23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/31
RICHTLINIE 95/46/EG DES EUROPAISCHEN PARLAMENTS UND DES RATES
vom 24. Oktober 1995
zum Schutz natiirlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
DAS EUROPAISCHE PARLAMENT UND DER RAT DER EUROPAISCHEN UNION-
gestutzt auf den Vertrag zur Grundung der Europaischen Gemeinschaft, insbesondere auf Artikel 100a,
auf Vorschlag der Kommission (1 ),
nach Stellungnahme des Wirtschafts- und Sozialausschus- ses (2),
gemaR dem Verfahren des Artikels 189b des Ver- trags (3),
in Erwagung nachstehender Grunde:
(1)
(2)
(3)
Die Ziele der Gemeinschaft, wie sie in dem durch den Vertrag uber die Europaische Union geander- ten Vertrag festgelegt sind, bestehen darin, einen immer engeren ZusammenschluR der europaischen V<)lker zu schaffen, engere Beziehungen zwischen den in der Gemeinschaft zusammengeschlossenen Staaten herzustellen, durch gemeinsames Handeln den wirtschaftlichen und sozialen Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden, die standige Besserung der Lebensbedingungen ihrer Volker zu fordern, Frie- den und Freiheit zu wahren und zu festigen und fur die Demokratie einzutreten und sich dabei auf die in den Verfassungen und Gesetzen der Mit- gliedstaaten sowie in der Europaischen Konvention zum Schutze der Menschenrechte und Grundfrei- heiten anerkannten Grundrechte zu stutzen.
Die Datenvcrarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsan- gehorigkeit oder des Wohnorts der naturlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphare zu achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen.
Fur die Errichtung und das Funktionieren des Binnenmarktes, der gemaR Artikel 7a des Vertrags
e) ABI. Nr. C 277 vom 5. 11.1990, S. 3, und ABI. Nr. C 311 vom 27. 11. 1992, S. 30.
e) ABI. Nr. C 159 vom 17. 6. 1991, S. 38. ( 1) Stellungnahme des Europaischen Parlaments vom 11. Marz
1992 (ABI. Nr. C: 94 vom 13. 4. 1992, S. 198), bestatigt am 2. Dezembcr 1993 (ABI. Nr. C 342 vom 20. 12. 1993, S. 30). Gemeinsamer Standpunkt des Rates vom 20. Februar 1995 (ABI. Nr. C 93 vom 13. 4. 1995, S. 1) und BeschluR des Europaischen Parlaments vom 15. Juni 1995 (ABI. Nr. C 166 vom 3. 7. 1995).
(4)
(5)
(6)
(7)
den freien Verkehr von Waren, Personen, Dienstlei- stungen und Kapital gewahrleisten soli, ist es nicht nur erforderlich, daR personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat iibermittelt werden konnen, sondern auch, daR die Grundrechte der Personen gewahrt werden.
Immer haufiger werden personenbezogene Daten in der Gemeinschaft in den verschiedenen Bereichen wirtschaftlicher und sozialer Tatigkeiten verarbei- tet. Die Fortschritte der lnformationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten betrachtlich.
Die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Fu~ktionieren des Binnenmarktes im Sinne von Arti kel 7a des Ver- trags ergibt, wird notwendigerweise zu einer spur- baren Zunahme der grenzuberschreitenden Strome personenbezogener Daten zwischen allen am wirt- schaftlichen und sozialen Leben cler Mitgliedstaa- ten Beteiligten im offentlichen wie im privaten Bereich fuhren. Der Austausch personenbezogener Daten zwischen in verschiedenen Mitgliedstaaten niedergelassenen Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten sind aufgrund des Gemeinschaftsrechts gehalten, zusammenzuar- beiten und untereinander personenbezogene Daten auszutauschen, urn im Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestellt wird, ihren Auftrag erfullen oder Aufgaben anstelle der Behorden eines anderen Mitgliedstaats durch- fuhren zu konnen.
Die verstarkte wissenschaftliche und technische Zusammenarbeit sowie die koordinierte Einfuh- rung neuer Telekommunikationsnetze in der Ge- meinschaft erfordern und erleichtern den grenz- iiberschreitenden Verkehr personenbezogener Da- ten.
Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphare, bei der Verarbeitung personenbe- zogener Daten in den Mitgliedstaaten kann die Obermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mit- gliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis fur die Ausubung einer Reihe von Wirtschaftstatigkeiten auf Gemeinschaftsebene darstellen, den Wettbe- werb verfalschen und die Erfullung des Auftrags
Nr. L 281/32 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
dcr im Anwendungsbereich des Gemeinschafts- rcchts tatigen Behorden verhindern. Dieses unter- schiedliche Schutzniveau crgibt sich aus der Ver- schiedenartigkeit der einzelstaatlichen Rcchts- und Verwaltungsvorschriften.
(8) Zur Beseitigung der Hemmnisse fur den Verkehr pcrsonenbezogener Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freihciten von Pcrsonen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlagJich. Insbesondere un- tcr Bcrucksichtigung der grof~cn Unterschicde, die gcgcnw~irtig zwischen den einschlagigen einzclstaat- lichcn Rechtsvorschriften bestehen, und der Not- wcndigkeit, die Rechtsvorschriften der Mitglied- staaten zu koordinieren, damit der grenzuberschrei- tende flug personenbezogener Daten koharent und in Obercinstimmung mit dem Zicl des Binncnmark- tcs im Sinne des Artikels 7a des Vcrtrags gercgclt wird, Lif~t sich diescs fur den Binnenmarkt grundle- gcnde Ziel nicht allein durch das Vorgehen der ~1itglicdstaaten verwirklichen. Dcshalb ist cine Magnahme dcr Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich.
(9) Die Mitgliedstaaten durfen aufgrund des gleichwer- tigen Schutzcs, der sich aus der Angleichung dcr einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Grunden behindern, die den Schutz der Rcchtc und Frciheiten naturlicher Perso- ncn und insbesondere das Recht auf die Privat- spharc bctrcffen. Die Mitgliedstaaten besitzen einen Spielraum, der im Rahmen der Durchfuhrung der Richtlinic von den Wirtschafts- und Sozialpartncrn gcnutzt werdcn kann. Sie k<)nnen somit in ihrem cinzelstaatlichen Recht allgemeine Bedingungen fllr die Rechtm~ifsigkeit dcr Verarbeitung fcstlegen. Hierbci strcben sie eine Verbesserung des gegen- w~:irtig durch ihre Rechtsvorschriften gewahrtcn Schutzes an. lnncrhalb (iieses Spielraums khnnen unter Beachtung des Gcmeinschaftsrcchts Unter- schiede bei dcr Durchfuhrung dcr Richtlinic auftrc- ten, was Auswirkungen flir den Datenverkehr sowohl innerhalb cines Mitgliedstaats als auch in dcr Gcmcinschaft habcn kann.
(10) Gegenstand der einzelstaatlichen Rechtsvorschrif- tcn uber die Vcrarbeitung personenbczogencr I)aten ist die Gewahrleistung der Achtung der Grundrechte und -frciheiten, insbesondere des auch in Artikel X der Europaischen Konvention zum Schutze dcr Menschenrechte und Grundfrciheitcn und in den allgcmeinen Grundsatzen des (~emein schaftsrechts ancrkannten Rechts auf die Privat- sph~irc. Die Angleichung diescr Rechtsvorschriftcn darf dcshalb nicht zu ciner Verringerung des durch (Iiese Rechtsvorschriften garantierten Schutzes fuh- ren, sondcrn mug im Gegcntcil darauf abzielen, in der Gcmeinschaft ein hohcs Schutzniveau sicherzu- stellen.
(I I ) Die in dieser Richtlinic enthaltenen Grundsatze zum Schutz der Rechte und Freiheiten der Perso- nen, insbesondere der Achtung der Privatsphare, konkrctisicrcn unci erweitern die in dem Oberein- kommen des Europarats vom 28. Januar 1981 zum Schutze der Pcrsoncn bci der automatischen Verar- beitung personcnbczogcncr Daten enthaltenen Grundsatze.
(12) Die Schutzprinzipicn mi.issen hir alle Vcrarbeitun- gen personcnbczogencr Daten gelten, sobald die Tatigkeitcn des fur die Vcrarbcitung Verantwortli- chen in den Anwendungsbereich des Gemein- schaftsrechts fallen. Auszunchmen ist die Datenver- arbeitung, die von cincr naturlichen Person in Ausubung ausschlief~lich pcrs<>nlicher oder familia- rer Tatigkciten - wic zum Beispiel Schriftvcrkehr oder Fuhrung von Anschriftenverzeichnissen - vorgenommen wi rd
(13) Die in den Titeln V und VI des Vertrags uber die Europaischc Union genannten Tatigkeiten, die die Mfcntlichc Sicherheit, die Landcsverteidigung, die Sicherheit des Staates oder die Tatigkeiten des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der Mitgliedstaa- ten gemag Artikel 56 Absatz 2 sowie gemaR den Artikeln 57 und I OOa des Vertrags zur Grundung der Europaischen Gemeinschaft nicht m den Anwendungsbereich des Gcmeinschaftsrechts. Die Verarbeitung personcnbezogener Daten, die zum Schutz des wirtschaftlichen Wohls des Staatcs erforderlich ist, fallt nicht untcr diese Richtlinie, wcnn sic mit hagen dcr Sicherheit des Staates zusammenhiingt.
(14) In Anbetracht der Bedeutung der gegenwartigen Entwicklung im Zusammenhang mit der Informa- tionsgesellschaft bezuglich Techniken der Erfas- sung, Ohermittlung, Veranderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezo- genen Ton- und Bilddatcn muR diese Richtlinie auch auf die Vcrarbeitung dieser Daten Anwen- dung findcn.
(15) Die Verarbeitung solcher Daten wird von dieser Richtlinie nur erfaRt, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bczieht, in Dateicn enthalten oder fur solche bestimmt sind, die nach bestimmten personenbczo- genen Kritcrien strukturiert sind, urn einen leichtcn Zugriff auf die Daten zu enn()glichen.
(16) Die Vcrarbeitung von Ton- unci Bilddaten, wie bei der Videouberwachung, fallt nicht unter diese Richtlinic, wenn sie fiir Zwecke der <>ffentlichen Sicherheit, der Landesvertcidigung, der Sicherheit des Staates odcr der Tatigkeiten des Staates im Bereich des Strafrechts oder andercn Tatigkeiten crfolgt, die nicht untcr das Gemcinschaftsrecht fallen.
(17) Bezuglich der Verarbcitung von Ton- und Bild- daten fur journalistischc, literarische oder kunstle-
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/33
rische Zwecke, insbesondere im audiovisuellen Bereich, finden die Grundsatze dieser Richtlinie gemaR Artikel 9 eingeschrankt Anwendung.
(18) Urn zu vermeiden, daiS einer Person der gemafS dieser Richtlinie gewahrleistete Schutz vorenthalten winl, mussen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechts- vorschriften cines Mitgliedstaats angewandt wer- den. Es ist angebracht, auf die Verarbeitung, die von eincr Person, die dem in dem Mitgliedstaat niedergelassenen fur die Verarbeitung Verantwort- lichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Nicderlassung im Hoheitsgebiet cines Mit- gliedstaats setzt die effektive und tatsachliche Aus- ubung eincr Tatigkeit mittels ciner festen Einrich- tung voraus. Die Rechtsform einer solchen Nieder- lassung, die eine Agentur oder cine Zweigstelle sein kann, ist in dieser Hinsicht nicht maRgeblich. Wenn der Verantwortliche im Hoheitsgebiet meh- rerer Mitglicdstaaten nicdergelassen ist, insbeson- dere mit einer filiale, muR cr vor a1lem zu Vermei- dung von Umgchungen sicherstellen, daR jede dic- ser Niederlassungcn die Verpflichtungen einhalt, die im jeweiligcn einzelstaatlichen Recht vorgese- hen sind, das auf ihre jeweiligen Tatigkeiten anwendbar ist.
(20) Die Niederlassung des fur die Verarbeitung Verant- wortlichen in einem Drittland darf dem Schutz der Personen gemaR dieser Richtlinie nicht entgegcnste- hen. In diesem Fall sind die Verarbeitungen dcm Recht des Mitgliedstaats zu unterwerfen, in dem sich die fiir die betreffenden Verarbeitungen ver- wcndeten Mittel hefinden, und Vorkehrungen zu trcffen, um sichcrzustellcn, daR die in dieser Richt- linie vorgesehenen Richte und Pflichten tatsachlich eingehalten wcrden.
(21) Diese Richtlinie beruhrt nicht die im Strafrecht gcltenden Tcrritorialitatsregeln.
(22) Die Mitgliedstaaten ke>nnen in ihren Rechtsvor- schriftcn oder bei der Durchfuhrung dcr Vorschrif- ten zur Umsetzung dieser Richtlinie die allgemeincn Bedingungcn prazisieren, unter denen die Verarbci- tungen rechtmafsig sind. Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7 und 8 k{)nncn die Mitglicdstaaten neben den allgemeincn Regeln besondere Bedingungen fur die Datenverarbeitung in spezifischen Bereichen und fur die verschiedenen Datenkategorien gemaf~ Artikel g vorschen.
(23) Die Mitgliedstaaten ke>nnen den Schutz von Perso- nen sowohl durch ein allgemeincs Gesetz zum Schutz von Personen bei der Verarbeitung perso- nenbczogener Daten als auch durch gesetzlichc
Regelungen fur bestimmte Bereiche, wie zum Bei- spiel die statistischen Arnter, sichcrstellen.
(24) Diesc Richtlinic bcriihrt nicht die Rechtsvorschrif- ten zum Schutz juristischer Personen bei der Verar- beitung von Daten, die sich auf sie beziehen.
(25) Die Schutzprinzipicn finden zum cinen ihren Nie- dcrschlag in den Pflichten, die den Personen, Beh()rden, Unternehmen, Gcschaft-sstellen oder an- deren fur die Verarbeitung verantwortlichen Stellen obliegcn; diesc Pflichtcn hetreffen insbesondere die Datenqualitat, die technischc Sichcrheit, die Mel- dung bei der Kontrollstelle und die Voraussetzun- gen, unter denen cine Vcrarbeitung vorgenommen wcrden kann. Zum andcrcn kommcn sic zum Aus- ciruck in den Rcchten der Pcrsoncn, deren Daten Gcgcnstand von Vcrarbcitungcn sind, uber diese informicrt zu wcrdcn, Zugang zu den Daten zu erhaltcn, ihrc Bcrichtigung verlangen bzw. unter gcwissen Voraussetzungcn Widcrspruch gegen die Vcrarbeitung einlegen zu k6nncn.
(26) Die Schutzprinzipicn miissen fur aile Informationen iibcr eine bestimmte odcr bestimmbare Person gel- ten. Bei der Entscheidung, oh eine Person bestimm- bar ist, sollten alle Mittel heri.icksichtigt werden, die vernunftigerwcise entweder von dem Verant- wortlichen fur die Verarheitung oder von einem Dritten eingesetzt werdcn kc)nnten, um die betref- fende Person zu bestimmcn. Die Schutzprinzipicn finden keine Anwcndung auf Daten, die derart anonymisiert sind, dag die betroHene Person nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinnc des Artikcls 27 k6nnen ein nutzliches Instru- ment sein, mit dcm angegeben wird, wie sich die Daten in ciner Form anonymisiercn und aufbewah- ren lassen, die die Idcntifizierung der betroffenen Person unm()glich macht.
(27) Datenschutz muR sowohl fur automatisierte als auch fur nicht automat:isierte Verarbeitungen gel- ten. In der Tat darf dcr Schutz nicht von den vcrwendeten Technikcn abhangen, da andernfalls crnsthafte Risiken der Umgebung entstchcn wur- dcn. Bei manucllcn Verarbeitungen erfagt diese Richtlinie lediglich Datcien, nicht jedoch unstruk- turierte Aktcn. Insbesondere mul~: der Inhalt einer Datci nach bcstimmten personenbezogenen Krite- ricn strukturicrt scin, die cincn lcichten Zugriff auf die Daten erm()glichcn. Nach der Definition in Artikel 2 Buchstabe c) kc)nnen die Mitgliedstaaten die Kriterien zur Bestimmung dcr Elemente einer strukturierten Sammlung pcrsonenbezogener Daten sowie die vcrschiedenen Kriterien zur Regelung des
Nr. L 281/34 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie ihre Deckblat- ter, die nicht nach bestimmten Kriterien struktu- riert sind, fallen unter keinen Umstanden in den Anwendungsbereich dieser Richtlinie.
(28) Die Verarbeitung personenbezogener Daten mufS gegenuber den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafur erheblich zu sein und nicht daruber hinauszugehen. Die Zwecke mussen eindeutig und rechtmafSig sein und bei der Datener- hebung festgelegt werden. Die Zweckbestimmun- gen der Weiterverarbeitung nach der Erhebung di.irfen nicht mit den ursprunglich festgelegten Zwecken unvereinbar sein.
(29) Die Weiterverarbeitung personenbezogener Daten fi.ir historische, statistische oder wissenschaftliche Zwecke ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datener- hebung anzusehen, wenn der Mitgliedstaat geeig- nete Garanticn vorsieht. Diese Garantien mussen insbesondere ausschliefSen, daR die Daten fur MafS- nahmen oder Entscheidungen gegenuber einzelnen Betroffenen verwendet werden.
(30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmafSig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den AbschlufS oder die Erfullung eines fur die betroffene Person bindenden Vertrags, zur Erfullung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im offentlichen Inter- esse, in Ausubung hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, daR die Interessen oder die Rechte und freiheiten der betroffenen Person nicht i.iberwiegen. Um den Ausgleich der in Frage stehen- den lnteressen unter Gewahrleistung eines effekti- ven Wettbewerbs sicherzustellen, konnen die Mit- gliedstaaten insbesondere die Bedingungen naher bestimmen, unter denen personenbezogene Daten bei rechtmafSigen Tatigkeiten im Rahmen laufender Geschafte von Unternehmen und anderen Einrich- tungen an Dritte weitergegeben werden konnen. Ebenso konnen sic die Bedingungen festlegen, unter denen personenbezogene Daten an Dritte zum Zweck der kommerziellen Werbung oder der Wer- bung von Wohltatigkeitsverbanden oder anderen Vereinigungen oder Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden konnen, und zwar unter Berucksichtigung der Bestimmungen dieser Richtlinie, nach denen betroffene Personen ohne Angabe von Grunden und ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen, erheben konnen.
(31) Die Verarbeitung personenbezogener Daten ist ebenfalls als rechtmafSig anzusehen, wenn sie erfolgt, um ein fur das Leben der betroffenen Person wesentliches Interesse zu schutzen.
(32) Es ist nach einzelstaatlichem Recht festzulegen, ob es sich bei dem fur die Verarbeitung Verantwortli- chen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im offentlichen Interesse liegt oder in Ausubung hoheitlicher Gewalt erfolgt, um eine Behorde oder um eine andere unter das offent- liche Recht oder das Privatrecht fallende Person, wie beispielsweise cine Berufsvereinigung, handeln soli.
(.33) Daten, die aufgrund ihrcr Art geeignet sind, die Grundfreiheiten oder die Privatsphare zu beein- trachtigen, durfen nicht ohne ausdruckliche Einwil- ligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot mussen ausdruck- lich vorgesehen werden bei spezifischen -Notwen- digkeiten, insbesondere wenn die Verarbeitung die- ser Daten fi.ir gewisse auf das Gesundheitswesen bezogene Zwecke von Personen vorgenommen wird, die nach dem einzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn die Verar- beitung fi.ir berechtigte Tatigkeiten bestimmter Ver- einigungen oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausi.ibung von Grundfreihei- ten zu erme>glichen.
(.34) Die Mitgliedstaaten konnen, wenn dies durch ein wichtiges offentliches Interesse gerechtfertigt ist, Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien vorsehen in Bereichen wie dem C>ffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich der Siche- rung von Qualitat und Wirt:schaftlichkeit der Ver- fahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der offentlichen Statistik. Die Mit:gliedstaaten miissen jedoch geeig- nete besondere Garantien zum Schutz der Grund- rechte und der Privatsphare von Personen vorse- hen.
(35) Die Verarbeitung personenbezogener Daten durch staatliche Stellen fur verfassungsrechtlich oder im Vblkerrecht niedergelegt:e Zwecke von staatlich anerkannten Religionsgesellschaften erfolgt eben- falls im Hinblick auf cin wichtiges bffentliches Interesse.
(36) Wenn es in bestimmten Mitgliedstaaten zum Funk- tionieren des demokratischen Systems gehC>rt, daR die politischen Parteien im Zusammenhang mit Wahlen Daten i.iber die politische Einstellung von Personen sammeln, kann die Verarbeitung derarti- ger Daten aus Grunden cines wichtigen offentli- chen Interesses zugelassen werden, sofern angemes- sene Garantien vorgesehen werden.
(37) Fur die Verarbeitung personenbezogener Daten zu journalistischen, literarischen oder ki.instlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind Ausnahmen von bestimmten Vorschriften die- ser Richtlinie vorzusehen, soweit sie erforderlich sind, um die Grundrechte der Person mit der
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/35
Freiheit der MeinungsauRerung und insbesondere der Freiheit, Informationen zu erhalten oder wei- terzugeben, die insbesondere in Artikel 10 der Europaischen Konvention zum Schutze der Men- schenrechte und der Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb den Mitgliedstaaten, unter Abwagung der Grundrechte Ausnahmen und Einschrankungen festzulegen, die bei den allgemeinen MaRnahmen zur RechtmaRig- keit der Verarbeitung von Daten, bei den MaRnah- men zur (Jbermittlung der Daten in Drittlander sowie hinsichtlich der Zustandigkeiten der Kon- trollstellen erforderlich sind, ohne daR jedoch Aus- nahmen bei den MaRnahmen zur Gewahrleistung der Sicherheit der Verarbeitung vorzusehen sind. remer sollte mindestens die in diesem Bereich zustandige Kontrollstelle bestimmte nachtragliche Zust~indigkeiten erhalten, beispiclsweise zur regel- magigen Vcrbffentlichung eines Berichts oder zur Bcfassung der Justizbehorden.
(38) Datenverarbeitung nach Treu und Glauben setzt voraus, dag die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemaR und umfassend tiber die Bedingungen der Erhebung informiert zu wer- den, wenn Daten bei ihnen erhoben werden.
(39) Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei der betroffe- nen Person erhoben hat. Des weiteren konnen Daten rechtmaRig an Dritte weitergegeben werden, auch wenn die Weitergabe bei der Erhebung der Daten bei der betroffenen Person nicht vorgesehen war. In diesen Fallen muR die betroffene Person zum Zeitpunkt dcr Speicherung der Daten odcr spatestens bei der erstmaligen Weitergabe dcr Daten an Dritte unterrichtet werden.
(40) Diese Verpflichtung eriibrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist. Sie besteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz ausdriicklich vorgesehen ist oder wenn die Unterrichtung der betroffenen Person unmoglich ist oder unverhaltnismaRigen Aufwand erfordert, was bei Verarbeitungen fiir historische, statistische oder wissenschaftliche Zwecke der Fall sein kann. Diesbeziiglich konnen die Zahl der betroffenen Personen, das Alter dcr Daten und etwaige AusgleichsmaRnahmen m Betracht gezogen werden.
(41) Jede Person muR ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer Verarbeitung sind, haben, damit sie sich insbeson- dere von der Richtigkeit dieser Daten und der Zulassigkeit ihrer Verarbeitung iiberzeugen kann. Aus denselben Grunden muR jede Person auRerdem das Recht auf Auskunft tiber den logischen Aufbau
der automatisierten Verarbeitung der sie betreffen- den Daten, zumindest im Fall auromatisierter Ent- scheidungen im Sinne des Artikels 15 Absatz 1, besitzen. Dieses Recht darf weder das Geschaftsge- heimnis noch das Recht an geistigem Eigentum, insbesondere das Urheberrecht zum Schutz von Software, beriihren. Dies darf allerdings nicht dazu fuhren, daR der betroffenen Person jegliche Aus- kunft verweigert wird.
(42) Die Mitgliedstaaten konnen die Auskunfts- und Informationsrechte im Interesse der betroffenen Person oder zum Schutz der Rcchte und Freiheiten Dritter einschranken. Zum Beispiel konnen sie vor- sehen, daR Auskunft tiber medizinische Daten nur iiber ~irztliches Personal erhalten \Verden kann.
(43) Die Mitgliedstaaten konnen Beschrankungen des Auskunfts- und Informationsrechts sowie bestimm- ter Pflichten des fur die Verarbeitung Verantwortli- chen vorsehen, soweit dies beispielsweise fur die Sicherheit des Staates, die Landesverteidigung, die Mfentliche Sicherheit, fur zwingende wirtschaftli- che oder finanzielle Interessen eines Mitgliedstaats oder der Union oder fur die Ermittlung und Verfol- gung von Straftaten oder von VerstoRen gegen Standesregeln bei reglementierten Berufen erforder- lich ist. Als Ausnahmen und Beschrankungen sind Kontroll-, Oberwachungs- und Ordnungsfunktio- nen zu nennen, die in den dre1 letztgenannten Bereichen in bezug auf offentliche Sicherheit, wirt- schaftliches oder finanzielles Interesse und Strafver- folgung erforderlich sind. Die Erwahnung der Auf- gaben in diesen drei Bereichen !aRt die Zulassigkeit von Ausnahmen und Einschrankungen aus Grun- den der Sicherheit des Staates und der Landesver- teidigung unberiihrt.
(44) Die Mitgliedstaaten konnen aufgrund gemem- schaftlicher Vorschriften gehalten sein, von den das Auskunftsrecht, die Information der Personen und die Qualitat der Daten betreffenden Bestimmungen dieser Richtlinie abzuweichen, urn bestimmte der obengenannten Zweckbestimmungen zu schiitzen.
(45) Auch wenn die Daten Gegenstand einer rechtmaRi- gen Verarbeitung aufgrund eines <>ffentlichen lnter- esses, der Ausiibung hoheitlicher Gewalt oder der Interessen eines einzelnen sein kbnnen, sollte doch jede betroffene Person das Recht besitzen, aus iiberwiegenden, schutzwiirdigen, sich aus ihrer besonderen Situation ergebenden Grunden Wider- spruch dagegen einzulegen, daR die sie betreffenden Daten verarbeitet werden. Die Mitgliedstaaten kon- nen allerdings innerstaatliche Bestimmungen vorse- hen, die dem entgegenstehen.
(46) Fur den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung perso- nenbezogener Daten miissen geeignete technische
Nr. L 281/36 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
und organisatorische MaRnahmen getroffen wer- den, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, urn insbesondere deren Sicherheit zu gewahrleisten und somit jede unrechtmaf~ige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafur Sorge zu tragen, daR der fur die Verarbeitung Vcrantwortlichc diese MaRnahmen einhalt. Diese MaRnahmen mussen unter Beriicksichtigung des Standes der Tcchnik und der bei ihrer Durchfuhrung entstehcnden Kosten ein Schutzniveau gewahrleisten, das den von der Verarbeitung ausgehcnden Risiken und der Art der zu schutzenden Daten angemessen ist.
(47) Wird cine Nachricht, die personenbezogenc Daten enthalt, i.iber Telekommunikationsdienstc oder durch elektronische Post ubcrmittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu i.ibermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Obermittlungsdienst anbietet, als Verant- wortlichcr fur die Verarbeitung der in der Nach- richt enthaltenen personenbezogenen Daten. Je- doch gelten die Personen, die diese Dicnste anbic- tcn, in dcr Regel als Verantwortliche fur die Verar- beitung der personenbezogenen Daten, die zusatz- lich fi.·tr den Betrieb des Dienstcs crforderlich sind.
(48) Die Meldcverfahren dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer wichtigsten Merkmalc mit dem Zweck der fJberprufung ihrer Vereinbarkcit mit den einzel- staatlichen Vorschriften zur Umsetzung dieser Richtlinie.
(49) Um unangemessene Verwaltungsformalitaten zu vermeiden, kbnnen die Mitgliedstaaten bei Verar- beitungen, bci denen cine Beeintrachtigung der Rcchte und Freiheiten der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sic vcreinfachen, vorausgesetzt, daR diese Verarbeitun- gen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grcnzen solcher Verarbcitungcn festgelegt hat. Eine Befrciung oder einc Vercinfa- chung kann ebenso vorgcschen werden, wenn cin vom fiir die Vcrarbeitung Vcrantwortlichen be- nannter Datenschutzbcauftragter sicherstellt, daR cine Beeintr~ichtigung der Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten ist. Ein solcher Bcauftragter, ob Ange- stelltcr des flir die Verarbeitung Vcrantwortlichcn oder externcr Beauftragter, muR seine Aufgaben in vollstiindiger Unabhangigkeit ausuben kbnnen.
(50) Die Befreiung oder Vereinfachung kann vorgesehen werdcn fur Verarbeitungen, deren einziger Zweck das Fuhren cines Registers ist, das gemaR einzel- staatlichem Recht zur Information der Offentlich- keit bestimmt ist und cntwcder dcr gcsamtcn Offentlichkeit odcr allen Personcn, die ein berech- tigtes Interesse nachweisen konnen, zur Einsicht- nahme offensteht.
(51) Die Vereinfachung oder Befreiung von der Melde- pflicht entbindet jedoch den fur die Verarbeitung Verantwortlichen von keiner der anderen sich aus dieser Richtlinie ergebenen Verpflichtungen.
(52) In diesem Zusammenhang ist die nachtragliche Kontrolle durch die zustandigen Stellen im allge- meinen als ausreichende MaRnahme anzusehen.
(53) Bestimmte Vcrarbeitungen kbnnen jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestim- mung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme cines Rechts, ciner Leistung oder cines Vertrags auszuschlieRen - oder aufgrund der besonderen Verwendung einer neucn Technologic besondere Risiken im Hinblick auf die Rechte und Frciheiten der betrof- fenen Personen aufweisen. Es obliegt den Mitglied- staaten, derartige Risikcn in ihren Rechtsvorschrif- ten aufzufi.ihren, wcnn sic dtes wunschcn.
(54) Bei allen in der Gesellschaft durchgefuhrten Verar- beitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschrankt sein. Die Mitgliedstaaten mussen fur diese Verarbeitun- gen vorsehen, daR vor ihrer Durchfuhrung eine Vorabprufung durch die Kontrollstelle oder in Zusammenarbeit mit ihr durch den Datenschutzbe- auftragten vorgenommen wird. Als Ergebnis dieser Vorabprufung kann die Kontrollstelle gemaR ein- zelstaatlichem Recht cine Stellungnahme abgeben oder die Verarbeitung genehmigen. Diese PrUfung kann auch bei dcr Ausarbeitung einer gesetzgeberi- schen MaRnahme des nationalen Parlaments oder eincr auf eine solche gcsetzgeberische MaRnahme gestutzten MaRnahme erfolgen, die die Art der Verarbeitung und gceignete Garantien festlegt.
(55) Fur den Fall der MifSachtung der Rechte der betroffenen Personcn durch den fur die Verarbei- tung Verantwortlichen ist im nationalen Recht eine gerichtliche OberprUfungsmbglichkeit vorzusehen. Mbglichc Schaden, die den Personen aufgrund einer unzulassigen Vcrarbeitung entstehen, sind von dem fur die Verarbeitung Verantwortlichen zu ersetzen, der von seiner Haftung befreit werden kann, wenn er nachweist, daR der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall hbherer Gewalt vorliegt. Unabhangig davon, ob es sich urn cine Person des Privatrechts oder des offentlichen Rechts handclt, mussen Sanktionen jede Person trcffen, die die einzelstaatlichen Vor- schriften zur Umsetzung dieser Richtlinie nicht einhalt.
(56) Grenzuberschreitender Verkehr von personenbezo- genen Daten ist fur die Entwicklung des internatio- nalen Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewahrte Schutz von Perso- nen steht der Obermittlung personenbezogener
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281137
Daten in Drittlander, die ein angemessenes Schutz- niveau aufweisen, nicht entgegcn. Die Angemcsscn- heit des Schutznivcaus, das ein Drittland bietet, ist unter Bcrucksichtigung allcr Umstandc im Hinblick auf cine Obcrmittlung oder cine Kategoric von Obcrmittlungcn zu beurtcilen.
(57) Bietet hingcgen cin Drittland kcin angemessencs Schutzniveau, so ist die Obermittlung personenlw- zogencr Daten in dieses Land zu untcrsagen.
(58) Ausnahmen von diesem Verbot sind untcr bestimmten Voraussetzungen vorzusehen, wenn die betroffcnc Person ihre Einwilligung erteilt hat odcr die Obcrmittlung im Rahmen cines Vertrags odcr Gerichtsverfahrens odcr zur Wahrung eines wichti- gcn Mfentlichcn lnteresses erforderlich ist, wie zum Beispiel bei internationalem Datenaustausch zwi- schen ~tcucr- oder Zollverwaltungen oder zwischen Dicnstcn, die flir Angelegenheiten der sozialen Sichcrhcit zust~:indig sind. Ebenso kann cine Obcr- mittlung aus einem gesetzlich vorgcsehenen Regi- ster crfolgen, das der offentlichen Einsichtnahmc oder der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In dicscm Fall solltc cine solchc Obermittlung nicht die Gcsamtheit odcr ganzc Katcgorien der im Register cnthaltencn Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen mit berechtigtem Interesse be- stimmt, so sollte die Obermittlung nur auf Antrag dieser Person oder nur dann erfolgen, wenn dicsc Person die Adrcssaten der Obermittlung sind.
(59) Besondere MafSnahmen k<>nnen getroffen werden, um das unzureichende Schutzniveau in einem Dritt- land auszugleichen, wenn der fur die Vcrarbeitung Vcrantwortliche gceignetc Sicherheiten nachwcist. AufScrdem sind Verfahrcn fur die Verhandlungcn zwischen dcr Gemeinschaft und den betreffenden Drittlandcrn vorzusehen.
(60) Obermittlungen in Drittstaaten durfen auf jedcn rail nur unter voller Einhaltung der Rechtsvor- schriftcn erfolgen, die die Mitgliedstaaten gcmag dicser Richtlinie, insbesondere gem~ifS Artikcl g, crlassen hahen.
(61) Die Mitgliedstaaten und die Kommission mussen in ihren jewedigen Zustandigkeitsbereichen die bc- troffencn Wirtschaftskreise ermutigen, Verhaltens- regeln a uszuarbeiten, um unter Berucksichtigung der Besondcrheiten der Verarbeitung in bestimmtcn Bereichen die Durchfuhrung diescr Richtlinie im Einklang mit den hierfur vorgesehencn einzelstaat- lichen Bcstimmungen zu fbrdern.
(62) Die Einrichtung unabhangiger Kontrollstellen in den Mitglicdstaaten ist ein wcsentliches Element des Schutzes dcr Personen bei der Verarbeitung pcrsonenbezogener Daten.
(63) Diese Stcllen sind mit den notwendigen Mitteln fl"tr die Erfiillung dieser Aufgabe auszustatten, d. h. Untcrsuchungs- und Einwirkungsbefugnissen, ins- besondere bei Beschwcrden, sowic Klagerecht. Die Komrollstellen habcn zur Transparenz der Verar- bcitungen in dcm Mitgliedstaat hcizutragen, dcm sic untcrstehen.
(64) Die Bchbrden der verschiedcncn M itgliedstaaten wcrdcn einander bci der Wahrnchmung ihrer Auf- gabcn unterstutzcn mussen, um sidtcrzustcllcn, daG die Schutzrcgeln in der ganzen Eump~iischcn Union beachtct wcrdcn.
(65) Auf Gemeinschaftsebene ist cine Arbcitsgruppe fur den Schutz cler Rcchtc von Pcrsoncn bei der Verar- bcitung pcrsoncnhczogcner Daten cinzusetzen, die ihre Aufgabcn in v<>lligcr Unabhangigkeit wahrzu- nehmcn hat. Unter lkritcksichtigung dieses beson- dercn Charaktcrs hat sic die Komrnission zu hera- ten und insbesondere zur cinheitlichen Anwendung dcr zur Umsctzung dieser Richtlinie crlassenen ein- zelstaatlichen Vorschriftcn bcizutr.1gen.
(66) fur die Obermittlung von Daten in Drittlandern ist cs zur Anwendung dic:~er Richtlinic erforderlich, dcr Kommission Durchfuhrungsbefugnisse zu uber- tragen und cin Vcrfahren gcmi·if~ den Bestimmun- gcn des Beschlusscs 87/3 73/EWG des Rates (1) fest- zulcgcn.
(67) Am 20. Dezcmbcr 1994 wurdc zwischen dem Europiiischen Parlament, dem Rat unci der Kom- mission ein Modus vivendi bctreffcnd die Maf~nah men zur Durchfuhrung der nach dem Verfahrcn des Artikels I g9b des EC-Vcrtrag erlassenen Rcchtsakte vereinbart.
(68) Die in dieser Richtlinic cnthaltencn Grundsatze des Schutzcs dcr Rechtc und Freiheiten der Personen und insbesondere dcr Achtung der Privatspharc bei der Vcrarbeitung personcnbezogencr Daten k<>nnen - besonders flir bestimmtc Bcreiche - durch spezifische Regcln crgiinzt odcr p·razisiert werden, die mit diescn Grundsiitzcn in Einklang stehen.
(69) Den Mitgliedstaaten sollte cine Frist von langstens drei Jahren ab Inkrafttreten ihrer Vorschriften zur Umsetzung dicscr Richtlinic cingcraumt werden, damit sie die neuen cinzelstaatlichen Vorschriften fortschreitend auf aile hcreits laufcnden Verarbei- tungen anwenden k<>nnen. Um cine kosteneffiziente Durchfuhrung dieser Vorschriften zu erleichtcrn,
(I) ABI. Nr. L 197 vom 18. 7. 1987, S. 33.
Nr. L 281/38 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
wird den Mitgliedstaaten eine weitere Prist von zwolf Jahren nach Annahme dieser Richtlinie cin- geraumt, urn die Anpassung bestehender manueller Dateien an bcstimmte Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateien enthal- tene Daten wahrend dieser erweiterten Umset- zungsfrist manuell verarbcitet, so sollten die Datcien zum Zeitpunkt der Verarbeitung mit die- sen Vorschriften in Einklang gebracht werden.
(70) .Die hctroffene Person braucht nicht erneut ihre Einwilligung zu gehen, damit der Verantwortliche nach Inkrafttreten der einzelstaatlichen Vorschrif- ten zur Umsetzung dieser Richtlinie cine Verarbei- tung sensihler Daten fortfuhren kann, die fur die
Erfullung cines in freier Willenserklarung geschlos- senen Vertrags erforderlich ist und vor Inkrafttre- ten der genannten Vorschriften mitgeteilt wurde.
(71) Diese Richtlinic stcht den gcsetzlichen Regelungen eines Mitgliedstaats im Bereich der geschaftsmagi- gen Werhung gegenuher in seinem Hoheitsgehiet ansassigen Verbrauchern nicht entgegen, sofern sich diese gesetzlichen Regelungen nicht auf den Schutz der Person bei der Verarbeitung personen- bezogener Daten heziehen.
(72) Diese Richtlinie erlauht hei der Umsetzung der mit ihr festgelegten Grundsatze die Berucksichtigung des Grundsatzes des offentlichen Zugangs ZU amtli- chen Dokumenten -
HABEN FOLGENDE RICHTLINIE ERLASSEN:
KAPITEL I
ALLGEMEINE BESTIMMUNGEN
Artikel 1
Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewahrleisten nach den Bestim- mungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privat- sphare naturlicher Personen bei der Verarbeitung perso- nenbezogener Daten.
(2) Die Mitgliedstaaten heschranken oder untersagen nicht den freien Verkehr personenbezogener Daten zwi- schen Mitgliedstaaten aus Grunden des gemag Ahsatz 1 gewahrleisteten Schutzes.
Artikel 2
Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) ,personenbezogene Daten" alle Informationen tiber cine bestimmte oder bestimmbare naturliche Person (, hctroffene Person"); als bestimmbar wird cine Per- son angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifi- schen Elementen, die Ausdruck ihrer physischen, phy- siologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitat sind;
b) ,Vcrarbcitung personenbezogener Daten" (,Vcrarbei- tung") jeden mit oder ohne Hilfe automatisierter Verfahrcn ausgefuhrten Vorgang oder jede Vorgangs-
reihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisa- tion, die Aufhewahrung, die Anpassung oder Veran- derung, das Auslesen, das Ahfragen, die Benutzung, die Weitergabe durch Dbermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknupfung sowie das Sperren, Loschen oder Vernichten;
c) ,Datei mit personenbezogenen Daten" (,Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zuganglich sind, gleichgul- tig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunk- ten aufgeteilt gefuhrt wird;
d) ,fur die Verarbeitung Verantwortlicher" die naturli- che oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen tiber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarheitung von personenbe- zogenen Daten in einzelstaatlichen oder gemeinschaft- lichen Rechts- und Verwaltungsvorschriften festgelegt, so k()nnen der fur die Verarbeitung Verantwortliche hzw. die spezifischen Kriterien fur seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechts- vorschriften hestimmt werden;
e) ,Auftragsverarbeiter" die naturliche oder juristische Person, Behc)rde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des fur die Verarbeitung Verantwortlichen verarbeitet;
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/39
f) ,Dritter" die naturliche oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, aufSer der betroffenen Person, dem fur die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des fur die Verarbeitung Verantwortlichen oder des Auftragsverarbciters befugt sind, die Daten zu verar- beiten;
g) ,Empfanger" die naturliche oder juristische Person, Behorde, Einrichtung oder jede andere Stelle, die Daten erhalt, gleichgultig, ob es sich bei ihr urn einen Dritten handelt oder nicht. Behorden, die im Rahmen cines einzelnen Untersuchungsauftrags moglicherweise Daten erhalten, gelten jedoch nicht als Empfanger;
h) ,Einwilligung der betroffenen Person" jede Willensbe- kundung, die ohne Zwang, fur den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daR personenbezogene Daten, die sie betreffen, verarbeitet werden.
Artikel 3
Anwendungsbereich
(1) Diese Richtlinie gilt fur die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie fur die nicht automatisierte Verarbeitung personen- bezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
die fur die Ausubung von Tatigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschafts- rechts fallen, beispielsweise Tatigkeiten gemafS den Titeln V und VI des Vertrags uber die Europaische Union, und auf keinen Fall auf Verarbeitungen betref- fend die offentliche Sicherheit, die Landesverteidi- gung, die Sicherheit des Staates (einschlieRlich seines
wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates beruhrt) und die Tatigkeiten des Staates im strafrechtlichen Bereich;
die von einer naturlichen Person zur Ausubung aus- schliefSlich personlicher oder familiiirer Tatigkeiten vorgenommen wird.
Artikel 4
Anwendbares einzelstaatliches Recht
(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlafSt, auf aile Verarbei- tungen personenbezogener Daten an,
a) die im Rahmen der Tatigkeiten einer Niederlassung ausgefuhrt werden, die der fur die Verarbeitung Ver- antwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche cine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen MafSnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhalt;
b) die von einem fur die Verarbeitung Verantwortlichen ausgehlhrt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemafs dem internationalen <>ffentlichen Recht Anwendung findet;
c) die von einem fur die Verarbeitung Verantwortlichen ausgefuhrt werden, der nicht im Gebiet der Gemein- schaft niedergelassen ist und zum Zwecke der Verar- beitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurilckgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sci denn, daR diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europaischen Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der fur die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedsraats ansassigen Vertretcr zu benennen, unbeschadet der Moglichkeit cines Vorgehens gegen den fur die Verarbeitung Verantwortli- chen selbst.
KAPITEL II
ALLGEMEINE BEDINGUNGEN FUR DIE RECHTMASSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 5
Die Mitgliedstaaten bestimmen nach MafSgabe dieses Kapitels die Voraussetzungen naher, unter denen die Verarbeitung personenbezogener Daten rechtmafSig ist.
Nr. L 281/40 Amtsblatt der Europaischen Gcmcinschaften 23. 11. 95
ABSCHNITT I
GRUNDSATZE IN BEZUG AUF DIE QUALITAT DER DATEN
Artikel 6
(1) Die Mitgliedstaaten sehen vor, daR personcnbezo- gene Daten
a) nach Trcu und Glauben und auf rcchtmagigc Weise vcrarbeitct wcrden;
b) fi'tr fcstgclegtc cindeutige und rechtmaRige Zwecke erhoben und nicht in einer mit diesen Zweckbcstim- mungen nicht zu vcreinbarenden Weise weitcrvcrar- bcitct wcrdcn. Die Wcitervcrarbcitung von Daten zu historischcn, statistischen oder wisscnschaftlichcn Zwcckcn ist im allgcmeinen nicht als unvcrcinbar mit den Zwcckcn der vorausgcgangenen Datcncrhcbung anzusehcn, sofern die Mitglicdstaaten gccignete Garanticn vorschcn;
c) den Zwccken entsprechen, fur die sie erhobcn und/ odcr wciterverarbeitet wcrden, dafur erhcblich sind und nicht daruber hinausgehcn;
d) sachlich richtig und, wcnn ni:>tig, auf den neuesten Stand gcbracht sind; es sind allc angemessencn MaR- nahmcn zu treffen, damit im Hinblick auf die Zwccke, fur die sic erhobcn oder wcitcrverarbeitet werden, nichtzutreffende oder unvollstandigc Daten gel<ischt odcr berichtigt werdcn;
e) nicht Ianger, als es fur die Realisierung der Zwecke, fur die sic erhobcn oder weiterverarbeitet werden, crforderlich ist, in einer Form aufbewahrt werden, die die Idcntifizicrung der betroffcnen Personen crrn()g- licht. Die Mitgliedstaaten schcn geeignctc Garantien fiir personenbczogenc Daten vor, die tiber die vorge- nanntc Dauer hinaus fur historischc, statistischc oder wisscnschaftlichc Zwecke aufbcwahrt werden.
(2) Dcr fur die Vcrarbeitung Vcrantwortliche hat fur die Einhaltung des Absatzes 1 zu sorgcn.
ABSCHNITT II
GRUNDSATZE IN BEZUG AUF DIE ZULASSIGKEIT DER VERARBEITUNG VON DATEN
Artikel 7
Die Mitglicdstaatcn sehen vor, dag die Verarbeitung personcnbczogener Daten lediglich erfolgen darf, wenn einc dcr folgenden Voraussetzungen erfullt ist:
a) Die betroffene Person hat ohnc jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erfordcrlich fur die Erfullung eines Vertrags, dessen Vertragspartei die bctroffene Person ist, oder fiir die Durchfuhrung vorvertraglicher Ma!Snahmen, die auf Antrag der betroffencn Person erfolgcn;
c) die Verarbeitung ist fur die Erfullung einer rechtlichen Verpflichtung erforderlich, der der fur die Vcrarbci- tung Vcrantwortliche unterliegt;
d) die Verarbeitung ist erforderlich fur die Wahrung lebenswichtiger Interessen der betroffenen Person;
c) die Verarbeitung ist erforderlich fur die Wahrneh- mung einer Aufgabc, die im offentlichen Interesse liegt oder in Ausubung offentlicher Gewalt erfolgt und dem fur die Vcrarbeitung Verantwortlichen oder dem Dritten, dem die Daten iibcrmittelt werden, ubertra- gen wurdc;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem fur die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten iibermittelt werden, sofern nicht das Interesse oder die Grundrechtc und Grundfrciheiten der betroffenen Per- son, die gemiif~ Artikcl 1 Ahsatz 1 geschutzt sind, iiberwiesen.
AIJSCHNITT III
BESONDERE KATEGORIEN DER VERARBEITUNG
Artikel 8
Verarbeitung besonderer Kategorien personenbezogencr Daten
(1) Die Mitgliedstaaten untersagen die Verarbeitung per- sonenbezogener Daten, aus denen die rassische und ethni- schc Herkunft, politischc Meinungen, religiose odcr phi- losophische Dberzeugungen odcr die Gewerkschaftszuge- hiirigkeit hervorgehen, sowie von Daten uber Gesundheit oder Sexuallcben.
(2) Absatz 1 finder in folgcnden Fiillen keine Anwen- dung:
a) Die betroffcnc Person hat ausdrucklich in die Verar- bcitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
oder
b) die Verarbeitung ist crforderlich, um den Rechten und Pflichtcn des flir die Verarbeitung Verantwortlichen auf dem Gebiet des Arbcitsrechts Rechnung zu tragen, sofcrn dies aufgrund von einzclstaatlichem Recht, das angemesscne Garantien vorsicht, zulassig ist;
oder
c) die Vcrarbeitung ist zum Schutz lebenswichtiger Inter- essen der betroffencn Person oder eines Dritten erfor- derlich, sofern die Person aus physischen oder rechtli- chen Griinden aufserstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemes- scner Garantien durch cine politisch, philosophisch, religios oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmaRi- gen Tatigkeitcn und unter der Voraussetzung, dag sich die Verarbeitung nur auf die Mitglieder dcr Organisation oder auf Pcrsonen, die im Zusammen- hang mit deren Tatigkeitszweck regelmaRige Kontakte mit ihr unterhalten, bczieht und die Daten nicht ohne
23. 11. 95 Arntsblatt der Europaischen Gerneinschaften Nr. L 281/41
Einwilligung der betroffenen Personen an Dritte wei- tergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig Mfentlich gernacht hat, oder ist zur Geltendrnachung, Ausubung oder Vertei- digung rechtlicher Anspriiche vor Gericht erforder- lich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zurn Zweck der Gesundheitsvorsorge, der rnedizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder fiir die Verwaltung von Gesundheitsdiensten erfor- derlich ist und die Verarbeitung dieser Daten durch arztliches Per~onal erfolgt, das nach dern einzelstaatlichen Recht, einschlieglid1 der von den zust~indigen einzelstaat- lichen Stellen erlassenen Regelungen, dern Berufsgeheirn- nis unterliegt, oder durch sonstige Personen, die emer entsprechendcn Gcheirnhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten k<)nnen vorbchaltlich angerncsse- ner Gar2ntien am Griinden cines wichtigen Mfentlichen lnteresses entweder irn Wege einer nationalen Rechtsvor- schrift oder im Wege einer Entscheidung der Kontroll- stelle andere als die in Absatz 2 genannten Ausnahrnen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, straf- rechtliche Verurteilungen oder Sicherungsrnagregeln bc- treffcn, darf nur unter hehordlicher Aufsicht oder auf- grund von cinzelstaatlichern Recht, das angernessene Garantien vorsicht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvor- schriften, die geeignete besondere Garantien vorsehen, festlegcn kann. Ein vollstjndiges Register der strafrechtli- chen Verurtedungen darf allerdings nur unter behc)rdli- cher Aufsicht gefiihrt werden.
Die Mitgliedstaaten konnen vorsehen, daf~ Daten, die administrative Strafen oder zivilrechtliche Urteile betrcf- fen, ehenfalls unter hehc)rdlicher Aufsicht verarbeitet wer- den miissen.
(6) Die in den Absiitzcn 4 und 5 vorgesehenen Abwei- chungen von Absatz 1 sind der Komrnission mitzuteilen.
(7) Die Mitgliedstaaten bestimrnen, unter welchen Bedingungen cine nationale Kennziffer oder andere Kenn- zeichen allgerneiner Bedeutung Gegenstand einer Verar- beitung sein durfen.
Artikel 9
Verarbcitung personenbczogcner Daten und Meinungs- frciheit
Die Mitgliedstaatcn sehen hir die Verarbcitung personcn- bezogener Daten, die allein zu journalistischen, kunstleri- schen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesern Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als
notwendig erweist, urn das Recht auf Privatsphare mit den flir die Freiheit der Meinungsiiugerung geltenden Vorschriften in Einklang zu bringen.
ABSCHNITT IV
INFORMATION DER BETROFFENEN PERSON
Artikel 1()
Information bei der Erhebung pcrsoncnbezogener Daten bei der bctroffcncn Person
Die Mitglicdstaaten schen vor, dag die Person, bei der die sie bctreffenden Daten erhoben werdcn, vom fiir die Verarbeitung Verantwortlichen oder seinern Vertreter zurnindest die nachstehenden Informationen crhalt, sofern diese ihr noch nicht vorlicgen:
a) Identitat des hir die Verarbcitung Verantwortlichen und gegcbenenfalls seines Vcrtreters,
b) Zwcckbestirnrnungen der Verarbcitung, fur die die Daten hestimmt sind,
c) weiterc Informationen, beispielsweisc betreffend
die Ernpfiinger oder Kategorien der Empfanger der Daten,
die Fragc, ob die Beantwortung dcr Fragen obliga- torisch oder frciwillig ist, sowie m()gliche Folgen einer unterlasscnen Beantwortung,
das Bcstehen von Auskunfts- und Berichtigungs- rcchtcn beziiglich sic betreffcnder Daten,
sofern sie unter Beriicksichtigung der spezifischen Umstande, untcr dcnen die Daten erhoben werden, notwendig sind, urn gegeni.iber der betroffenen Person eine Verarheitung nach Treu und ( ~lauben zu gewahr- leisten.
Artikcl 11
Informationcn fiir den Fall, daf~ die Daten nicht bei der bctroffenen Person ~~rhoben wurden
(1) Fur den Fall, dag die Daten nicht lxi der bctroffenen Person erhoben wurden, sehcn die Mitgliedstaaten vor, dag die bctroffene Person bei Beginn der Speicherung der Daten hzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spatestens bci dcr ersten Dbermittlung vom flir die Verarbeitung Vcrantwortlil hen oder seinern Vertreter zurnindest die nachstehendcn Inforrnationen erhalt, sofcrn diesc ihr noch nicht vorlicgen:
a) Identit~it des fiir die Verarheitung Verantwortlichen und gcgcbcnenfalls seines Vertreters,
b) Zweckbestimmungen der Vcrarbeitung,
Nr. L 281/42 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
c) weitere Informationen, beispielsweise betreffend
die Datenkategorien, die verarbeitet werden,
die Empfanger oder Kategorien der Empfanger der Daten,
das Bestehen von Auskunfts- und Berichtigungs- rechten bezuglich sie betreffender Daten,
sofern sie unter Berucksichtigung der spezifischen Umstande, unter denen die Daten erhoben werden, notwendig sind, urn gegenuber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewahr- leisten.
(2) Absatz 1 findet - insbesondere bei Verarbeitungen fur Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmoglich ist, unverhaltnismaRigen Aufwand erfordert oder die Speiche- rung oder Weitergabe durch Gesetz ausdrucklich vorgese- hen ist. In diesen fallen sehen die Mitgliedstaaten geeig- nete Garantien vor.
ABSCHNITT V
AUSKUNFTSRECHT DER BETROFFENEN PERSON
Artikel 12
Auskunftsrecht
Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom fur die Verarbeitung Verantwortlichen folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abstanden ohne unzumutbare Verzogerung oder ubermagige Kosten
die Bestatigung, daR es Verarbeitungen sic betref- fender Daten gibt oder nicht gibt, sowie zumindest Informationen uber die Zweckbestimmungen die- ser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Emp- fanger oder Kategorien der Empfanger, an die die Daten ubermittelt werden;
eine Mitteilung in verstandlicher Form uber die Daten, die Gegenstand der Verarbeitung sind, sowie die verfugbaren Informationen uber die Herkunft der Daten;
Auskunft i.iber den logischen Aufbau der automa- tisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;
b) je nach Fall die Berichtigung, Loschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmun- gen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollstandig oder unrichtig sind;
c) die Gewahr, dag jede Berichtigung, Loschung oder Sperrung, die entsprechend Buchstabe b) durchgefuhrt wurde, den Dritten, denen die Daten ubermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmoglich erweist oder kein unverhaltnismagiger Aufwand damit verbunden ist.
ABSCHNITT VI
AUSNAHMEN UNO EINSCHRANKUNGEN
Artikel 13
Ausnahmen und Einschrankungen
(1) Die Mitgliedstaaten konnen Rechtsvorschriften erlas- sen, die die Pflichten und Rechte gemaR Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschranken, sofern eine solche Beschrankung not- wendig ist fur
a) die Sicherheit des Staates;
h) die Landesverteidigung;
c) die offentliche Sicherheit;
d) die Verhutung, Ermittlung, Feststellung und Verfol- gung von Straftaten oder Verstogen gegen die berufs- standischen Regeln hei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Inter- esse cines Mitgliedstaats oder der Europaischen Union einschlieglich Wahrungs-, Haushalts- und Steuerange- legenheiten;
f) Kontroll-, Dberwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausubung offentli- cher Gewalt fur die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.
(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, dag die Daten fur MaRnahmen oder Entscheidungen gegenuber bestimmten Personen verwendet werden, konnen die Mit- gliedstaaten in Fallen, in denen offensichtlich keinc Gefahr eines Eingriffs in die Privatsphare der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschranken, wenn die Daten ausschlieRlich fur Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht Ianger als erforder- lich lediglich zur Erstellung von Statistiken aufbewahrt werden.
ABSCHNITT VII
WIDERSPRUCHSRECHT DER BETROFFENEN PERSON
Artikel 14
Widerspruchsrecht der betroffenen Person
Die Mitgliedstaaten erkennen das Recht der betroffenen Person an,
a) zumindest in den Fallen von Artikel 7 Buchstaben e) und f) jederzeit aus uberwiegenden, schutzwurdigen, sich aus ihrer besonderen Situation ergebenden Grun- den dagegen Widerspruch einlegen zu konnen, daR sie
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/43
betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen ent- gegenstehenden Bestimmung. Im Fall cines berechtig- ten Widerspruchs kann sich die vom fur die Verarbei- tung Verantwortlichen vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;
b) auf Antrag kostenfrei gegen eine vom fur die Verar- beitung Verantwortlichen beabsichtigte Verarbeitung sic betreffender Daten fur Zwecke der Direktwerbung Widerspruch cinzulegen oder vor der ersten Weiter- gabe personenbezogener Daten an Dritte oder vor deren crstmaliger N utzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrucklich auf das Recht hingewiesen zu wer- den, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu kbnnen.
Die Mitgliedstaaten ergreifen die erforderlichen MaRnah- men, urn sicherzustellen, daR die betroffenen Personen vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis haben.
Artikel 15
Automatisierte Einzelentscheidungen
(1) Die Mitgliedstaaten raumen jeder Person das Recht ein, keiner fur sie rechtliche Folgen nach sich ziehenden und keiner sic erheblich beeintrachtigenden Entscheidung unterworfen zu wcrden, die ausschlieRlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrcr beruflichen Leistungsfahigkeit, ihrer Krcditwurdigkeit, ihrer Zuverlassigkeit odcr ihres Verbal- tens.
(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daR cine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese
a) im Rahmen des Abschlusses oder der Erfullung eines Vertrags ergeht und dem Ersuchen der betroffenen Person auf AbschluR oder Erfullung des Vertrags stattgegeben wurde oder die Wahrung ihrer berechtig- ten Interessen durch geeignete MaRnahmen - bei- spielsweise die Mbglichkeit, ihren Standpunkt geltend zu machen - garantiert wird oder
b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.
ABSCHNITT VIII
VERTRAULICHKEIT UND SICHERHEIT DER VERARBEI- TUNG
Artikel 16
Vertraulichkeit der Verarbeitung
Personen, die dem fur die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang
zu personenbezogenen Daten haben, sowie der Auftrags- verarbeiter selbst durfen personenbezogene Daten nur auf Weisung des fur die Verarbeitung Verantwortlichen ver- arbeiten, es sei denn, es bestehen gesetzliche Verpflichtun- gen.
Artikel 17
Sicherheit der Verarbeitung
(1) Die Mitgliedstaaten sehen vor, daR der fur die Verar- beitung Verantwortliche die geeignetcn technischen und organisatorischen MaRnahmcn durchfuhren muR, die fur den Schutz gegen die zufallige oder unrechtmaRige Zer- storung, den zufalligen Verlust, die unherechtigte Ande- rung, die unberechtigte Weitergabe oder den unberechtig- ten Zugang - insbesondere wcnn im Rahmen der Verar- beitung Daten in einem Netz i.ibertragcn werden - und gegen jedc andere Form dcr unrechtmzd~igcn Verarbeitung personenbezogener Daten erforderlich sind.
Diesc MaRnahmen mussen unter Berucksichtigung des Standes der Technik und der bei ihrcr Durchfuhrung entstehenden Kosten ein Schutzniveau gewahrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art dcr zu schutzendcn Daten angemessen ist.
(2) Die Mitgliedstaaten sehen vor, daR der fur die Verar- beitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeitcr auszuwahlen hat, der hinsichtlich der fur die Verarbeitung zu treffen- den technischen Sicherheitsmagnahmen und organisatori- schen Vorkehrungen ausreichende Gewahr bietet; der fur die Verarbeitung Verantwortliche uberzeugt sich von der Einhaltung dieser MaRnahmen.
(3) Die Durchfuhrung einer Verarbeitung im Auftrag erfolgt auf der Grundlagc cines Vcrtrags odcr Rechtsakts, durch den der Auftragsverarbeiter an den flir die Verar- beitung Verantwortlichen gebunclen ist und in dem insbe- sondere folgcndes vorgesehen ist:
Der Auftragsverarbciter handelt nur auf Weisung des fur die Verarbeitung Vcrantwortlichen;
die in Absatz 1 genannten Verpflichtungen gelten auch fur den Auftragsverarbeiter, und zwar nach MaRgabe der Rechtsvorschriften des \1itgliedstaats, in dem cr seinen Sitz hat.
(4) Zum Zwecke der Beweissicherung sind die daten- schutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf ~1aRnahmen nach Absatz 1 schriftlich oder in einer anderen Form zu dokumentieren.
ABSCHNITT IX
MELDUNG
Artikel 18
Pflicht zur Meldung bei der Kontrollstelle
(1) Die Mitgliedstaaten sehen cine Meldung durch den fur die Verarbeitung Verantwortlichen oder gegebenen-
Nr. L 2S 1/44 Amtsblatt dcr Europaischcn Gcmeinschaftcn 23. 11. 95
falls seinen Vertrcter bei der in Artikel 28 gcnannten Kontrollstellc vor, bevor cine vollstandig odcr tcilweisc automatisiertc Vcrarbeitung oder cine Mehrzahl von Ver- arbcitungen zur Realisierung einer oder mehrerer verbun- dencr Zwcckhestimmungcn durchgefi.ihrt wird.
(2) Die Mitgliedstaaten konnen cine Vereinfachung der Meldung odcr cine Ausnahmc von der Meldepflicht nur in den folgcnden Fallen und unter folgenden Bcdingungen vorschcn:
Sic lcgen fiir Vcrarbeitungskategoricn, bei denen unter BeriKksichtigung dcr zu verarheitcnden Daten eme Bccintrachtigung der Rechtc und Freiheitcn der bctroffcnen Pcrsonen unwahrscheinlich ist, die Zwcckbestimmungen der Vcrarbcitung, die Daten odcr Katcgorien der verarbeiteten Daten, die Katego- ric(n) der bctroffenen Personen, die Empfangcr oder Katcgoricn dcr Empfanger, denen die Daten weiterge- gcbcn wcrden, und die Dauer dcr Aufbewahrung fest, und/odcr
dcr hir die Vcrarbeitung Verantwortliche bestcllt cnt- sprcchend dem einzelstaatlichcn Recht, dem cr unter- liegt, eincn Datenschutzbeauftragten, dcm insbeson- dere folgendes obliegt:
die unabhangige Dhcrwachung der Anwendung der zur Umsctzung dieser Richtlinie erlasscncn cinzclstaatlichen Bestimmungcn,
die Fuhrung cines Verzeichnisses mit den in Arti- kel 21 Absatz 2 vorgesehenen Informationen tiber die durch den fur die Verarbeitung Verantwortli- chen vorgenommenc Verarbeitung,
um auf diesc Weise sicherzustcllen, daR die Rcchte und Frciheitcn der bctroffenen Pcrsonen durch die Vcrarbeitung nicht beeintrachtigt werden.
(3) Die Mitgliedstaaten k<>nnen vorsehen, dag Absatz 1 keine Anwcndung auf Verarbeitungen findet, deren einzi- gcr Zwcck das hihren cines Register ist, das gemag den Rechts- odcr Verwaltungsvorschriftcn zur Information der Offentlichkeit hestimmt ist und cntweder der gesam- ten Offentlichkeit oder allen Pcrsonen, die ein berechtig- tes Interesse nachweisen konnen, zur Einsichtnahme offenstcht.
(4) Die Mitgliedstaaten k<>nnen die in Artikel 8 Absatz 2 Buchstabe d) genannten Verarbeitungen von der Melde- pflicht ausnehmcn oder die Meldung vereinfachen.
(5) Die Mitglicdstaatcn konncn die Meldepflicht fur nicht automatisicrte Vcrarbeitungen von personcnbezoge- nen Daten gmercll oder in Einzelfallcn vorsehen odcr sic eincr vcrcinfachten Meldung unterwcrfen.
Artikel 19
Inhalt der Meldung
(1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehort zumindest fol- gendes:
a) Name und Anschrift des fur die Verarbeitung Verant- wortlichen und gegebenenfalls seines Vertreters;
b) die Zweckbestimmung(en) der Verarbeitung;
c) cine Beschreibung der Kategorie(n) der betroffenen Personen und der dieshezuglichen Daten oder Daten- kategorien;
d) die Empfanger oder Kategoricn von Empfangern, dcnen die Daten mitgcteilt werden konnen;
e) cine geplante Datenubcrmittlung in Drittlander;
f) cine allgemeine Beschreibung, die es erme>glicht, vor- laufig zu beurteilen, ob die MaRnahmen nach Artikel 17 zur Gewiihrlcistung dcr Sichcrhcit der Vcrarbci- tung angemcssen sind.
(2) Die Mitgliedstaaten legen die Vcrfahren fest, nach dencn Anderungen der in Absatz 1 genannten Angaben dcr Kontrollstellc zu melden sind.
Artikel 20
Vorabkontrolle
(1) Die Mitgliedstaaten legen fest, welche Verarbeitun- gen spezifische Risiken hir die Rechte und Freiheiten der Personen beinhalten h>nnen, und tragen dafur Sorge, daR diese Verarbeitungcn vor ihrem Bcginn gepri.ift werden.
(2) Solche Vorabprufungen nimmt die Kontrollstelle nach Empfang der Meldung des fiir die Verarbeitung Verantwortlichen vor, oder sic erfolgcn durch den Daten- schutzbcauftragtcn, dcr im Zweifelsfall die Kontrollstellc konsultieren muf~.
(3) Die Mitgliedstaaten konnen cine solche Prufung auch im Zuge der Ausarbeitung einer Magnahme ihrcs Parla- ments oder einer auf cine solchc gesetzgeberische MaR- nahme gcstutztcn Mafsnahme durchfuhren, die die Art der Vcrarbcitung festlcgt und gccignete Garanticn vor- sieht.
Artikel 21
Offentlichkcit der Verarbeitungen
(1) Die Mitgliedstaaten erlassen Magnahmen, mit denen die Offentlichkcit der Verarbcitungen sichergestellt wird.
(2) Die Mitgliedstaaten sehen vor, daR die Kontrollstelle ein Register der gcmals Artikel 1S gemeldeten Verarbei- tungen fuhrt.
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/45
Das Register enthalt mindestens die Angaben nach Arti- kel 19 Absatz 1 Buchstaben a) bis e).
auf Antrag jedermann m geeigneter 'Xfeise verfugbar macht.
Das Register kann von jedermann eingesehen werden.
(3) Die Mitgliedstaaten sehen vor, daR fur Verarbeitun- gen, die von der Meldung ausgenommen sind, der fur die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben
Die Mitgliedstaaten konnen vorsehen, daR diese Bestim- mungen keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Fuhren von Registern ist, die gemaR den Rechts- unci Verwaltungsvorschriften zur Information der Offentlichkeit bestimmt sind unci die entweder der gesamten ()ffent:lichkeit oder allen Perso- nen, die ein berechtigtes Interesse nachweisen konnen, zur Einsichtnahme offenstehen.
KAPITEL III
RECHTSBEHELFE, HAFTUNG UND SANKTIONEN
Artikel 22
Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechts- weges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, daR jede Person bei der Verletzung der Rechte, die ihr durch die fur die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.
Artikel 23
Haftung
(1) Die Mitgliedstaaten sehen vor, daR jede Person, der wegen einer rechtswidrigen Verarbei- tung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem fur die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
(2) Der fur die Verarbeitung Verantwortliche kann teilweise oder vollstandig von seiner Haftung befreit werden, wenn er nachweist, daR der Umstand, durch den der Schaclen eingetreten ist, ihm nicht zur Last gelegt werden kann.
Artikel 24
Sanktionen
Die Mitgliedstaaten ergreifen geeignete MaRnahmen, urn die voile Anwendung der Bestimmun- gen dieser Richtlinie sicherzustellen, unci legen insbesondere die Sanktionen fest, die bei VerstbRen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.
KAPITEL IV
UBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLANDER
Artikel 25
Grundsatze
(1) Die Mitgliedstaaten sehen vor, daR die Ubermittlung personenbezogener Daten, die Gegenstand einer Verarbei- tung sind oder nach der Ubermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie
erlassenen einzelstaatlichen Vorschriften zulassig ist, wenn dieses Drittland em angemessenes Schutzniveau gewahrleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Dritt- land bietet, wird unter Berucksichtigung aller Umstande beurteilt, die bei einer Datenubermittlung oder einer Kategorie von Datenubermittlungen eine Rolle spielen;
Nr. L 281/46 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
insbesondere werden die Art der Daten, die Zweckbe- stimmung sowie die Dauer der geplanten Verarbeitung , das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sekto- riellen Rechtsnormen sowie die dort geltenden Standesre- geln und SicherheitsmaRnahmen beriicksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrich- ten einander iiber die Falle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Ahsatzes 2 gewahrleistet.
(4) Stellt die Kommission nach dem Verfahren des Arti- kels 31 Absatz 2 fest, daR ein Drittland kein angemesse- nes Schutzniveau im Sinne des Absatzes 2 des vorliegen- den Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen MaRnahmen, damit keine glcichartigc Dateniibermittlung in das Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, urn Abhilfe fiir die gemaR Absatz 4 festgestcllte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Arti- kels 31 Absatz 2 feststellen, daR ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder intcrnatio- naler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemaR Absatz 5 eingegangen ist, hinsicht- lich des Schutzes Jer Privatsphare sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutz- niveau im Sinne des Absatzes 2 gewahrleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen MaRnahmen.
Artikel 26
Ausnahmen
(1) Ahweichend von Artikel 25 sehen die Mitgliedstaa- ten vorbehaltlich entgegenstehender Regelungen fiir bestimmte Falle im innerstaatlichen Recht vor, daR cine Dhermittlung oder einc Kategorie von Dbermittlungen personcnbezogener Daten in ein Drittland, das kein ange- messenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewahrleistet, vorgenommen werden kann, sofern
a) die hetroffene Person ohne jeden Zweifel ihre Einwil- ligung gegeben hat oder
b) die Dbermittlung fiir die Erfiillung eines Vertrags zwischen der betroffenen Person und dem fiir die Verarbeitung Verantwortlichen oder zur Durchfiih-
rung von vorvertraglichen MaRnahmen auf Antrag der hetroffenen Person erforderlich ist oder
c) die Dbermittlung zum AbschluR oder zur Erfiillung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom fur die Verarheitung Verant- wortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soli, oder
d) die Dbermittlung cntweder fiir die Wahrung eines wichtigen offentlichen Intcresscs oder zur Geltendma- chung, Ausiihung oder Verteidigung von Rechtsan- spriichen vor Gericht erforderltch oder gesetzlich vor- geschrieben ist oder
e) die Dbermittlung fiir die Wahrung lebenswichtiger Interessen der hetroffenen Person erforderlich ist oder
f) die Dbermittlung aus einem Register erfolgt, das gemaR den Rechts- oder Vcrwaltungsvorschriften zur Information der Offentlichkeit bestimmt ist und ent- weder der gesamten Offentlichkeit oder allen Perso- nen, die ein berechtigtes Interesse nachweisen konnen, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen fiir die Einsichtnahme im Einzelfall gegeben sind.
(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Dbermittlung oder eine Kategorie von Dbermittlun- gen personenbezogener Daten in ein Drittland genehmi- gen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gcwahrleistet, wenn der fiir die Vcrarbeitung Vcrantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphare, der Grund- rechte und der Grundfreihciten dcr Personen sowie hin- sichtlich der Ausiibung der damit verbundenen Rechtc hietet; diese Garantien konncn sich insbesondere aus entsprechenden Vertragskla usein ergeben.
(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten iiber die von ihm nach Absatz 2 erteilten Genehmigungen.
Legt cin anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphare, der Grund- rechte und der Personen hinreichcnd begriindeten Wider- spruch ein, so erlaRt die Kommission die geeigneten MaRnahmen nach dem Verfahren des Artikels 31 Absatz 2.
Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen MaRnahmen.
(4) Befindet dic Kommission nach dem Verfahren des Artikels 31 Absatz 2, daR hestimmtc Standardvertrags- klauseln ausreichende Garantien gemaR Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststel- lung der Kommission gebotenen MaRnahmen.
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281147
KAPITEL V
VERHALTENSREGELN
Artikel 27
(1) Die Mitgliedstaaten und die Kommission fordern die Ausarbeitung von Verhaltensregeln, die nach MaRgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemiiRen Durchfiih- rung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen.
(2) Die Mitgliedstaaten sehen vor, daR die Berufsverbiinde und andere Vereinigungen, die andere Kategorien von fur die Verarbeitung Verantwortlichen vertreten, ihre Entwurfe fur einzelstaatliche Verhaltensregeln oder ihre Vorschliige zur Anderung oder Verliingerung beste- hender einzelstaatlicher Verhaltensregeln der zustiindigen einzelstaatlichen Stelle unterbreiten k<>nnen.
Die Mitgliedstaaten sehen vor, daR sich diese Stellen insbesondere davon uberzeugt, daR die ihr unterbreiteten Entwurfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Die Stelle holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint.
(3) Die Entwurfe fur gemeinschaftliche Verhaltensregeln sowie Anderungen oder Verliingerun- gen bestehender gemeinschaftlicher Verhaltensregeln konnen der in Artikel 29 genannten Gruppe unterbreitet werden. Die Gruppe nimmt insbesondere dazu Stellung, ob die ihr unterbreiteten Entwurfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Sie holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint. Die Kommission kann dafur Sorge tragen, daR die Verhaltensregeln, zu denen die Gruppe eine positive Stellungnahme abgegeben hat, m geeigneter Weise veroffentlicht werden.
KAPITEL VI
KONTROLLSTELLE UND GRUPPE FUR DEN SCHUTZ VON PERSONEN BEl DER VERARBEITUNG PERSONENBEZOGENER DATEN
Artikel 28
Kontrollstelle
und das Recht auf Einholung aller fitr die Erfullung ihres Kontrollauftrags erforderlichen Informationen;
(1) Die Mitgliedstaaten sehen vor, daR eine oder meh- rere offentliche Stellen beauftragt werden, die Anwen- dung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu uherwachen.
wirksame Einwirkungsbefugnisse, wie beispielsweise die Moglichkeit, im Einklang mit Artikel 20 vor der Durchfuhrung der Verarbeitungen Stellungnahmen abzugeben und fur eine geeignete Veroffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Loschung oder Vernichtung von Daten oder das vorliiufige oder endgultige Verbot einer Verarbei- tung anzuordnen, oder die Befugnis, e[ne Verwarnung oder eine Ermahnung an den fur die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in volliger Unabhiingigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, daR die Kontrollstel- len bei der Ausarheitung von Rechtsverordnungen oder Verwaltungsvorschriften hezuglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehort werden.
(3) Jede Kontrollstelle verfugt insbesondere uber:
Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind,
das Klagerecht oder eine Anzeigebefugnis bei Versto- Ren gegen die einzelstaatl ichen Vorschriften zur Umsetzung dieser Richtlinie ..
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
Nr. L 281/48 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist daruber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befaiSt werden, die RechtmaiSigkeit einer Verarbeitung zu uberprufen, wenn einzelstaatliche Vor- schriften gemaR Artikel 13 Anwendung finden. Die Per- son ist unter allen Umstanden daruber zu unterrichten, daR eine Oberprufung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmaRig einen Bericht uber ihre Tatigkeit vor. Dieser Bericht wird veroffen~licht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mit- gliedstaats fur die Ausubung der ihr gemaR Absatz 3 ubertragenen Befugnisse zustandig, unabhangig vom ein- zelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kon- trollstelle eines anderen Mitgliedstaats urn die Ausi.1bung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen fur die zur Erfullung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenar- beit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, daR die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der ver- traulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen.
Artikel 29
Datenschutzgruppe
(1) Es wird eine Gruppe fur den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt (nachstehend ,Gruppe" genannt).
Die Gruppe ist unabhangig und hat beratende Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die fur die Institutionen und Organe der Gemeinschaft eingerich- tet sind, sowie einem Vertreter der Kommission.
Jedes Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so ernen- nen diese einen gemeinsamen Vertreter. Gleiches gilt fur die Stellen, die fur die Institutionen und die Organe der Gemeinschaft eingerichtet sind.
(3) Die Gruppe beschlieRt mit der einfachen Mehrheit der Vertreter der Kontrollstellen.
(4) Die Gruppe wahlt ihren Vorsitzenden. Die Dauer der Amtszeit des Vorsitzenden betragt zwei Jahre. Wieder- wahl ist moglich.
(5) Die Sekretariatsgeschafte der Gruppe werden von der Kommission wahrgenommen.
(6) Die Gruppe gibt sich eine Geschaftsordnung.
(7) Die Gruppe pruft die Fragen, die der Vorsitzende von sich aus oder auf Antrag cines Vertreters der Kon- trollstellen oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.
Artikel 30
(1) Die Gruppe hat die Aufgabe,
a) aile Fragen im Zusammenhang mit den zur Umset- zung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu prufen, urn zu einer einheitlichen Anwendung beizutragen;
b) zum Schutzniveau in der Gemeinschaft und in Dritt- landern gegenuber der Kommission Stellung zu neb- men;
c) die Kommission bei jeder Vorlage zur Anderung die- ser Richtlinie, zu allen Entwurfen zusatzlicher oder spezifischer MaiSnahmen zur Wahrung der Rechte und Freiheiten naturlicher Personen bei der Verarbei- tung personenbezogener Daten sowie zu allen anderen Entwurfen von GemeinschaftsmaRnahmen zu beraten, die sich auf diese Rechte und Freiheiten auswirken;
d) Stellungnahmen zu den auf Gemeinschaftsebene erar- beiteten Verhaltensregeln abzugeben.
(2) Stellt die Gruppe fest, daR sich im Bereich des Schutzes von Personen bei der Verarbeitung personenbe- zogener Daten zwischen den Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft beein- trachtigen konnten, so teilt sie dies der Kommission mit.
(3) Die Gruppe kann von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten 111 der Gemeinschaft betreffen.
(4) Die Stellungnahmen und Empfehlungen der Gruppe werden der Kommission und dem in Artikel 31 genann- ten AusschuR ubermittelt.
(5) Die Kommission teilt der Gruppe mit, welche Konse- quenzen sie aus den Stellungnahmen und Empfehlungen gezogen hat. Sie erstellt hierzu einen Bericht, der auch
23. 11. 95 Amtsblatt der Europaischen Gemeinschaften Nr. L 281/49
dem Europaischen Parlament und dem Rat i.ibermittelt wird. Dieser Bericht wird veroffentlicht.
tung personenbezogener Daten in der Gemeinschaft und in Drittlandern, den sie der Kommission, dem Europai- schen Parlament und dem Rat iibermittelt:. Dieser Bericht wird veroffentlicht.(6) Die Gruppe erstellt jahrlich einen Bericht i.iber den
Stand des Schutzes nati.irlicher Personen bei der Verarbei-
KAPITEL VII
GEMEINSCHAFTLICHE DURCHFUHRUNGSMASSNAHMEN
Artikel 31
Ausschuf:verfahren
(1) Die Kommission wird von einem AusschuR untersti.itzt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem der Vertreter der Kommission den Vorsitz fi.ihrt.
(2) Der Vertreter der Kommission unterbreitet dem Ausschu!S einen Entwurf der zu treffenden Ma!Snahmen. Der Ausschu!S gibt seine Stellungnahme zu diesem Entwurf innerhalb einer Frist ah, die der Vorsitzende unter Beri.icksichtigung der Dringlichkeit der betreffenden Frage festsetzen kann.
Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148 Absatz 2 des Vertrags vorgesehen ist. Bei der Abstimmung im Ausschuf: werden die Stimmen der Vertreter der Mitgliedstaaten gemaR dem vorgenannten Artikel gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil.
Die Kommission erlaRt MaRnahmen, die unmittelbar gelten. Stimmen sie jedoch mit der Stellungnahme des Ausschusses nicht iiberein, werden sie von der Kommission unverzi.iglich dem Rat mitgeteilt. In diesem Fall gilt folgendes:
Die Kommission verschiebt die Durchfi.ihrung der von ihr beschlossenen Ma!Snahmen urn drei Monate vom Zeitpunkt der Mitteilung an;
der Rat kann innerhalb des im ersten Gedankenstrich genannten Zeitraums mit qualifizierter Mehrheit einen anderslautenden BeschlufS fassen.
SCHLUSSBESTIMMUNGEN
Artikel 32
(1) Die Mitgliedstaaten erlassen die erforderlichen Rechts- und Verwaltungsvorschriften, urn dieser Richtli- nie binnen drei Jahren nach ihrer Annahme nachzukom- men.
Wenn die Mitgliedstaaten derartige Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veroffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelhei- ten der Bezugnahme.
(2) Die Mitgliedstaaten tragen dafi.ir Sorge, daR Verar- beitungen, die zum Zeitpunkt des Inkrafttretens der ein- zelstaatlichen Vorschriften zur Umsetzung dieser Richtli- nie bereits begonnen wurden, binnen drei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht werden.
Abweichend von Unterabsatz 1 konnen die Mitgliedstaa- ten vorsehen, daR die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vor- schriften zur Umsetzung dieser Richtlinie bereits in manu- ellen Dateien enthalten sind, binnen zwolf Jahren nach Annahme dieser Richtlinie mit den Artikeln 6, 7 und 8 in Einklang zu bringen sind. Die Mitglied~.taaten gestatten jedoch, daR die betroffene Person auf Antrag und insbe- sondere bei Ausi.ibung des Zugangsrechts die Berichti- gung, Loschung oder Sperrung von Daten erreichen kann, die unvollstandig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom fiir die Verarbei- tung Verantwortlichen verfolgten rechtma!Sigen Zwecken unvereinbar ist.
(3) Abweichend von Absatz 2 konnen die Mitgliedstaa- ten vorbehaltlich geeigneter Garantien vorsehen, daR Daten, die ausschlieRlich zum Zwecke der historischen
Nr. L 281150 Amtsblatt der Europaischen Gemeinschaften 23. 11. 95
Forschung aufbewahrt werden, nicht mit den Artikeln 6, 7 und 8 in Einklang gebracht werden mtissen.
(4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der innerstaatlichen Vorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
Artikel 33
Die Kommission legt dem Europaischen Parlament und dem Rat regelmaBig, und zwar erstmals drei Jahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht tiber die Durchftihrung dieser Richtlinie vor und ftigt ihm gegebenenfalls geeignete Anderungsvorschlage bei. Dieser Bericht wird veroffentlicht.
Die Kommission priift insbesondere die Anwendung die- ser Richtlinie auf die Verarbeitung personenbezogener
Bild- und Tondaten und unterbreitet geeignete Vor- schlage, die sich unter Berticksichtigung der Entwicklung der lnformationstechnologie und der Arbeiten tiber die Informationsgesellschaft als notwendig erweisen konn- ten.
Artikel 34
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.
Geschehen zu Luxemburg am 24. Oktober 1995.
Im Namen des Europaischen Par/aments
Der Prasident
K. HANSCH
Im Namen des Rates
Der Prasident
L. ATIENZA SERNA