Artikel 47 VO (EU) 2017/1939

(1) Personenbezogene Daten müssen

a)

auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden ( „Rechtmäßigkeit und Verarbeitung nach Treu und Glauben” );

b)

für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt nicht als unvereinbar mit den ursprünglichen Zwecken, sofern die EUStA angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen bietet ( „Zweckbindung” );

c)

dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( „Datenminimierung” );

d)

sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( „Richtigkeit” );

e)

in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten ausschließlich für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden, sofern die EUStA angemessene Garantien für die Rechte und Freiheiten der betroffenen Personen bietet, insbesondere durch die Durchführung der geeigneten technischen und organisatorischen Maßnahmen nach Maßgabe dieser Verordnung ( „Speicherbegrenzung” );

f)

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( „Integrität und Vertraulichkeit” );

(2) Die EUStA ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( „Rechenschaftspflicht” ); dies gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

(3) Eine Verarbeitung durch die EUStA für einen anderen der in Artikel 49 genannten Zwecke als den, für den die operativen personenbezogenen Daten erhoben werden, ist erlaubt, soweit

a)

die EUStA nach dieser Verordnung befugt ist, solche operativen personenbezogenen Daten für diesen anderen Zweck zu verarbeiten, und

b)

die Verarbeitung für diesen anderen Zweck nach dem Unionsrecht erforderlich und verhältnismäßig ist und

c)

nicht gegebenenfalls die Nutzung operativer personenbezogener Daten nach dem anwendbaren nationalen Verfahrensrecht über die gemäß Artikel 30 getroffenen Ermittlungsmaßnahmen verboten ist. Das anwendbare nationale Verfahrensrecht ist das Recht des Mitgliedstaats, in dem die Daten erhoben wurden.