Richtlinie 95/46/EG
(Datenschutzrichtlinie - Text)
KAPITEL I - ALLGEMEINE BESTIMMUNGEN
Artikel 1 - Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewährleisten nach den
Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten
und insbesondere den Schutz der Privatsphäre natürlicher Personen bei
der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschränken oder
untersagen nicht den freien Verkehr personenbezogener Daten zwischen
Mitgliedstaaten aus Gründen des gemäss Absatz 1 gewährleisteten
Schutzes.
Artikel 2 - Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) "personenbezogene Daten" alle
Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene
Person"); als bestimmbar wird eine Person angesehen, die direkt oder
indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer
Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer
physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder
sozialen Identität sind;
b) "Verarbeitung personenbezogener Daten" ("Verarbeitung")
jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das
Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder
Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe
durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung,
die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder
Vernichten;
c) "Datei mit personenbezogenen Daten" ("Datei")
jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten
Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral,
dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten
aufgeteilt geführt wird;
d) "für die Verarbeitung Verantwortlicher"
die natürliche oder juristische Person, Behörde, Einrichtung oder jede
andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und
Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke
und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen
oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können
der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für
seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften
bestimmt werden;
e) "Auftragsverarbeiter" die natürliche
oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die
personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen
verarbeitet;
f) "Dritter" die natürliche oder
juristische Person, Behörde, Einrichtung oder jede andere Stelle, ausser
der betroffenen Person, dem für die Verarbeitung Verantwortlichen, dem
Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung
des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters
befugt sind, die Daten zu verarbeiten;
g) "Empfänger" die natürliche oder
juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten
erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder
nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise
Daten erhalten, gelten jedoch nicht als Empfänger;
h) "Einwilligung der betroffenen Person"
jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in
Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass
personenbezogene Daten, die sie betreffen, verarbeitet werden.
Artikel 3 - Anwendungsbereich
(1) Diese Richtlinie gilt für die ganz oder
teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die
nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei
gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die
Verarbeitung personenbezogener Daten,
- die für die Ausübung von Tätigkeiten erfolgt, die nicht in
den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten
gemäss den Titeln V und VI des Vertrags über die Europäische
Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche
Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschliesslich
seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates
berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;
- die von einer natürlichen Person zur Ausübung ausschliesslich
persönlicher oder familiärer Tätigkeiten vorgenommen wird.
Artikel 4 - Anwendbares einzelstaatliches Recht
(1) Jeder Mitgliedstaat wendet die Vorschriften, die
er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen
personenbezogener Daten an,
a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt
werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet
dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im
Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen
Massnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren
einzelstaatlichen Recht festgelegten Verpflichtungen einhält;
b) die von einem für die Verarbeitung Verantwortlichen ausgeführt
werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist,
an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäss dem
internationalen öffentlichen Recht Anwendung findet;
c) die von einem für die Verarbeitung Verantwortlichen ausgeführt
werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke
der Verarbeitung personenbezogener Daten auf automatisierte oder nicht
automatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden
Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der
Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall
hat der für die Verarbeitung Verantwortliche einen im Hoheitsgebiet des
genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet der
Möglichkeit eines Vorgehens gegen den für die Verarbeitung
Verantwortlichen selbst.
KAPITEL II - ALLGEMEINE BEDINGUNGEN FÜR DIE RECHTMÄSSIGKEIT DER
VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5
Die Mitgliedstaaten bestimmen nach Massgabe dieses Kapitels die
Voraussetzungen näher, unter denen die Verarbeitung personenbezogener Daten
rechtmässig ist.
ABSCHNITT I - GRUNDSÄTZE IN BEZUG AUF DIE QUALITÄT DER DATEN
Artikel 6
(1) Die Mitgliedstaaten sehen vor, dass
personenbezogene Daten
a) nach Treu und Glauben und auf rechtmässige Weise verarbeitet werden;
b) für festgelegte eindeutige und rechtmässige Zwecke erhoben und
nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise
weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen,
statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als
unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern
die Mitgliedstaaten geeignete Garantien vorsehen;
c) den Zwecken entsprechen, für die sie erhoben und/oder
weiterverarbeitet werden, dafür erheblich sind und nicht darüber
hinausgehen;
d) sachlich richtig und, wenn nötig, auf den neusten Stand gebracht
sind; es sind alle angemessenen Massnahmen zu treffen, damit im Hinblick auf die
Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende
oder unvollständige Daten gelöscht oder berichtigt werden;
e) nicht länger, als es für die Realisierung der Zwecke, für
die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form
aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht.
Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten
vor, die über die vorgenannte Dauer hinaus für historische,
statistische oder wissenschaftliche Zwecke aufbewahrt werden.
(2) Der für die Verarbeitung Verantwortliche hat
für die Einhaltung des Absatzes 1 zu sorgen.
ABSCHNITT II - GRUNDSÄTZE IN BEZUG AUF DIE ZULÄSSIGKEIT DER
VERARBEITUNG VON DATEN
Artikel 7
Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten
lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt
ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre
Einwilligung gegeben;
b) die Verarbeitung ist erforderlich für die Erfüllung
eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für
die Durchführung vorvertraglicher Massnahmen, die auf Antrag der
betroffenen Person erfolgen;
c) die Verarbeitung ist für die Erfüllung
einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung
Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich für die
Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich für die
Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt und dem für die Verarbeitung
Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen
wurde;
f) die Verarbeitung ist erforderlich zur
Verwirklichung des berechtigten Interesses, das von dem für die
Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird,
denen die Daten übermittelt werden, sofern nicht das Interesse oder die
Grundrechte und Grundfreiheiten der betroffenen Person, die gemäss Artikel
1 Absatz 1 geschützt sind, überwiegen.
ABSCHNITT III BESONDERE KATEGORIEN DER VERARBEITUNG
Artikel 8 - Verarbeitung besonderer Kategorien
personenbezogener Daten
(1) Die Mitgliedstaaten untersagen die Verarbeitung
personenbezogener Daten, aus denen die rassische und ethnische Herkunft,
politische Meinungen, religiöse oder philosophische Überzeugungen oder
die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über
Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Fällen keine
Anwendung:
a) Die betroffene Person hat ausdrücklich in die Verarbeitung der
genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des
Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der
betroffenen Person nicht aufgehoben werden; oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für
die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu
tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene
Garantien vorsieht, zulässig ist; oder
c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der
betroffenen Person oder eines Dritten erforderlich, sofern die Person aus
physischen oder rechtlichen Gründen ausserstande ist, ihre Einwilligung zu
geben; oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch
eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete
Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck
verfolgt, im Rahmen ihrer rechtmässigen Tätigkeiten und unter der
Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder der
Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck
regelmässige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne
Einwilligung der betroffenen Personen an Dritte weitergegeben werden; oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person
offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung
oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der
Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der
Gesundheitsversorgung oder Behandlung oder für die Verwaltung von
Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches
Personal erfolgt, das nach dem einzelstaatlichen Recht, einschliesslich der von
den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem
Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer
entsprechenden Geheimhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten können vorbehaltlich
angemessener Garantien aus Gründen eines wichtigen öffentlichen
Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer
Entscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen
vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten,
strafrechtliche Verurteilungen oder Sicherungsmassregeln betreffen, darf nur
unter behördlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das
angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch
Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere
Garantien vorsehen, festlegen kann. Ein vollständiges Register der
strafrechtlichen Verurteilungen darf allerdings nur unter behördlicher
Aufsicht geführt werden. Die Mitgliedstaaten können vorsehen, dass
Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen,
ebenfalls unter behördlicher Aufsicht verarbeitet werden müssen.
(6) Die in den Absätzen 4 und 5 vorgesehenen
Abweichungen von Absatz 1 sind der Kommission mitzuteilen.
(7) Die Mitgliedstaaten bestimmen, unter welchen
Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner
Bedeutung Gegenstand einer Verarbeitung sein dürfen.
Artikel 9 - Verarbeitung personenbezogener Daten und
Meinungsfreiheit
Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten,
die allein zu journalistischen, künstlerischen oder literarischen Zwecken
erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV
und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf
Privatsphäre mit den für die Freiheit der Meinungsäusserung
geltenden Vorschriften in Einklang zu bringen.
ABSCHNITT IV - INFORMATION DER BETROFFENEN PERSON
Artikel 10 - Information bei der Erhebung
personenbezogener Daten bei der betroffenen Person
Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden
Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem
Vertreter zumindest die nachstehenden Informationen erhält, sofern diese
ihr noch nicht vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und
gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
c) weitere Informationen, beispielsweise betreffend
- die Empfänger oder Kategorien der Empfänger der Daten,
- die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig
ist, sowie mögliche Folgen einer unterlassenen Beantwortung,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie
betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände,
unter denen die Daten erhoben werden, notwendig sind, um gegenüber der
betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
Artikel 11 - Informationen für den Fall, dass die
Daten nicht bei der betroffenen Person erhoben wurden
(1) Für den Fall, dass die Daten nicht bei der
betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, dass die
betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer
beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung
vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest
die nachstehenden Informationen erhält, sofern diese ihr noch nicht
vorliegen:
a) Identität des für die Verarbeitung Verantwortlichen und
gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung,
c) weitere Informationen, beispielsweise betreffend
- - die Datenkategorien, die verarbeitet werden,
- - die Empfänger oder Kategorien der Empfänger der Daten,
- - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie
betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände,
unter denen die Daten erhoben werden, notwendig sind, um gegenüber der
betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.
(2) Absatz 1 findet - insbesondere bei Verarbeitungen
für Zwecke der Statistik oder der historischen oder wissenschaftlichen
Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich
ist, unverhältnismässigen Aufwand erfordert oder die Speicherung oder
Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen
sehen die Mitgliedstaaten geeignete Garantien vor.
ABSCHNITT V - AUSKUNFTSRECHT DER BETROFFENEN PERSON
Artikel 12 - Auskunftsrecht
Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom für
die Verarbeitung Verantwortlichen folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abständen
ohne unzumutbare Verzögerung oder übermässige Kosten - die Bestätigung,
dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie
zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen,
die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger
oder Kategorien der Empfänger, an die die Daten übermittelt werden; -
eine Mitteilung in verständlicher Form über die Daten, die Gegenstand
der Verarbeitung sind, sowie die verfügbaren Informationen über die
Herkunft der Daten; - Auskunft über den logischen Aufbau der
automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall
automatisierter Entscheidungen im Sinne von Artikel 15
Absatz 1;
b) je nach Fall die Berichtigung, Löschung oder
Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie
entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig
sind;
c) die Gewähr, dass jede Berichtigung, Löschung
oder Sperrung, die entsprechend Buchstabe b) durchgeführt wurde, den
Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich
dies nicht als unmöglich erweist oder kein unverhältnismässiger
Aufwand damit verbunden ist.
ABSCHNITT VI - AUSNAHMEN UND EINSCHRÄNKUNGEN
Artikel 13 - Ausnahmen und Einschränkungen
(1) Die Mitgliedstaaten können
Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäss
Artikel 6 Absatz 1,
Artikel 10, Artikel 11 Absatz
1, Artikel 12 und Artikel 21
beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von
Straftaten oder Verstössen gegen die berufsständischen Regeln bei
reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines
Mitgliedstaats oder der Europäischen Union einschliesslich Währungs-,
Haushalts- und Steuerangelegenheiten;
f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die Dauernd oder
zeitweise mit der Ausübung öffentlicher Gewalt für die unter den
Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer
Personen.
(2) Vorbehaltlich angemessener rechtlicher Garantien,
mit denen insbesondere ausgeschlossen wird, dass die Daten für Massnahmen
oder Entscheidungen gegenüber bestimmten Personen verwendet werden, können
die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines
Eingriffs in die Privatsphäre der betroffenen Person besteht, die in
Artikel 12 vorgesehenen Rechte gesetzlich einschränken, wenn die Daten
ausschliesslich für Zwecke der wissenschaftlichen Forschung verarbeitet
werden oder personenbezogen nicht länger als erforderlich lediglich zur
Erstellung von Statistiken aufbewahrt werden.
ABSCHNITT VII - WIDERSPRUCHSRECHT DER BETROFFENEN PERSON
Artikel 14 - Widerspruchsrecht der betroffenen Person
Die Mitgliedstaaten erkennen das Recht der betroffenen Person an,
a) zumindest in den Fällen von
Artikel 7 Buchstaben e) und f) jederzeit aus überwiegenden,
schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen
dagegen Widerspruch einlegen zu können, dass sie betreffende Daten
verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht
vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigten
Widerspruchs kann sich die vom für die Verarbeitung Verantwortlichen
vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;
b) auf Antrag kostenfrei gegen eine vom für die
Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten
für Zwecke der Direktwerbung Widerspruch einzulegen oder vor der ersten
Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung
im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich
auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe
oder Nutzung Widerspruch einlegen zu können. Die Mitgliedstaaten ergreifen
die erforderlichen Massnahmen, um sicherzustellen, dass die betroffenen Personen
vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis
haben.
Artikel 15 - Automatisierte Einzelentscheidungen
(1) Die Mitgliedstaaten räumen jeder Person das
Recht ein, keiner für sie rechtliche Folgen nach sich ziehenden und keiner
sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die
ausschliesslich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke
der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer
beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit
oder ihres Verhaltens.
(2) Die Mitgliedstaaten sehen unbeschadet der
sonstigen Bestimmungen dieser Richtlinie vor, dass eine Person einer
Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese
a) im Rahmen des Abschlusses oder der Erfüllung eines Vertrags ergeht
und dem Ersuchen der betroffenen Person auf Abschluss oder Erfüllung des
Vertrags stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch
geeignete Massnahmen - beispielsweise die Möglichkeit, ihren Standpunkt
geltend zu machen - garantiert wird oder
b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der
berechtigten Interessen der betroffenen Person festlegt.
ABSCHNITT VIII - VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG
Artikel 16 - Vertraulichkeit der Verarbeitung
Personen, die dem für die Verarbeitung Verantwortlichen oder dem
Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten
haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten
nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es
sei denn, es bestehen gesetzliche Verpflichtungen.
Artikel 17 - Sicherheit der Verarbeitung
(1) Die Mitgliedstaaten sehen vor, dass der für
die Verarbeitung Verantwortliche die geeigneten technischen und
organisatorischen Massnahmen durchführen muss, die für den Schutz
gegen die zufällige oder unrechtmässige Zerstörung, den zufälligen
Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den
unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in
einem Netz übertragen werden - und gegen jede andere Form der unrechtmässigen
Verarbeitung personenbezogener Daten erforderlich sind. Diese Massnahmen müssen
unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung
entstehenden Kosten ein Schutzniveau gewährleisten, das den von der
Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten
angemessen ist.
(2) Die Mitgliedstaaten sehen vor, dass der für
die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag
einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für
die Verarbeitung zu treffenden technischen Sicherheitsmassnahmen und
organisatorischen Vorkehrungen ausreichende Gewähr bietet; der für die
Verarbeitung Verantwortliche überzeugt sich von der Einhaltung dieser
Massnahmen.
(3) Die Durchführung einer Verarbeitung im
Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der
Auftragsverarbeiter an den für die Verarbeitung Verantwortlichen gebunden
ist und in dem insbesondere folgendes vorgesehen ist:
- der Auftragsverarbeiter handelt nur auf Weisung des für die
Verarbeitung Verantwortlichen;
- die in Absatz 1 genannten Verpflichtungen gelten auch für den
Auftragsverarbeiter, und zwar nach Massgabe der Rechtsvorschriften des
Mitgliedstaats, in dem er seinen Sitz hat.
(4) Zum Zwecke der Beweissicherung sind die
datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die
Anforderungen in bezug auf Massnahmen nach Absatz 1 schriftlich oder in einer
anderen Form zu dokumentieren.
ABSCHNITT IX - MELDUNG
Artikel 18 - Pflicht zur Meldung bei der
Kontrollstelle
(1) Die Mitgliedstaaten sehen eine Meldung durch den
für die Verarbeitung Verantwortlichen oder gegebenenfalls seinen Vertreter
bei der in
Artikel 28 genannten Kontrollstelle vor, bevor eine
vollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl
von Verarbeitungen zur Realisierung einer oder mehrerer verbundener
Zweckbestimmungen durchgeführt wird.
(2) Die Mitgliedstaaten können eine
Vereinfachung der Meldung oder eine Ausnahme von der Meldepflicht nur in den
folgenden Fällen und unter folgenden Bedingungen vorsehen:
- sie legen für Verarbeitungskategorien, bei denen unter Berücksichtigung
der zu verarbeitenden Daten eine Beeinträchtigung der Rechte und Freiheiten
der betroffenen Personen unwahrscheinlich ist, die Zweckbestimmungen der
Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die
Kategorie(n) der betroffenen Personen, die Empfänger oder Kategorien der
Empfänger, denen die Daten weitergegeben werden, und die Dauer der
Aufbewahrung fest, und/oder
- der für die Verarbeitung Verantwortliche bestellt entsprechend dem
einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten, dem
insbesondere folgendes obliegt:
- die unabhängige Überwachung der Anwendung der zur Umsetzung
dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen,
- die Führung eines Verzeichnisses mit den in Artikel
21 Absatz 2 vorgesehenen Informationen über die durch den für die
Verarbeitung Verantwortlichen vorgenommene Verarbeitung,
um auf diese Weise sicherzustellen, dass die Rechte und Freiheiten der
betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden.
(3) Die Mitgliedstaaten können vorsehen, dass
Absatz 1 keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen
eines Register ist, das gemäss den Rechts- oder Verwaltungsvorschriften zur
Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit
oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur
Einsichtnahme offensteht.
(4) Die Mitgliedstaaten können die in
Artikel 8 Absatz 2 Buchstabe d) genannten
Verarbeitungen von der Meldepflicht ausnehmen oder die Meldung vereinfachen.
(5) Die Mitgliedstaaten können die Meldepflicht für nicht
automatisierte Verarbeitungen von personenbezogenen Daten generell oder in
Einzelfällen vorsehen oder sie einer vereinfachten Meldung unterwerfen.
Artikel 19 - Inhalt der Meldung
(1) Die Mitgliedstaaten legen fest, welche Angaben
die Meldung zu enthalten hat. Hierzu gehört zumindest folgendes:
a) Name und Anschrift des für die Verarbeitung Verantwortlichen und
gegebenenfalls seines Vertreters;
b) die Zweckbestimmung(en) der Verarbeitung;
c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der
diesbezüglichen Daten oder Datenkategorien;
d) die Empfänger oder Kategorien von Empfängern, denen die Daten
mitgeteilt werden können;
e) eine geplante Datenübermittlung in Drittländer;
f) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu
beurteilen, ob die Massnahmen nach Artikel 17 zur Gewährleistung
der Sicherheit der Verarbeitung angemessen sind.
(2) Die Mitgliedstaaten legen die Verfahren fest,
nach denen Änderungen der in Absatz 1 genannten Angaben der Kontrollstelle
zu melden sind.
Artikel 20 - Vorabkontrolle
(1) Die Mitgliedstaaten legen fest, welche
Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der
Personen beinhalten können, und tragen dafür Sorge, dass diese
Verarbeitungen vor ihrem Beginn geprüft werden.
(2) Solche Vorabprüfungen nimmt die
Kontrollstelle nach Empfang der Meldung des für die Verarbeitung
Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der
im Zweifelsfall die Kontrollstelle konsultieren muss.
(3) Die Mitgliedstaaten können eine solche Prüfung
auch im Zuge der Ausarbeitung einer Massnahme ihres Parlaments oder einer auf
eine solche gesetzgeberische Massnahme gestützten Massnahme durchführen,
die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht.
Artikel 21 - Öffentlichkeit der Verarbeitungen
(1) Die Mitgliedstaaten erlassen Massnahmen, mit
denen die Öffentlichkeit der Verarbeitungen sichergestellt wird.
(2) Die Mitgliedstaaten sehen vor, dass die
Kontrollstelle ein Register der gemäss Artikel 18
gemeldeten Verarbeitungen führt. Das Register enthält mindestens die
Angaben nach Artikel 19 Absatz 1 Buchstaben a) bis e).
Das Register kann von jedermann eingesehen werden.
(3) Die Mitgliedstaaten sehen vor, dass für
Verarbeitungen, die von der Meldung ausgenommen sind, der für die
Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte
Stelle zumindest die in
Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen
Angaben auf Antrag jedermann in geeigneter Weise verfügbar macht. Die
Mitgliedstaaten können vorsehen, dass diese Bestimmungen keine Anwendung
auf Verarbeitungen findet, deren einziger Zweck das Führen von Registern
ist, die gemäss den Rechts- und Verwaltungsvorschriften zur Information der
Öffentlichkeit bestimmt sind und die entweder der gesamten Öffentlichkeit
oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur
Einsichtnahme offenstehen.
KAPITEL III - RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 22 - Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor
Beschreiten des Rechtsweges insbesondere bei der in Artikel
28 genannten Kontrollstelle eingeleitet werden kann, sehen die
Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr
durch die für die betreffende Verarbeitung geltenden einzelstaatlichen
Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen
kann.
Artikel 23 - Haftung
(1) Die Mitgliedstaaten sehen vor, dass jede Person,
der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den
einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu
vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für
die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
(2) Der für die Verarbeitung Verantwortliche
kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er
nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht
zur Last gelegt werden kann.
Artikel 24 - Sanktionen
Die Mitgliedstaaten ergreifen geeignete Massnahmen, um die volle Anwendung
der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die
Sanktionen fest, die bei Verstössen gegen die zur Umsetzung dieser
Richtlinie erlassenen Vorschriften anzuwenden sind.
KAPITEL IV - ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER
Artikel 25 - Grundsätze
(1) Die Mitgliedstaaten sehen vor, dass die Übermittlung
personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung
verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der
aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen
Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes
Schutzniveau gewährleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein
Drittland bietet, wird unter Berücksichtigung aller Umstände
beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen
eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung
sowie die Dauer der geplanten Verarbeitung , das Herkunfts- und das
Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder
sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und
Sicherheitsmassnahmen berücksichtigt.
(3) Die Mitgliedstaaten und die Kommission
unterrichten einander über die Fälle, in denen ihres Erachtens ein
Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.
(4) Stellt die Kommission nach dem Verfahren des
Artikels 31 Absatz 2 fest, dass ein Drittland kein
angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels
aufweist, so treffen die Mitgliedstaaten die erforderlichen Massnahmen, damit
keine gleichartige Datenübermittlung in das Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission
Verhandlungen ein, um Abhilfe für die gemäss Absatz 4 festgestellte
Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des
Artikels 31 Absatz 2 feststellen, dass ein Drittland
aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler
Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäss
Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie
der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im
Sinne des Absatzes 2 gewährleistet. Die Mitgliedstaaten treffen die
aufgrund der Feststellung der Kommission gebotenen Massnahmen.
Artikel 26 - Ausnahmen
(1) Abweichend von Artikel 25
sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für
bestimmte Fälle im innerstaatlichen Recht vor, dass eine Übermittlung
oder eine Kategorie von Übermittlungen personenbezogener Daten in ein
Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels
25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern
- a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat
oder
- b) die Übermittlung für die Erfüllung eines Vertrags
zwischen der betroffenen Person und dem für die Verarbeitung
Verantwortlichen oder zur Durchführung von vorvertraglichen Massnahmen auf
Antrag der betroffenen Person erforderlich ist oder
- c) die Übermittlung zum Abschluss oder zur Erfüllung eines
Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für
die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder
geschlossen werden soll, oder
- d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen
Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben
ist oder
- e) die Übermittlung für die Wahrung lebenswichtiger Interessen
der betroffenen Person erforderlich ist oder
- f) die Übermittlung aus einem Register erfolgt, das gemäss den
Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit
bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen,
die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme
offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme
im Einzelfall gegeben sind.
(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat
eine Übermittlung oder eine Kategorie von Übermittlungen
personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes
Schutzniveau im Sinne des
Artikels 25 Absatz 2 gewährleistet, wenn der für
die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des
Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der
Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte
bietet; diese Garantien können sich insbesondere aus entsprechenden
Vertragsklauseln ergeben.
(3) Der Mitgliedstaat unterrichtet die Kommission und
die anderen Mitgliedstaaten über die von ihm nach Absatz 2 erteilten
Genehmigungen. Legt ein anderer Mitgliedstaat oder die Kommission einen in bezug
auf den Schutz der Privatsphäre, der Grundrechte und der Personen
hinreichend begründeten Widerspruch ein, so erlässt die Kommission die
geeigneten Massnahmen nach dem Verfahren des Artikels 31
Absatz 2. Die Mitgliedstaaten treffen die aufgrund des Beschlusses der
Kommission gebotenen Massnahmen.
(4) Befindet die Kommission nach dem Verfahren des
Artikels 31 Absatz 2, dass bestimmte
Standardvertragsklauseln ausreichende Garantien gemäss Absatz 2 bieten, so
treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission
gebotenen Massnahmen.
KAPITEL V - VERHALTENSREGELN
Artikel 27
(1) Die Mitgliedstaaten und die Kommission fördern
die Ausarbeitung von Verhaltensregeln, die nach Massgabe der Besonderheiten der
einzelnen Bereiche zur ordnungsgemässen Durchführung der
einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur
Umsetzung dieser Richtlinie erlassen.
(2) Die Mitgliedstaaten sehen vor, dass die
Berufsverbände und andere Vereinigungen, die andere Kategorien von für
die Verarbeitung Verantwortlichen vertreten, ihre Entwürfe für
einzelstaatliche Verhaltensregeln oder ihre Vorschläge zur Änderung
oder Verlängerung bestehender einzelstaatlicher Verhaltensregeln der zuständigen
einzelstaatlichen Stelle unterbreiten können. Die Mitgliedstaaten sehen
vor, dass sich diese Stellen insbesondere davon überzeugt, dass die ihr
unterbreiteten Entwürfe mit den zur Umsetzung dieser Richtlinie erlassenen
einzelstaatlichen Vorschriften in Einklang stehen. Die Stelle holt die
Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies
angebracht erscheint.
(3) Die Entwürfe für gemeinschaftliche
Verhaltensregeln sowie Änderungen oder Verlängerungen bestehender
gemeinschaftlicher Verhaltensregeln können der in Artikel
29 genannten Gruppe unterbreitet werden. Die Gruppe nimmt insbesondere dazu
Stellung, ob die ihr unterbreiteten Entwürfe mit den zur Umsetzung dieser
Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Sie
holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls
ihr dies angebracht erscheint. Die Kommission kann dafür Sorge tragen, dass
die Verhaltensregeln, zu denen die Gruppe eine positive Stellungnahme abgegeben
hat, in geeigneter Weise veröffentlicht werden.
KAPITEL VI - KONTROLLSTELLE UND GRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI
DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 28 - Kontrollstelle
(1) Die Mitgliedstaaten sehen vor, dass eine oder
mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den
Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen
Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die
ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, dass die
Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder
Verwaltungsvorschriften bezüglich des Schutzes der Rechte und Freiheiten
von Personen bei der Verarbeitung personenbezogener Daten angehört werden.
(3) Jede Kontrollstelle verfügt insbesondere über:
- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand
von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung
ihres Kontrollauftrags erforderlichen Informationen;
- wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im
Einklang mit Artikel 20 vor der Durchführung der
Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung
der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung
oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot
einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine
Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die
Parlamente oder andere politische Institutionen zu befassen;
- das Klagerecht oder eine Anzeigebefugnis bei Verstössen gegen die
einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie. Gegen
beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
(4) Jede Person oder ein sie vertretender Verband
kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der
Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe
wenden. Die betroffene Person ist darüber zu informieren, wie mit der
Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag
befasst werden, die Rechtmässigkeit einer Verarbeitung zu überprüfen,
wenn einzelstaatliche Vorschriften gemäss Artikel 13
Anwendung finden. Die Person ist unter allen Umständen darüber zu
unterrichten, dass eine Überprüfung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmässig einen
Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres
Mitgliedstaats für die Ausübung der ihr gemäss Absatz 3 übertragenen
Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf
die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer
Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer
Befugnisse ersucht werden. Die Kontrollstellen sorgen für die zur Erfüllung
ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere
durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, dass die
Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen
Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach
Ausscheiden aus dem Dienst, unterliegen.
Artikel 29 - Datenschutzgruppe
(1) Es wird eine Gruppe für den Schutz von
Personen bei der Verarbeitung personenbezogener Daten eingesetzt (nachstehend "Gruppe"
genannt). Die Gruppe ist unabhängig und hat beratende Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von
den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der
Stelle bzw. der Stellen, die für die Institutionen und Organe der
Gemeinschaft eingerichtet sind, sowie einem Vertreter der Kommission. Jedes
Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die
es vertritt, benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so
ernennen diese einen gemeinsamen Vertreter. Gleiches gilt für die Stellen,
die für die Institutionen und die Organe der Gemeinschaft eingerichtet
sind.
(3) Die Gruppe beschliesst mit der einfachen Mehrheit
der Vertreter der Kontrollstellen.
(4) Die Gruppe wählt ihren Vorsitzenden. Die
Dauer der Amtszeit des Vorsitzenden beträgt zwei Jahre. Wiederwahl ist möglich.
(5) Die Sekretariatsgeschäfte der Gruppe werden
von der Kommission wahrgenommen.
(6) Die Gruppe gibt sich eine Geschäftsordnung.
(7) Die Gruppe prüft die Fragen, die der
Vorsitzende von sich aus oder auf Antrag eines Vertreters der Kontrollstellen
oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.
Artikel 30
(1) Die Gruppe hat die Aufgabe, a) alle Fragen im
Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen
einzelstaatlichen Vorschriften zu prüfen, um zu einer einheitlichen
Anwendung beizutragen; b) zum Schutzniveau in der Gemeinschaft und in Drittländern
gegenüber der Kommission Stellung zu nehmen; c) die Kommission bei jeder
Vorlage zur Änderung dieser Richtlinie, zu allen Entwürfen zusätzlicher
oder spezifischer Massnahmen zur Wahrung der Rechte und Freiheiten natürlicher
Personen bei der Verarbeitung personenbezogener Daten sowie zu allen anderen
Entwürfen von Gemeinschaftsmassnahmen zu beraten, die sich auf diese Rechte
und Freiheiten auswirken; d) Stellungnahmen zu den auf Gemeinschaftsebene
erarbeiteten Verhaltensregeln abzugeben.
(2) Stellt die Gruppe fest, dass sich im Bereich des
Schutzes von Personen bei der Verarbeitung personenbezogener Daten zwischen den
Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede ergeben, die
die Gleichwertigkeit des Schutzes in der Gemeinschaft beeinträchtigen könnten,
so teilt sie dies der Kommission mit.
(3) Die Gruppe kann von sich aus Empfehlungen zu
allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung
personenbezogener Daten in der Gemeinschaft betreffen.
(4) Die Stellungnahmen und Empfehlungen der Gruppe
werden der Kommission und dem in Artikel 31 genannten
Ausschuss übermittelt.
(5) Die Kommission teilt der Gruppe mit, welche
Konseqünzen sie aus den Stellungnahmen und Empfehlungen gezogen hat. Sie
erstellt hierzu einen Bericht, der auch dem Europäischen Parlament und dem
Rat übermittelt wird. Dieser Bericht wird veröffentlicht.
(6) Die Gruppe erstellt jährlich einen Bericht über
den Stand des Schutzes natürlicher Personen bei der Verarbeitung
personenbezogener Daten in der Gemeinschaft und in Drittländern, den sie
der Kommission, dem Europäischen Parlament und dem Rat übermittelt.
Dieser Bericht wird veröffentlicht.
KAPITEL VII - GEMEINSCHAFTLICHE DURCHFÜHRUNGSMASSNAHMEN
Artikel 31 - Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstützt,
der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem der
Vertreter der Kommission den Vorsitz führt.
(2) Der Vertreter der Kommission unterbreitet dem
Ausschuss einen Entwurf der zu treffenden Massnahmen. Der Ausschuss gibt seine
Stellungnahme zu diesem Entwurf innerhalb einer Frist ab, die der Vorsitzende
unter Berücksichtigung der Dringlichkeit der betreffenden Frage festsetzen
kann. Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148
Absatz 2 des Vertrags vorgesehen ist. Bei der Abstimmung im Ausschuss werden die
Stimmen der Vertreter der Mitgliedstaaten gemäss dem vorgenannten Artikel
gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil. Die Kommission erlässt
Massnahmen, die unmittelbar gelten. Stimmen sie jedoch mit der Stellungnahme des
Ausschusses nicht überein, werden sie von der Kommission unverzüglich
dem Rat mitgeteilt. In diesem Fall gilt folgendes: - Die Kommission verschiebt
die Durchführung der von ihr beschlossenen Massnahmen um drei Monate vom
Zeitpunkt der Mitteilung an; - der Rat kann innerhalb des im ersten
Gedankenstrich genannten Zeitraums mit qualifizierter Mehrheit einen
anderslautenden Beschluss fassen.
SCHLUSSBESTIMMUNGEN
Artikel 32
(1) Die Mitgliedstaaten erlassen die erforderlichen
Rechts- und Verwaltungsvorschriften, um dieser Richtlinie binnen drei Jahren
nach ihrer Annahme nachzukommen. Wenn die Mitgliedstaaten derartige Vorschriften
erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der
amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten
regeln die Einzelheiten der Bezugnahme.
(2) Die Mitgliedstaaten tragen dafür Sorge, dass
Verarbeitungen, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen
Vorschriften zur Umsetzung dieser Richtlinie bereits begonnen wurden, binnen
drei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht
werden. Abweichend von Unterabsatz 1 können die Mitgliedstaaten vorsehen,
dass die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens der
einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits in manüllen
Dateien enthalten sind, binnen zwölf Jahren nach Annahme dieser Richtlinie
mit den Artikeln 6, 7 und
8 in Einklang zu bringen sind. Die Mitgliedstaaten
gestatten jedoch, dass die betroffene Person auf Antrag und insbesondere bei Ausübung
des Zugangsrechts die Berichtigung, Löschung oder Sperrung von Daten
erreichen kann, die unvollständig, unzutreffend oder auf eine Art und Weise
aufbewahrt sind, die mit den vom für die Verarbeitung Verantwortlichen
verfolgten rechtmässigen Zwecken unvereinbar ist.
(3) Abweichend von Absatz 2 können die
Mitgliedstaaten vorbehaltlich geeigneter Garantien vorsehen, dass Daten, die
ausschliesslich zum Zwecke der historischen Forschung aufbewahrt werden, nicht
mit den Artikeln 6, 7 und
8 in Einklang gebracht werden müssen.
(4) Die Mitgliedstaaten teilen der Kommission den
Wortlaut der innerstaatlichen Vorschriften mit, die sie auf dem unter diese
Richtlinie fallenden Gebiet erlassen.
Artikel 33
Die Kommission legt dem Europäischen Parlament und dem Rat regelmässig,
und zwar erstmals drei Jahre nach dem in Artikel 32
Absatz 1 genannten Zeitpunkt, einen Bericht über die Durchführung
dieser Richtlinie vor und fügt ihm gegebenenfalls geeignete Änderungsvorschläge
bei. Dieser Bericht wird veröffentlicht. Die Kommission prüft
insbesondere die Anwendung dieser Richtlinie auf die Verarbeitung
personenbezogener Bild- und Tondaten und unterbreitet geeignete Vorschläge,
die sich unter Berücksichtigung der Entwicklung der Informationstechnologie
und der Arbeiten über die Informationsgesellschaft als notwendig erweisen könnten.
Artikel 34
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
|