Datenschutz und Recht

Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Zurück zu den Kapiteln I bis VI  Zurück zu den Kapiteln I bis VI

 

ANHANG I

1. Der behördliche Datenschutzbeauftragte ist auf der Grundlage seiner Autorität, seiner Fachkunde und seiner persönlichen Zuverlässigkeit auszuwählen.

2. Die Bestellung des behördlichen Datenschutzbeauftragten darf keinen Interessenkonflikt im Hinblick auf andere Aufgaben, insbesondere in Verbindung mit der Anwendung der Bestimmungen dieser Verordnung nach sich ziehen.

3. Der behördliche Datenschutzbeauftragte wird für eine Amtszeit von mindestens zwei Jahren bestellt. Eine Wiederbestellung ist möglich. Die Bestellung kann nur mit Zustimmung des Europäischen Datenschutzbeauftragten widerrufen werden, wenn der behördliche Datenschutzbeauftragte die für die Erfüllung seiner Aufgaben erforderlichen Voraussetzungen nicht mehr erfüllt.

4. Im Hinblick auf die Erfüllung seiner Aufgaben darf der behördliche Datenschutzbeauftragte keinen Weisungen unterworfen sein.

5. Nach seiner Bestellung ist der behördliche Datenschutzbeauftragte durch das Organ oder die Einrichtung (oder Person), die ihn bestellt haben, beim Europäischen Datenschutzbeauftragten einzutragen.

6. Der behördliche Datenschutzbeauftragte kann Empfehlungen für die praktische Verbesserung des Datenschutzes machen und das Organ oder die Einrichtung der Gemeinschaft, die ihn bestellt haben, sowie den für die Verarbeitung Verantwortlichen in Fragen der Anwendung der Datenschutzbestimmungen beraten. Darüber hinaus prüft er in eigener Initiative oder auf Ersuchen des Organs oder der Einrichtung der Gemeinschaft, die ihn bestellt haben, des für die Verarbeitung Verantwortlichen, des zuständigen Personalausschusses oder der betroffenen Person Fragen- und Vorkommnisse, die mit seinen Aufgaben in direktem Zusammenhang stehen und ihm zur Kenntnis gebracht werden.

7. Das Organ oder die Einrichtung der Gemeinschaft, die ihn bestellt haben, der für die Verarbeitung Verantwortliche, der betreffende. Personalausschuß sowie jede .Person können den behördlichen Datenschutzbeauftragten zu jeder Frage im Zusammenhang mit der Auslegung oder Anwendung der Verordnung zu Rate ziehen, ohne den Dienstweg einzuhalten.

8. Niemand darf aus dem Grunde benachteiligt werden, daß dem behördlichen Datenschutzbeauftragten eine Angelegenheit zur Kenntnis gebracht wurde, die auf eine Verletzung der Bestimmungen dieser Verordnung hinweist.

9. Jeder für die Verarbeitung Verantwortliche hat den behördlichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen und auf Anfrage Auskunft zu erteilen. Bei der Erfüllung seiner Aufgaben hat der behördliche Datenschutzbeauftragte jederzeit Zugang zu den Daten, die Gegenstand der Verarbeitung sind, sowie zu allen Geschäftsräumen, Datenverarbeitungsanlagen und Datenträgern und kann die notwendigen Informationen einholen.

10. Er ist soweit erforderlich von anderen Tätigkeiten freizustellen. Der behördliche Datenschutzbeauftragte und sein Personal, auf die Artikel 287 EG-Vertrag Anwendung findet, unterliegen im Hinblick auf Informationen oder Dokumente, die sie bei der Erfüllung ihrer Aufgaben erhalten, der Verschwiegenheitspflicht.

 

ANHANG II

1. Name und Anschrift des für die Verarbeitung Verantwortlichen.

2. Namen der Personen und/oder Angabe der organisatorischen Einheiten eines Organs oder einer Einrichtung, die mit der Verarbeitung personenbezogener Daten für einen bestimmten Zweck beauftragt sind.

3. Zweckbestimmung(en) der Verarbeitung.

4. Eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien.

5. Die Rechtsgrundlage der Verarbeitung, für die die Daten beabsichtigt sind.

6. Die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können.

7. Die Fristen für Sperrung und Löschung der verschiedenen Datenkategorien.

8. Geplante Datenübermittlungen in Drittländer.

9. Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 23 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

 

ERLÄUTERUNG DER ARTIKEL

Nach dem neuen Artikel 286 EG-Vertrag sind die ;Organe und Einrichtungen der Gemeinschaft verpflichtet, die Rechtsakte der Gemeinschaft über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und dem freien Verkehr solcher Daten anzuwenden. Diese Verpflichtung schränkt die Gestaltungsfreiheit der Kommission in bezug auf Inhalt und Anwendungsbereich der in dieser Verordnung enthaltenen materiellrechtlichen Datenschutzbestimmungen erheblich ein. Artikel 286 EG-Vertrag verpflichtet mit anderen Worten die Kommission, die durch die Richtlinie 95/46/EG gesteckten Grenzen zu beachten. Dies ist auch der wesentliche Grund, warum die Verordnung eng dem Wortlaut und Aufbau der Richtlinie 95/46/EG folgt. Außerdem muß eine einheitliche Auslegung von Richtlinie und Verordnung sichergestellt sein.

Der Wortlaut der Verordnung entspricht allerdings nicht vollständig der Richtlinie. Die Richtlinie gibt einen Rahmen vor, der eine weitere Umsetzung entweder durch innerstaatliches Recht für die Mitgliedstaaten oder durch diese Verordnung für die Organe und Einrichtungen der Gemeinschaft erfordert. Die Verordnung ist daher präziser und detaillierter als die Richtlinie. In einigen Bereichen läßt die Richtlinie eine Wahl zwischen mehreren Alternativen. Auch aus diesem Grund weicht der Wortlaut der Verordnung von der Richtlinie ab. Durch die Verordnung wird die in Artikel 286 genannte unabhängige Kontrollinstanz errichtet, die einer ausführlicheren Regelung als in der Richtlinie bedarf, die die Umsetzung dem innerstaatlichen Recht der Mitgliedstaaten überläßt.

Die nachfolgenden Ausführungen konzentrieren sich auf die Verordnungsbestimmungen, die von den entsprechenden Richtlinienbestimmungen abweichen.

 

Kapitel I: Allgemeine Bestimmungen

Artikel 1: Gegenstand der Verordnung

Artikel 1 betrifft den Gegenstand der Verordnung. Die Schutzleistung erstreckt sich nicht nur auf die Verarbeitungen von Daten, die Bedienstete der Organe oder jede andere, für diese arbeitende Person betreffen, sondern auch auf Verarbeitungen von Daten, die jede natürliche Person außerhalb der Organe betreffen: beispielsweise Lieferanten oder Begünstigte von Gemeinschaftsfonds. Auch die der Kommission von den Mitgliedstaaten zur Verwaltung oder Kontrolle der Zahlung von Gemeinschaftszuschüssen übermittelten personenbezogenen Informationen werden aufgrund dieser Verordnung geschützt.

Hervorzuheben ist, daß sich der Gegenstand dieser Verordnung von dem der Richtlinie unterscheidet.

Die Richtlinie, die sich auf Artikel 100 a EG-Vertrag stützt, zielt darauf ab, die Erfordernisse, die der Errichtung des Binnenmarkts zugrunde liegen, mit denen des Schutzes der natürlichen Personen zu vereinbaren. Dies kommt in den beiden Absätzen von Artikel 1 zum Ausdruck: Der erste enthält die Verpflichtung der Mitgliedstaaten, den Schutz der Grundrechte und -freiheiten natürlicher Personen nach den Bestimmungen der Richtlinie zu gewährleisten, während im zweiten die Konsequenzen für den freien Verkehr personenbezogener Daten im Binnenmarkt gezogen werden. Der erste Absatz bezieht sich mit anderen Worten auf das zur Erreichung des Ziels eingesetzte Mittel, nämlich auf die Harmonisierung der nationalen Rechtsvorschriften, der zweite auf das Ziel an sich, d.h. den freien Verkehr personenbezogener Daten.

Diese Logik muß in Artikel 1 der vorliegenden Verordnung nicht wiederholt werden.

Durch die Verordnung soll die Verpflichtung der Organe und Einrichtungen der Gemeinschaft, die Grundrechte und -freiheiten natürlicher Personen, insbesondere ihr Recht auf Privatsphäre bei der Verarbeitung ihrer personenbezogenen Daten, zu schützen, konkretisiert werden.

Auf diese Weise wird sichergestellt, daß die für die Erfüllung ihrer Aufgaben an die Organe und Einrichtungen der Gemeinschaft übermittelten personenbezogenen Daten unter Bedingungen verarbeitet werden, die die Einhaltung der Grundrechte und -freiheiten der betroffenen Personen garantieren. Diese Bedingungen folgen im übrigen den Vorgaben der Richtlinie.

Es ist nicht erforderlich, in die Verordnung eine ähnliche Bestimmung wie Artikel 1 Absatz 2 der Richtlinie aufzunehmen, da der Informationsfluß, insbesondere der Verkehr personenbezogener Informationen zwischen den Mitgliedstaaten und den Organen und Einrichtungen der Gemeinschaft sowie zwischen den Organen und Einrichtungen der Gemeinschaft, den einschlägigen Bestimmungen der Verträge (wie Artikel 284 EG-Vertrag) und des abgeleiteten Gemeinschaftsrechts unterliegt.

Im übrigen beeinträchtigt diese Verordnung selbstverständlich nicht die Rechte, die möglicherweise durch andere gemeinschaftliche oder nationale Bestimmungen garantiert sind. Dies gilt insbesondere für die durch das Statut für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften festgelegten Regeln.

Artikel 2: Begriffsbestimmungen

Dieser Artikel greift die Definitionen des Artikels 2 der Richtlinie wieder auf.

Die Begriffsbestimmung des "für die Verarbeitung Verantwortlichen" wurde allerdings an den spezifischen Gemeinschaftskontext angepaßt. Hier handelt es sich um eine Präzisierung allein in tatsächlicher Hinsicht, die hervorhebt, daß je nach Situation der Verantwortliche ein Organ oder eine Einrichtung bzw. eine Verwaltungsdienststelle wie beispielsweise eine Generaldirektion sein kann. Die Kriterien, anhand deren sich bestimmen läßt, wer als Verantwortlicher einer Datenverarbeitung anzusehen ist, sind der Richtlinie entnommen. Es handelt sich um die Stelle, die über die Zweckbestimmung der Verarbeitung und die Mittel für ihre Durchführung entscheidet.

Artikel 3: Anwendungsbereich

Absatz 1: Organe und Einrichtungen, auf die die Verordnung Anwendung findet

Die Verordnung gilt für die Verarbeitung personenbezogener Daten durch alle Organe und Einrichtungen der Gemeinschaft.

Infolgedessen fällt in den Anwendungsbereich der Verordnung die Verarbeitung durch

- die in Artikel 7 EG-Vertrag aufgelisteten Organe: Europäisches Parlament, Rat, Kommission, Gerichtshof, Rechnungshof;

- die durch den EG-, EGKS- und EAG-Vertrag gegründeten Einrichtungen: Europäische Zentralbank, Europäische Investitionsbank, Bürgerbeauftragter, Wirtschafts- und Sozialausschuß, Ausschuß der Regionen; die auf der Grundlage von Rechtsakten des abgeleiteten Gemeinschaftsrechts, (z. B. gestützt auf Artikel 308 EG-Vertrag) geschaffenen Einrichtungen: Europäisches Zentrum für die Förderung der Berufsbildung, Europäische Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen, Europäische Umweltagentur, Europäische Stiftung für Berufsbildung, Europäische Beobachtungsstelle für Drogen und Drogensucht, Europäische Agentur für die Beurteilung von Arzneimitteln, Harmonisierungsamt für den Binnenmarkt (Marken und Muster), Europäische Agentur für Gesundheitsschutz und Sicherheit am Arbeitsplatz, Gemeinschaftliches Sortenamt, Übersetzungszentrale für die Einrichtungen der Union.

Die Verordnung findet auf die Verarbeitung von Daten im Zusammenhang mit allen Tätigkeiten der Organe und Einrichtungen der Gemeinschaft Anwendung. Ein Unterschied zwischen diesen Tätigkeiten wird nicht gemacht: Es kann sich um Tätigkeiten aufgrund des EG-, EGKS-, EAG-Vertrags oder gegebenenfalls auch um Tätigkeiten aufgrund von Titel VI des Vertrags über die Europäische Union handeln.

Die Verarbeitung personenbezogener Daten durch die im Rahmen des Titels VI des EU- Vertrags geschaffenen Einrichtungen wie Europol wird hingegen vom Anwendungsbereich dieser Verordnung nicht erfaßt.

Absatz 2: Unter die Verordnung fallende Verarbeitung von Daten

Dieser Absatz greift Artikel 3 Absatz 1 der Richtlinie auf: Er betrifft die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung solcher Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

 

Kapitel II: Allgemeine Bestimmungen über die Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Abschnitt 1: Grundsätze in bezug auf die Qualität der Daten

Artikel 4

Dieser Artikel übernimmt die Bestimmungen des Artikels 6 der Richtlinie.

Insbesondere enthält er unter den Buchstaben b) und c) die Ausnahmebestimmungen, die die spätere Verwendung von Daten für historische, statistische oder wissenschaftliche Zwecke ermöglichen, wobei allerdings geeignete Garantien vorgesehen werden müssen.

Dem Text zufolge müssen die geeigneten Garantien von dem Organ oder der Einrichtung vorgesehen werden, die den betreffenden historischen, statistischen oder wissenschaftlichen Zweck verfolgen.

Die weitere Verarbeitung für andere Zwecke als jene, für die die Daten ursprünglich erhoben wurden, kann durch Rechtsvorschriften wie Artikel 16 der Verordnung (EG) Nr. 322/97 des Rates vom 17. Februar 1997 über die Gemeinschaftstatistiken, der die Verwendung von Verwaltungsdaten vorsieht, um die Belastung für die Auskunftgebenden möglichst gering zu halten, ausdrücklich zugelassen werden.

 

Abschnitt 2: Kriterien für die Zulässigkeit der Verarbeitung. personenbezogener Daten

Artikel 5

Dieser Artikel enthält wie Artikel 7 der Richtlinie eine erschöpfende Liste der Kriterien für die Zulässigkeit der Datenverarbeitung.

Allerdings wurden drei Änderungen vorgenommen:

- Die Liste wurde anders strukturiert;

- sie ist kürzer;

- der Wortlaut eines der Kriterien wurde präzisiert.

- Die Liste wurde anders strukturiert: Die Kriterien wurden nach der praktischen Bedeutung geordnet, die bei Behörden wie den Organen und Einrichtungen der Gemeinschaft erwartet werden kann. Insbesondere scheint es logisch, die Wahrnehmung der den Organen und Einrichtungen der Gemeinschaft obliegenden Aufgaben als erste Voraussetzung für die Zulässigkeit der Datenverarbeitung zu nennen. Der gleichen Logik zufolge dürften die Einwilligung der betroffenen Personen oder ihre lebenswichtigen Interessen, auch wenn sie als Kriterium erforderlich sind, um bestimmte Tätigkeiten der Organe und Einrichtungen beispielsweise im Zusammenhang mit der Verwaltung ihrer ärztlichen Dienste zu erfüllen, in der Praxis nicht die am häufigsten verwendeten Voraussetzungen für die Zulässigkeit der Verarbeitung sein.

- Die Liste ist kürzer: Buchstabe f) des Artikels 7 der Richtlinie wurde nicht übernommen. Diese Bestimmung, die die Zulässigkeit der Verarbeitung auf das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten stützt, sofern nicht das Interesse der Person, deren Daten verarbeitet werden, vorgeht, findet im Tätigkeitsbereich des öffentlichen Dienstes keine Anwendung. Ihr breiterer Anwendungsbereich sollte nur privatwirtschaftliche Tätigkeiten erfassen.

- Anpassung des Wortlauts von Buchstabe a): Dieser Buchstabe greift Buchstabe f) des Artikels 7 der Richtlinie auf und paßt ihn an den Gemeinschaftskontext an: Träger der öffentlichen Gewalt, auf deren Grundlage Datenverarbeitungen vorgenommen werden können, sind die Organe und Einrichtungen der Gemeinschaft. Buchstabe a) schließt die für die tägliche Verwaltung der Gemeinschaftsorgane und -einrichtungen notwendige Verarbeitung ein, wie die Verarbeitung personenbezogener Daten von Beamten und sonstigen Bediensteten.

Artikel 6: Änderung der Zweckbestimmung

Dieser Artikel bezieht sich auf die Verarbeitung von Daten für einen anderen Zweck als den, für den die Daten erfaßt wurden, der aber gleichwohl mit letzterem vereinbar ist.

Nach Absatz 1 muß die Änderung der Zweckbestimmung durch die Geschäftsordnung des betreffenden Organs oder der Einrichtung legitimiert sein.

Die Absätze 2 und 3 regeln zwei besondere Fälle, in denen die Zweckbestimmung geändert wurde. Nach Absatz 2 können personenbezogene Daten trotz geänderter Zweckbestimmung verarbeitet werden, um die Einhaltung der Finanz- und Haushaltsvorschriften zu gewährleisten, während Absatz 3 die Verarbeitung personenbezogener Daten, die ausschließlich zur Gewährleistung der Sicherheit oder Kontrolle der Verarbeitungssysteme oder -vorgänge erfaßt werden, für andere Zwecke verbietet.

Artikel 6 gilt unbeschadet von Artikel 18, der bestimmt, unter welchen Voraussetzungen die weitere Verarbeitung von Daten für nicht kompatible Zweckbestimmungen als zulässig angesehen werden kann.

Artikel 7, 8 und 9: Übermittlung personenbezogener Daten

Die Artikel 7, 8 und 9 unterscheiden drei Arten der Datenübermittlung.

Artikel 7 regelt die Übermittlung personenbezogener Daten innerhalb der Organe oder Einrichtungen der Gemeinschaft sowie an andere Organe oder Einrichtungen der Gemeinschaft. In diesem Fall werden personenbezogene Daten an Empfänger übermittelt, die ebenfalls dieser Verordnung unterliegen.

Artikel 8 regelt die Übermittlung personenbezogener Daten von einem Organ oder einer Einrichtung der Gemeinschaft an einen Empfänger, für den die Richtlinie 95/46/EG maßgebend ist.

Die Artikel 7 und 8 gelten unbeschadet der Artikel 4, 5 und 6. Sie enthalten zusätzliche Garantien und präzisieren die Verantwortung des für die Verarbeitung Verantwortlichen und des Empfängers (Artikel 7).

Artikel 9: Übermittlung personenbezogener Daten an Empfänger, für die keine angemessenen Schutzbestimmungen gelten

Artikel 9, der die Artikel 25 und 26 der Richtlinie aufgreift, betrifft die Übermittlung personenbezogener Daten an Empfänger, die weder dieser Verordnung noch der Richtlinie 95/46/EG unterliegen. In den meisten Fällen dürfte es sich um die Datenübermittlung in Drittländer handeln. Die Verfahrensvorschriften von Artikel 9 wurden, soweit möglich, der Richtlinie nachgebildet.

 

Abschnitt 3: Besondere Kategorien der Verarbeitung

Artikel 10: Die Verarbeitung besonderer Kategorien personenbezogener Daten

Dieser Artikel folgt der Struktur von Artikel 8 der Richtlinie insoweit als

- zum einen in Absatz 1 ein Verbot der Verarbeitung sensibler Daten ausgesprochen wird, wobei folgende Datenkategorien als sensibel angesehen werden: Daten, aus denen die rassische oder ethnische Herkunft, die politische Meinung, religiöse oder philosophische. Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über Gesundheit und Sexualleben; und

- zum anderen eine Reihe von Ausnahmen festgelegt werden, die besonderen Erfordernissen entsprechen und für die geeignete Garantien vorgesehen sind.

Das Statut für die Beamten und sonstigen Bediensteten bei den Europäischen Gemeinschaften enthält bereits Bestimmungen, die die Aufnahme bestimmter sensibler Daten in die Personalakte des Beamten verbieten. Artikel 26 des Statuts nennt die politische, philosophische oder religiöse Überzeugung eines Beamten. Die anderen Daten, die in der Richtlinie als sensibel angesehen werden, sind im Statut nicht aufgeführt. Hier bedarf es zu gegebener Zeit einer Anpassung an die vorliegende Verordnung.

Die Ausnahmebestimmungen im Hinblick auf strafrechtliche Verurteilungen nach Artikel 8 Absatz 5 der Richtlinie finden auf die Organe und Einrichtungen der Gemeinschaft nur teilweise Anwendung.

Der Europäische Datenschutzbeauftragte kann gemäß den Absätzen 4 bis 6 zusätzliche Ausnahmen beschließen (Absatz 4), die Verarbeitung von Daten zuzulassen, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen (Absatz 5), und festlegen, unter welchen Voraussetzungen Personalnummern oder andere Kennzeichen in einem Organ oder einer Einrichtung der Gemeinschaft verarbeitet werden dürfen (Absatz 6).

Beispielsweise kann die für die Verhinderung unerlaubter Nutzung, beispielsweise zur Verbreitung von rassistischen Informationen oder Pornographie, von Computer Netzwerken notwendige Verarbeitung vom Europäischen Datenschutzbeauftragten genehmigt werden,

Der Europäische Datenschutzbeauftragte darf sein Ermessen gemäß den Absätzen 4 bis 6 nicht in einer Weise nutzen, die den im Gemeinschaftsrecht oder in anderen Rechtsvorschriften festgelegten Ausnahmen zuwiderläuft.

Schließlich wird vorgeschlagen, die den Mitgliedstaaten in Artikel 8 Absatz 5 zweiter Unterabsatz der Richtlinie eingeräumte Option, wonach die für strafrechtliche Sanktionen geltenden Regelungen auf administrative Strafen und zivilrechtliche Urteile ausgeweitet werden können, nicht in diese Verordnung zu übernehmen.

 

Abschnitt 4: Information der betroffenen Person

Artikel 11: Information bei der Erhebung personenbezogener Daten bei der betroffenen Person

Artikel 11 Absatz 1 lehnt sich eng an Artikel 10 der Richtlinie an.

Dazu sind allerdings zwei Bemerkungen zu machen:

- Zum Auskunftspflichtigen: Der Verweis auf den Vertreter des Verantwortlichen in Artikel 10 der Richtlinie gilt für den Fall, daß der für die Verarbeitung Verantwortliche seinen Sitz nicht im Hoheitsgebiet der Gemeinschaft, sondern in einem Drittland hat. Da es sich um die Organe und Einrichtungen der Gemeinschaft handelt, ist eine solche Bezugnahme irrelevant und wurde deshalb in die vorliegende Verordnung nicht aufgenommen;

- Im Hinblick auf die Informationen, die den betroffenen Personen zu erteilen sind, enthält Artikel 11 dieser Verordnung wie Artikel 10 der Richtlinie eine Auflistung dieser Angaben. Es wird vorgeschlagen, die in der Richtlinie vorgesehene Minimalliste zu ergänzen.

Artikel 10 der Richtlinie enthält keine ausdrückliche, Festlegung; des Zeitpunktes der Informationsvermittlung an den Betroffenen. Im allgemeinen ist dies der Zeitpunkt der Erhebung der Daten. Artikel 11 Absatz 2 erlaubt eine Verschiebung dieses Zeitpunkts soweit aus den besonders in dieser Vorschrift genannten Gründen.

Artikel 12: Information, wenn die Daten nicht bei der betroffenen Person erhoben wurden

Die Bemerkungen zu Artikel 11 gelten auch für Artikel 12. Die Ausnahmen von der Informationspflicht nach Artikel 11 der Richtlinie wurden mit dem Zusatz übernommen, daß es sich bei der Rechtsvorschrift, auf die eine solche Ausnahmeregelung gestützt werden kann, um Gemeinschaftsrecht handelt.

 

Abschnitt 5: Auskunftsrecht der betroffenen Person

Der größeren Klarheit halber wurde der Inhalt von Artikel 12 der Richtlinie durch die Artikel 13 bis 17 wiedergegeben.

Außerdem wurde der Wortlaut in einigen Punkten präzisiert.

Artikel 13: Auskunftsrecht

Dieser Artikel übernimmt Artikel 12 Buchstabe a) der Richtlinie. Eine Änderung gibt es im Hinblick auf die Kosten, deren Erstattung von der Person, die ihr Auskunftsrecht wahrnimmt, unter Umständen gefordert werden kann. Artikel 12 sieht vor, daß diese Kosten nicht übermäßig sein dürfen, während die Verordnung völlige Kostenfreiheit vorsieht.

Ferner wird vorgeschlagen, von der in der Richtlinie vorgesehenen Möglichkeit, die Auskunftspflicht des für die Verarbeitung Verantwortlichen im Hinblick auf den logischen Aufbau der automatisierten Verarbeitung der Daten auf automatisierte Entscheidungen zu beschränken, keinen Gebrauch zu machen.

Artikel 14: Berichtigung

Wie die Artikel 15 und 16 bezieht sich dieser Artikel auf eine der drei Maßnahmen, die der für die Verarbeitung Verantwortliche zu treffen hat, wenn sich herausstellt, daß die Verarbeitung der Daten nicht mit der Verordnung im Einklang steht. Diese drei Artikel der vorliegenden Verordnung greifen Artikel 12 Buchstabe b) der Richtlinie auf, enthalten aber einige Präzisierungen.

Artikel 15: Sperrung

Dieser Artikel beschreibt relativ ausführlich,

- wann Daten zu sperren sind: Bestreitung der Richtigkeit der verarbeiteten Daten, Speicherung der Daten zu Beweiszwecken und Antrag der betroffenen Person auf Sperrung statt Löschung der Daten;

- und unter welchen Voraussetzungen gesperrte Daten erneut verwendet werden können.

Artikel 16: Löschung

Absatz 1 schreibt vor, daß personenbezogene Daten zu löschen sind, wenn ihre Verarbeitung unrechtmäßig war, d. h. unter anderem wenn die Anforderungen in bezug auf die Datenqualität, die Zulässigkeit der Verarbeitung und sensible Daten nicht beachtet wurden.

Absatz 2 wiederholt den Grundsatz, daß personenbezogene Daten nur so lange gespeichert bleiben sollen, wie dies für die Erreichung des Zwecks, für den sie erfaßt worden sind, erforderlich ist.

Artikel 17: Mitteilung an Dritte

Dieser Artikel übernimmt Artikel 12 Buchstabe c) der Richtlinie.

 

Abschnitt 6: Ausnahmen und Einschränkungen

Artikel 18: Ausnahmen und Einschränkungen

Dieser Artikel greift teilweise Artikel 13 der Richtlinie auf, der den Mitgliedstaaten bestimmte Möglichkeiten läßt, die allerdings, wenn von ihnen Gebrauch gemacht wird, bestimmten Voraussetzungen entsprechen müssen:

- Rechte der betroffenen Personen und Pflichten des für die Verarbeitung Verantwortlichen, die eingeschränkt werden können: Im Gegensatz zu Artikel 13 der Richtlinie enthält dieser Artikel eine Ausnahme von der Pflicht zur Unterrichtung der betroffenen Personen (Artikel 11 und 12) und deren Auskunftsrecht (Artikel 13). Die Voraussetzungen, unter denen von dem Erfordernis der Datenqualität abgewichen werden kann, wenn es sich um eine kompatible Zweckbestimmung handelt, sind bereits in Artikel 6 dieser Verordnung im Zusammenhang mit der Änderung der Zweckbestimmung behandelt worden. Im übrigen ist es nicht zweckmäßig, in Artikel 18 dieser Verordnung auf die Artikel 14 bis 16 Bezug zu nehmen. Die Wahrnehmung der in diesen Artikeln vorgesehenen Rechte setzt voraus, daß das Auskunftsrecht gewährt wurde. Ohne Auskunft können diese Rechte nicht funktionieren; wird sie gewährt, so ist eine Ausnahme von diesen Rechten nicht mehr gerechtfertigt.

- Gründe für die Einschränkung der Rechte der betroffenen Personen: Die in Artikel 13 Absatz 1 Buchstaben a), b) und c) der Richtlinie aufgelisteten Gründe der Sicherheit des Staates, der Landesverteidigung und der öffentlichen Sicherheit wurden nicht übernommen, weil sie auf die Organe und Einrichtungen der Gemeinschaft nicht anwendbar sind.

- Erforderliche Garantien: Artikel 13 der Richtlinie läßt Ausnahmen nicht generell zu, sondern gestattet lediglich punktuelle Ausnahmen und Beschränkungen. Aus diesem Grund enthalten die Absätze 3 und 4 von Artikel 18 verschiedene Garantien zum Schutz der betroffenen Personen, denen im Einzelfall das Auskunftsrecht verweigert wird: Das Recht, über die wichtigsten Gründe für eine Verweigerung des Auskunftsrechts informiert zu werden, über die Möglichkeit, den Europäischen Datenschutzbeauftragten zu befassen, sowie das Recht auf nachträgliche Information.

 

Abschnitt 7: Widerspruchsrecht der betroffenen Person

Artikel 19: Widerspruchsrecht der betroffenen Person

Dieser Artikel übernimmt Artikel 14 Buchstabe a) der Richtlinie, der den Mitgliedstaaten im Hinblick auf den Anwendungsbereich dieses Rechts einen gewissen Spielraum läßt. In dieser Verordnung sind deshalb Präzisierungen erforderlich.

Anzumerken ist, daß Artikel 14 Buchstabe b) über das Widerspruchsrecht im Bereich des Direktmarketing die Tätigkeit der Organe und Einrichtungen der Gemeinschaft nicht betrifft.

Ferner ist zum Anwendungsbereich des Widerspruchsrechts gemäß der Definition in Artikel 14 Buchstabe a) der Richtlinie anzumerken, daß die Bezugnahme auf die Datenverarbeitung gemäß Artikel 7 Buchstabe f) der Richtlinie - auf die sich Artikel 14 Buchstabe a) der Richtlinie bezieht - auf die Organe und Einrichtungen der Gemeinschaft nicht Anwendung finden kann, da - wie bereits hervorgehoben wurde - Artikel 7 Buchstabe f) in diesem spezifischen Gemeinschaftskontext nicht anwendbar ist.

Artikel 20: Beschwerderecht der betroffenen Person

Das Beschwerderecht ist die logische Folge aus der Befugnis des Europäischen Datenschutzbeauftragten, Eingaben nach Artikel 28 Absatz 4 der Richtlinie entgegenzunehmen.

Artikel 21: Automatisierte Einzelentscheidungen

Dieser Artikel greift Artikel 15 der Richtlinie auf.

Einige der in Artikel 15 Absatz 1 der Richtlinie aufgelisteten Beispiele zur Beurteilung bestimmter Aspekte der betroffenen Person sind im besonderen Kontext der Verordnung gegenstandslos und wurden somit nicht aufgenommen (insbesondere die Kreditwürdigkeit).

 

Abschnitt 8: Vertraulichkeit und Sicherheit der Verarbeitung

Artikel 22: Vertraulichkeit der Verarbeitung

Dieser Artikel folgt Artikel 16 der Richtlinie.

Es schien nicht sinnvoll, die für gesetzliche Verpflichtungen in der Richtlinie vorgesehene Ausnahmebestimmung aufzugreifen. Eine derartige Klausel würde sich mit Artikel 6 über die Änderung der Zweckbestimmung überschneiden.

Artikel 23: Sicherheit der Verarbeitung

Dieser Artikel greift mit weiteren Ausführungen Artikel 17 Absatz 1 der Richtlinie auf.

Absatz 1 entspricht Artikel 17 Absatz 1 zweiter Unterabsatz.

Absatz 2 ist den Sicherheitsmaßnahmen gewidmet, die bei manuell verarbeiteten Daten zu treffen sind.

Absatz 3 präzisiert Artikel 17 Absatz 1 erster Unterabsatz, der sehr allgemein formuliert ist. Er lehnt sich dabei an verschiedene Empfehlungen an, die vor kurzem vom Europarat zum Datenschutz angenommen wurden, sowie an das Übereinkommen zur Durchführung des Übereinkommens von Schengen (Artikel 118).

Die zu treffenden Sicherheitsmaßnahmen werden sich in der Praxis zweifellos in den umfassenderen Rahmen der Maßnahmen eingliedern, den die Organe und Einrichtungen im Bereich der Sicherheit der Informationssysteme bereits gesteckt haben (vgl. beispielsweise Beschluß der Kommission vom 23. November 1995 zum Schutz der Integrität, Vertraulichkeit und Disponibilität der Informationssysteme).

Artikel 24: Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen

Dieser Artikel greift Artikel 17 Absätze 2 bis 4 der Richtlinie auf.

 

Abschnitt 9: Datenschutzbeauftragter eines Organs oder einer Einrichtung der Gemeinschaft

Artikel 25: Datenschutzbeauftragter

Dieser Artikel sieht vor, daß jedes Organ und jede Einrichtung einen Datenschutzbeauftragten zu bestellen hat, der beauftragt ist, die Anwendung des Datenschutzes innerhalb des entsprechenden Organs oder der entsprechenden Einrichtung auf unabhängige Art und Weise zu gewährleisten.

Die Bestellung von Datenschutzbeauftragten ist in Artikel 18 Absatz 2 der Richtlinie als Option für die Mitgliedstaaten vorgesehen. Danach ermöglicht die Bestellung eines Datenschutzbeauftragten eine Vereinfachung der Meldung oder gar eine Ausnahme von der Meldepflicht gegenüber der Kontrollstelle.

Die Richtlinie orientiert sich dabei an einer Praxis, die in einigen Mitgliedstaaten bereits eingeführt ist und die einen wirksamen Schutz der betroffenen Personen ermöglicht.

Zur Bestellung des Datenschutzbeauftragten, seinen Aufgaben, den Garantien, die vorzusehen sind, um ihm die Wahrnehmung seiner Aufgaben zu ermöglichen, sowie seiner Beziehung zu der Kontrollbehörde ist folgendes anzumerken.

- Bestellung des Datenschutzbeauftragten: Jedes Organ und jede Einrichtung ist verpflichtet, zumindest einen Datenschutzbeauftragten zu bestellen. Einige Organe - wie beispielsweise die Kommission - werden sich höchstwahrscheinlich veranlaßt sehen, wegen des Umfangs der Verarbeitung personenbezogener Daten innerhalb des Organs mehrere Datenschutzbeauftragte zu benennen.

- Aufgaben des Datenschutzbeauftragten: Seine Hauptaufgabe wird in Absatz 1 dieses Artikels genannt. Der Wortlaut lehnt sich eng an die Richtlinie an: Er hat die innerbehördliche Anwendung des Datenschutzes zu gewährleisten und ein Verzeichnis aller durch das Organ oder die Einrichtung vorgenommenen Verarbeitungen zu führen. Der Schwerpunkt liegt in diesem Artikel auf der Aufgabe des Datenschutzbeauftragten, die betroffenen Personen und für die Verarbeitung Verantwortlichen über ihre Rechte und Pflichten im Bereich des Datenschutzes zu informieren. Eine solche Information ist die erste Voraussetzung für eine ordnungsgemäße Anwendung der Schutzbestimmungen der Richtlinie. Deshalb wurde dieser Punkt in Absatz 1 unter dem ersten Gedankenstrich hervorgehoben, obwohl er zum allgemeineren Wortlaut der Richtlinie inhaltlich nichts hinzufügt. Außerdem werden dem Datenschutzbeauftragten verschiedene spezifischere Aufgaben übertragen, um ihm die Erfüllung seines Auftrags zu erleichtern: Er kann Vorschläge für die Verbesserung des Datenschutzes in dem Organ oder der Einrichtung vorbringen, und er kann von der Behörde, die ihn ernannt hat, dem für die Verarbeitung Verantwortlichen oder dem Personalausschuß konsultiert werden. Darüber hinaus ist er verpflichtet, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten (zweiter Gedankenstrich). Die im fünften Gedankenstrich festgelegte Verpflichtung erleichtert die Bestimmung der Datenverarbeitungen, die besondere Risiken enthalten, durch Vorabkontrolle des Europäischen Datenschutzbeauftragten.

- Garantien, die die Wahrnehmung der Aufgaben des Datenschutzbeauftragten ermöglichen: Die vorgesehenen Garantien zielen alle darauf ab, soweit möglich die grundlegende Voraussetzung zu unterstreichen, die den Status des Datenschutzbeauftragten entsprechend der Richtlinie charakterisieren muß, d.h. seine Unabhängigkeit.

Artikel 26 und 27: Eintragung beim Datenschutzbeauftragten

Im Interesse der Transparenz sieht Artikel 27 entsprechend dem Wortlaut der Richtlinie vor, daß der Datenschutzbeauftragte ein öffentliches Register der in dem Organ oder der Einrichtung erfolgten Verarbeitungen zu führen hat.

Um ihm diese Aufgabe zu erleichtern, können die für die Verarbeitung Verantwortlichen dem Datenschutzbeauftragten diese Verarbeitungen vor ihrer Durchführung melden.

Die Liste der dem Datenschutzbeauftragten zu übermittelnden Informationen ist Artikel 19 Absatz 1 der Richtlinie entnommen, auf den Artikel 21 Absatz 2 der Richtlinie verweist.

Bei der in der Richtlinie aufgerührten Liste handelt es sich um eine Minimalliste. Um die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen transparenter zu gestalten, wird vorgeschlagen, in diese Liste auch die Informationen über die Rechtsgrundlage der Verarbeitungen (beispielsweise die Bestimmungen des Gemeinschaftsrechts, die die Verarbeitung erforderlich machen) und die Dauer der Speicherung der Daten aufzunehmen. An dieser Stelle sei nochmals darauf hingewiesen, daß die in Artikel 19 Absatz 1 Buchstabe a) der Richtlinie genannte Vertretung des für die Verarbeitung Verantwortlichen nicht für die Organe und Einrichtungen der Gemeinschaft gilt.

 

Abschnitt 10: Vorabkontrolle des Europäischen Datenschutzbeauftragten

Artikel 28: Vorabkontrolle des Europäischen Datenschutzbeauftragten

Dieser Artikel entspricht Artikel 20 der Richtlinie.

Die Richtlinie sieht eine selektive Kontrolle der Zulässigkeit der Verarbeitungen entsprechend den Risiken vor, die sie für die Rechte der betroffenen Personen aufweisen können:

- Die Meldung der Verarbeitungen bei der Kontrollbehörde kann allgemein vereinfacht, d. h. unter bestimmten Voraussetzungen sogar freigestellt werden, insbesondere wenn ein Datenschutzbeauftragter eingesetzt wurde.

- Die Meldung bleibt für Verarbeitungen, die besondere Risiken aufweisen, erforderlich und muß sogar die verstärkte Form einer Vorabkontrolle annehmen.

Die Verordnung zieht die Konsequenzen aus der Bestellung von Datenschutzbeauftragten bei den Organen und Einrichtungen der Gemeinschaft, indem sie die Verpflichtung zur Meldung beim Europäischen Datenschutzbeauftragten allein auf die Verarbeitungen beschränkt, die besondere Risiken aufweisen.

Risikoverarbeitungen sind unter Bezugnahme auf eine Option des Artikels 20 Absatz 2 der Richtlinie der Kontrollbehörde durch den Datenschutzbeauftragten jedes Organs oder jeder Einrichtung zu melden.

Nach Artikel 20 Absatz 1 der Richtlinie ist es Aufgabe der Mitgliedstaaten festzulegen, welche Verarbeitungen besondere Risiken aufweisen. Erwägungsgrund 53 sieht vor, daß diese Risiken in den einzelstaatlichen Rechtsvorschriften präzisiert werden können, wenn die Mitgliedstaaten dies wünschen, wobei auch den Kontrollbehörden die Möglichkeit eingeräumt wird, eine eigene Vorstellung von Verarbeitungen, die besondere Risiken aufweisen, zu entwickeln. Der vorliegende Artikel greift diese zweite Lösung auf und ermächtigt die Kontrollbehörde, die Verarbeitungen zu bestimmen, die besondere Risiken aufweisen. Einige Beispiele, die sich an Erwägungsgrund 53 orientieren, sind allerdings bereits im Artikel selbst aufgerührt.

Ausgehend von Erwägungsgrund 54 sieht Absatz 3 dieses Artikels vor, daß die Kontrollbehörde, der eine mit besonderen Risiken behaftete Verarbeitung gemeldet wird, eine Stellungnahme zur Zulässigkeit der beabsichtigten Verarbeitung abzugeben hat. Es ist dann Sache des Organs oder der Einrichtung, die die Verarbeitung gemeldet hat, daraus die notwendigen operationellen Konsequenzen zu ziehen.

 

Kapitel III: Rechtsbehelfe und Sanktionen

Artikel 29 und 30

Es handelt sich um Bestimmungen zur Umsetzung der Artikel 22, 23 und 24 der Richtlinie. In einer Rechtsgemeinschaft ist es wichtig, daß die den einzelnen übertragenen Rechte auch ausgeübt werden können, wenn die Verletzung dieser. Rechte von Seiten eines Gemeinschaftsorgans oder einer Gemeinschaftseinrichtung erfolgt. Gemäß den Vertragsbestimmungen über die außervertragliche Haftung der Gemeinschaft hat die Gemeinschaft die durch ihre Organe oder Bediensteten in Ausübung ihrer Amtstätigkeit verursachten Schäden zu ersetzen; der Gerichtshof ist für Streitsachen über Schadenersatzforderungen zuständig.

 

Kapitel IV: Schutz der personenbezogenen Daten und der Privatsphäre im Rahmen interner Telekommunikationsnetze

Dieser Abschnitt greift die Bestimmungen der Richtlinie 97/66/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation auf, soweit sie sich für die Anwendung auf die Organe und Einrichtungen der Gemeinschaft eignen. Die meisten Bestimmungen mußten angepaßt werden, um den besonderen Verhältnissen in den Organen und Einrichtungen der Gemeinschaft gerecht zu werden.

Artikel 31: Anwendungsbereich

Der Anwendungsbereich dieses Kapitels ist auf jene Telekommunikationsnetze beschränkt, die unter der Kontrolle der Organe und Einrichtungen der Gemeinschaft betrieben werden. Die Artikel 31 bis 37 finden daher nur dann Anwendung, wenn die Organe und Einrichtungen der Gemeinschaft tatsächlich in der Lage sind, die Betriebsbedingungen für die betreffenden Telekommunikationsnetze zu bestimmen.

Artikel 32: Sicherheit

Diese Bestimmung orientiert sich an Artikel 4 der Richtlinie 97/66/EG.

Falls ein Telekommunikationsnetz oder eine -leitung mit einem öffentlich zugänglichen Telekommunikationsnetz verbunden ist oder falls ein solches Netz oder eine solche Leitung von einem Anbieter eines öffentlich zugänglichen Telekommunikationsnetzes gemietet oder mit diesem Anbieter gemeinsam betrieben wird, könnte es sich für die Organe und Einrichtungen der Gemeinschaft als notwendig erweisen, mit dem betreffenden Netz- oder Diensteanbieter zusammenzuarbeiten, um ein ausreichendes Sicherheitsniveau zu garantieren.

Artikel 33: Vertraulichkeit der Übermittlungen

Dieser Artikel folgt Artikel 5 der Richtlinie 97/66/EG.

In bestimmten Fällen könnte es im Interesse der in Artikel 34 genannten Zweckbestimmungen notwendig sein, die Nutzung eines bestimmten Telekommunikationsnetzes zu kontrollieren. Beispiele hierfür sind die Speicherung bestimmter Daten über Telefonanrufe für die Gebührenabrechnung oder die Überwachung der von den Beamten der Organe und Einrichtungen der Gemeinschaft genutzten Internetfazilitäten. Entsprechend den allgemeinen Grundsätzen dieser Verordnung sollte diese Überwachung so zurückhaltend wie möglich bleiben.

Artikel 34: Verkehrsdaten und Daten für die Gebührenabrechnung

Diese Bestimmung lehnt sich an Artikel 6 der Richtlinie 97/66/EG an.

Artikel 34 präzisiert, welche Beschränkungen gelten, wenn personenbezogene Daten für die Gebührenerfassung und für die Verwaltung des Telekommunikationshaushalts und des Datenverkehrs verarbeitet werden.

Artikel 35: Nutzerverzeichnisse

Dieser Artikel folgt Artikel 11 der Richtlinie 97/66/EG.

Die Organe und Einrichtungen der Gemeinschaft können nur dann ordnungsgemäß arbeiten, wenn Nutzer, d. h. in der Regel Beamte, nicht das Recht erhalten, sich aus den Verzeichnissen streichen zu lassen. Ihre in diesen Verzeichnissen enthaltenen personenbezogenen Daten sollten jedoch auf die für die besonderen Zwecke des Verzeichnisses erforderlichen Daten beschränkt sein. Staatsangehörigkeit oder Geschlecht dürfen beispielsweise nicht angegeben werden. Dies bedeutet, daß im Hinblick auf bestimmte Daten der Beamte die Wahl hat, ob er diese Daten aufgenommen wünscht oder nicht. Ein Beispiel ist das Recht zu verlangen, daß nicht alle Vornamen in das Verzeichnis aufgenommen werden, sondern nur der Vorname, unter dem er/sie Kollegen bekannt ist, vorbehaltlich der Tatsache daß es sich nicht um ein Pseudonym handeln darf.

Artikel 36: Anzeige der Rufnummer des Anrufers vor und nach Herstellung der Verbindung

Dieser Artikel orientiert sich an Artikel 8 der Richtlinie 97/66/EG. Jedoch wurde Artikels Absatz 3 der Richtlinie nicht aufgenommen, weil die Abweisung ankommender Anrufe von Kollegen nicht als das angemessene Mittel innerhalb der Organe und Einrichtungen der Gemeinschaft erscheint.

Artikel 37: Ausnahmen

Dieser Artikel gibt Artikel 9 der Richtlinie 97/66/EG wieder.

 

Kapitel V: Kontrollbehörde: Der Europäische Datenschutzbeauftragte

Artikel 38 bis 47

Die Kontrollbehörde wurde nach dem Vorbild von Artikel 28 der Richtlinie ausgestaltet, der klare Angaben zur Unabhängigkeit der auf nationaler Ebene geschaffenen Kontrollstellen sowie den Befugnissen enthält, mit denen diese ausgestattet sind. Soweit die genannte Bestimmung Verpflichtungen für die Mitgliedstaaten begründet, bestimmt Artikel 286 EG-Vertrag, daß den Organen und Einrichtungen der Gemeinschaft dieselben Verpflichtungen übertragen werden.

Artikel 39: Ernennung des Europäischen Datenschutzbeauftragten

Die Ernennung des Europäischen Datenschutzbeauftragten folgt den Verfahren, die für die Ernennung des Europäischen Bürgerbeauftragten vorgesehen sind (Artikel 195 EG-Vertrag). Nach Ansicht der durch Artikel 29 der Richtlinie eingesetzten Datenschutzgruppe stellt die Ernennung der Kontrollbehörde durch das Europäische Parlament die geeignete Lösung dar. Allerdings wurde im Gegensatz zur Ernennung des Europäischen Bürgerbeauftragten die Konsultation der Kommission und des Rates verbindlich gemacht.

Artikel 46: Befugnisse des Europäischen Datenschutzbeauftragten

Die Befugnis zur Intervention im Verfahren vor dem Gerichtshof und dem Gericht erster Instanz, wie im Artikel 46 Absatz 2 vorgesehen, nimmt Artikel 28 Absatz 3 dritter Gedankenstrich der Richtlinie auf.

Artikel 46 Absatz 7 nimmt den letzten Absatz von Artikel 28 Absatz 1 der Richtlinie auf. Die Geschäftsordnung des Gerichtshofs und des Gerichts erster Instanz müssen geändert werden, um ihnen zu erlauben, Verfahren gegen den Europäischen Datenschutzbeauftragten als zulässig anzuerkennen.

 

Kapitel VI: Schlußbestimmungen

Artikel 48

Dieser Artikel folgt insofern Artikel 32 Absatz 2 der Richtlinie, als für bereits laufende Verarbeitungen eine Übergangszeit gewährt wird, um die Verarbeitung personenbezogener Daten mit der Verordnung in Einklang zu bringen. Statt einer dreijährigen Übergangszeit wird eine Frist von einem Jahr vorgeschlagen.

(...)

Zurück zu den Kapiteln I bis VI  Zurück zu den Kapiteln I bis VI
 
Seitenanfang  
 Letzte Änderung:
 am 16.03.2000		  
E-Mail an den Webmaster