Angehörigen des Personals gelten die Verordnungen und Regelungen für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften.

6. In Personalfragen hat der Europäische Datenschutzbeauftragte denselben Status wie die Organe im Sinne von Artikel 1 des Statuts der Beamten der Europäischen Gemeinschaften.

1. Der Europäische Datenschutzbeauftragte nimmt die ihm zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.

2. Der Europäische Datenschutzbeauftragte fordert bei der Erfüllung seiner Pflichten von keiner Stelle Anweisungen an oder nimmt sie entgegen.

3. Der Europäische Datenschutzbeauftragte unterläßt alle mit seinen Pflichten unvereinbaren Maßnahmen und übt während seiner Amtszeit keine andere entgeltliche oder unentgeltliche Tätigkeit aus.

4. Nach seiner Amtszeit wird der Europäische Datenschutzbeauftragte im Hinblick auf die Annahme von Mandaten und Leistungen ehrenhaft und zurückhaltend handeln.

Der Europäische Datenschutzbeauftragte und sein Personal unterliegen während ihrer Amtszeit und nach deren Beendigung der beruflichen Schweigepflicht im Hinblick auf alle vertraulichen Angelegenheiten, die ihnen bei der Erfüllung ihrer Pflichten bekannt geworden sind.

b) überwacht alle Verarbeitungen, die personenbezogene Daten betreffen, durch alle Organe oder Einrichtungen der Gemeinschaft mit Ausnahme des Gerichtshofs und des Gerichts erster Instanz bei Handlungen in ihrer gerichtlichen Eigenschaft;

c) berät alle Organe und Einrichtungen der Gemeinschaft in allen Fragen, die die Verwendung personenbezogener Daten betreffen, insbesondere bevor sie interne Regeln bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten ausarbeiten;

d) verfolgt die Entwicklung der Informations- und Kommunikationstechniken, soweit diese sich auf den Schutz personenbezogener Daten auswirken;

e) arbeitet, soweit dies für die Erfüllung seiner Pflichten erforderlich ist, mit den einzelstaatlichen Kontrollstellen zusammen, insbesondere durch den Austausch aller sachdienlichen Informationen oder durch die Aufforderung der Kontrollstelle eines Mitgliedstaats, ihre Befugnisse auszuüben;

f) nimmt an den Arbeiten der durch Artikel 29 der Richtlinie 95/46/EG eingesetzten "Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten" teil;

1. Die Organe und Einrichtungen der Gemeinschaft unterrichten den Europäischen Datenschutzbeauftragten über die Ausarbeitung von Entwürfen für Maßnahmen im Zusammenhang mit der Verarbeitung personenbezogener Daten, an denen ein Organ oder eine Einrichtung der Gemeinschaft allein oder gemeinsam mit anderen beteiligt ist.

2. Der Europäische Datenschutzbeauftragte wird von der Kommission über alle Entwürfe von Vorschlägen für Rechtsvorschriften der, Gemeinschaft unterrichtet, die eine Verarbeitung personenbezogener Daten beinhalten.

3. Der Europäische Datenschutzbeauftragte kann von jedem Organ oder jeder Einrichtung der Gemeinschaft zu allen Vorgängen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu Rate gezogen werden.

1. Jede bei den Organen oder Einrichtungen der Gemeinschaft beschäftigte Person kann sich in einer Angelegenheit, die sie oder ihre Aufgaben betrifft, mit einer Eingabe an den Europäischen Datenschutzbeauftragten wenden, ohne daß der Dienstweg einzuhalten ist.

2. Niemand darf aufgrund einer Eingabe oder einer Beschwerde beim Europäischen Datenschutzbeauftragten, die auf einen Verstoß gegen die Vorschriften für die Verarbeitung personenbezogener Daten hinweist, benachteiligt werden.

a) er führt aus eigener Initiative oder aufgrund von Beschwerden oder Eingaben Untersuchungen durch,

Alle für die Verarbeitung Verantwortlichen unterstützen den Europäischen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben.

a) die Berichtigung, Sperrung, Löschung oder Vernichtung aller Daten anzuordnen, die unter Verletzung der Bestimmungen für die Verarbeitung personenbezogener Daten verarbeitet wurden,

d) dem betroffenen Organ oder der betroffenen Einrichtung der Gemeinschaft und falls erforderlich dem Europäischen Parlament, dem Rat und der Kommission und über die Angelegenheit zu berichten,

e) in Verfahren vor dem Gerichtshof und dem Gericht erster Instanz zu intervenieren,

f) die betroffenen Personen zu beraten und sie gegebenenfalls als Sachverständiger in Verfahren vor dem Gericht erster Instanz zu unterstützen.

3. Stellt der Europäische Datenschutzbeauftragte einen Verstoß gegen die Bestimmungen für die Verarbeitung personenbezogener Daten oder Unregelmäßigkeiten bei der Verarbeitung fest, so befaßt er das betreffende Organ oder die betreffende Einrichtung der Gemeinschaft mit der Angelegenheit und macht gegebenenfalls Vorschläge, um diese Unregelmäßigkeiten zu, beheben und den Schutz der betroffenen Personen zu verbessern.

4. Die betroffenen Organe oder Einrichtungen übermitteln dem Europäischen Datenschutzbeauftragten ihre Stellungnahme innerhalb der von ihm gesetzten Frist. Diese Stellungnahme umfaßt auch eine Beschreibung der im Anschluß an die Bemerkungen des Europäischen Datenschutzbeauftragten getroffenen Maßnahmen.

5. Im Fall einer Beschwerde oder Eingabe unterrichtet der Europäische Datenschutzbeauftragte die betroffenen Personen über das Ergebnis der Untersuchungen.

6. Wurde der betroffenen Person der Zugang verweigert, so unterrichtet der Europäische Datenschutzbeauftragte die betroffene Person nur darüber, ob die Daten richtig verarbeitet wurden und, falls nicht, ob die erforderlichen Berichtigungen vorgenommen wurden. Ist der Europäische Datenschutzbeauftragte der Ansicht, daß die Einschränkung des Rechts auf Bestätigung nach Artikel 13 Buchstabe a) ihrer Wirkung beraubt wird, wenn diese Information mitgeteilt wird, so unterrichtet er die betroffene Person nicht über das Ergebnis seiner Untersuchungen.

7. Klagen gegen Entscheidungen des Europäischen Datenschutzbeauftragten, können beim Gerichtshof oder dem Gericht erster Instanz erhoben werden.

1. Der Europäische Datenschutzbeauftragte legt dem Europäischen Parlament jährlich einen Bericht über seine Tätigkeit vor, den er gleichzeitig veröffentlicht.

2. Der Bericht wird den übrigen Organen und Einrichtungen der Gemeinschaft übermittelt und vom Europäischen Parlament gemeinsam mit deren Erwiderungen erörtert.

Die Organe und Einrichtungen der Gemeinschaft stellen sicher, daß die zum Zeitpunkt des Inkrafttretens dieser Verordnung begonnene Datenverarbeitung innerhalb eines Jahres mit dieser Verordnung in Einklang gebracht wird.

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Gemeinschaften in Kraft.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Vorschlag einer Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr

Inhaltsübersicht

Begründung

KAPITEL I

ALLGEMEINE BESTIMMUNGEN

KAPITEL II

ALLGEMEINE BESTIMMUNGEN ÜBER DIE RECHTMÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

KAPITEL III

RECHTSBEHELFE UND SANKTIONEN

KAPITEL IV

SCHUTZ DER PERSONENBEZOGENEN DATEN UND DER PRIVATSPHÄRE IM RAHMEN INTERNER TELEKOMMUNIKATIONSNETZE

KAPITEL V

KONTROLLBEHÖRDE: DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE

KAPITEL VI

SCHLUSSBESTIMMUNGEN

Anhang 1

Anhang 2

Erläuterung der Artikel

VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES

zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr