Präambel VO (EU) 2018/1725

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses^(*),

gemäß dem ordentlichen Gesetzgebungsverfahren^(**),

in Erwägung nachstehender Gründe:

(1)

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta” ) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Dieses Recht ist zudem in Artikel 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorgesehen.

(2)

In der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates^(***) sind auf dem Rechtsweg durchsetzbare Rechte für natürliche Personen vorgesehen, es werden die Verpflichtungen der in den Organen und Einrichtungen der Gemeinschaft für die Datenverarbeitung Verantwortlichen festgelegt und es wird der Europäische Datenschutzbeauftragte als unabhängige Aufsichtsbehörde eingerichtet, die für die Überwachung der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zuständig ist. Die Verordnung gilt jedoch nicht für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten der Organe und Einrichtungen der Union, die nicht in den Anwendungsbereich des Unionsrechts fallen.

(3)

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates^(****) und die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates^(*****) wurden am 27. April 2016 angenommen. Während die Verordnung allgemeine Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union enthält, sind in der Richtlinie besondere Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Sicherstellung des freien Verkehrs personenbezogener Daten innerhalb der Union im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit geregelt.

(4)

Die Verordnung (EU) 2016/679 sieht die Anpassung der Verordnung (EG) Nr. 45/2001 vor, um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten und zu ermöglichen, dass sie parallel mit der Verordnung (EU) 2016/679 angewandt werden kann.

(5)

Im Interesse einer einheitlichen Herangehensweise hinsichtlich des Schutzes personenbezogener Daten in der gesamten Union und des freien Verkehrs personenbezogener Daten innerhalb der Union sollten die Datenschutzbestimmungen für die Organe, Einrichtungen und sonstigen Stellen der Union so weit wie möglich an die in den Mitgliedstaaten für den öffentlichen Dienst erlassenen Datenschutzbestimmungen angeglichen werden. Soweit die Bestimmungen der vorliegenden Verordnung auf denselben Grundsätzen beruhen wie die der Verordnung (EU) 2016/679, sollten diese Bestimmungen der beiden Verordnungen unter Beachtung der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof” ) einheitlich ausgelegt werden, insbesondere da der Rahmen der vorliegenden Verordnung als dem Rahmen der Verordnung (EU) 2016/679 gleichwertig verstanden werden sollte.

(6)

Personen, deren personenbezogene Daten in irgendeinem Kontext von den Organen oder Einrichtungen der Union verarbeitet werden, z. B. weil sie bei diesen Organen oder Einrichtungen beschäftigt sind, sollten geschützt werden. Die vorliegende Verordnung sollte nicht für die Verarbeitung der personenbezogenen Daten Verstorbener gelten. Die vorliegende Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.

(7)

Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen.

(8)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch alle Organe, Einrichtungen und sonstigen Stellen der Union gelten. Sie sollte für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, gelten. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.

(9)

In der Erklärung Nr. 21 zum Schutz personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, auf der der Vertrag von Lissabon angenommen wurde, erkannte die Regierungskonferenz an, dass es sich aufgrund der Besonderheiten dieser Bereiche als erforderlich erweisen könnte, auf Artikel 16 AEUV gestützte Vorschriften über den Schutz personenbezogener Daten und den freien Verkehr personenbezogener Daten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit zu erlassen. Ein gesondertes Kapitel der vorliegenden Verordnung mit allgemeinen Bestimmungen sollte daher für die Verarbeitung von operativen personenbezogenen Daten gelten, etwa für personenbezogene Daten, die zum Zweck strafrechtlicher Ermittlungen von Einrichtungen oder sonstigen Stellen der Union, die Tätigkeiten im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit ausführen, verarbeitet werden.

(10)

Die Richtlinie (EU) 2016/680 enthält harmonisierte Vorschriften zum Schutz und zum freien Verkehr personenbezogener Daten, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, verarbeitet werden. Um sicherzustellen, dass natürliche Personen auf der Grundlage von auf dem Rechtsweg durchsetzbaren Rechten in der gesamten Union das gleiche Maß an Schutz genießen, und um zu verhindern, dass der Austausch personenbezogener Daten zwischen Einrichtungen oder sonstigen Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, und den zuständigen Behörden durch Unterschiede behindert wird, sollten die Vorschriften für den Schutz und den freien Verkehr operativer personenbezogener Daten, die von diesen Einrichtungen oder sonstigen Stellen der Union verarbeitet werden, im Einklang mit der Richtlinie (EU) 2016/680 stehen.

(11)

Die allgemeinen Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollten unbeschadet der besonderen Vorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union, deren Tätigkeit durch den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV geregelt ist, gelten. Derartige besondere Vorschriften sollten als lex specialis in Bezug auf die Vorschriften des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten betrachtet werden (lex specialis derogat legi generali). Um die Zersplitterung des Rechtsrahmens zu verringern, sollten die besonderen Datenschutzvorschriften über die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, mit den Grundsätzen, die dem Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten zugrunde liegen, sowie mit den Vorschriften der vorliegenden Verordnung über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen im Einklang stehen.

(12)

Das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten sollte für Einrichtungen und sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten, und zwar unabhängig davon, ob Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten ihre Haupt- oder ihre Nebenaufgabe ist. Es sollte jedoch nicht für Europol und die Europäische Staatsanwaltschaft gelten, bevor die Rechtsakte zur Gründung von Europol und der Europäischen Staatsanwaltschaft dahingehend geändert werden, dass das Kapitel der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten in seiner angepassten Fassung auch für sie gilt.

(13)

Die Kommission sollte die vorliegende Verordnung und insbesondere ihr Kapitel über die Verarbeitung operativer personenbezogener Daten überprüfen. Die Kommission sollte zudem die anderen auf der Grundlage der Verträge erlassenen Rechtsakte überprüfen, die für die Verarbeitung operativer personenbezogener Daten durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten. Nach dieser Überprüfung sollte die Kommission sachdienliche Gesetzgebungsvorschläge, gegebenenfalls auch zu notwendigen Anpassungen des Kapitels der vorliegenden Verordnung über die Verarbeitung operativer personenbezogener Daten, im Hinblick auf dessen Anwendung auf Europol und die Europäische Staatsanwaltschaft machen können, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sichergestellt wird. Diese Änderungen sollten Vorschriften über unabhängige Aufsicht, Rechtsbehelfe, Haftung und Sanktionen berücksichtigen.

(14)

Die vorliegende Verordnung sollte auch für die Verarbeitung von verwaltungstechnischen personenbezogenen Daten, wie etwa Personaldaten, durch Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Dritten Teils Titel V Kapitel 4 oder 5 AEUV fallen, gelten.

(15)

Die vorliegende Verordnung sollte für die Verarbeitung personenbezogener Daten durch Organe, Einrichtungen oder sonstige Stellen der Union bei der Ausübung von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 des Vertrags über die Europäische Union (EUV) fallen, gelten. Die vorliegende Verordnung sollte nicht für die Verarbeitung personenbezogener Daten durch Missionen gemäß Artikel 42 Absatz 1 sowie Artikel 43 und 44 EUV zur Umsetzung der gemeinsamen Sicherheits- und Verteidigungspolitik gelten. Gegebenenfalls sollten entsprechende Vorschläge zur weiteren Regulierung der Verarbeitung personenbezogener Daten im Bereich der gemeinsamen Sicherheits- und Verteidigungspolitik vorgelegt werden.

(16)

Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d. h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung derartiger anonymer Daten, auch für statistische oder für Forschungszwecke.

(17)

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung” in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen.

(18)

Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen, Cookie-Kennungen oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet, die von ihren Geräten, Software-Anwendungen und -Tools oder Protokollen geliefert werden. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.

(19)

Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben werden soll, erfolgen. Darüber hinaus sollte die betroffene Person das Recht haben, ihre Einwilligung jederzeit zu widerrufen, wobei die Verarbeitungsvorgänge, die aufgrund der Einwilligung vor dem Widerruf erfolgt sind, weiterhin als rechtmäßig gelten sollen. Um sicherzustellen, dass die Einwilligung freiwillig erfolgt, sollte in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, diese keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten darstellen. Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten die Gelegenheit erhalten, ihre Einwilligung nur für bestimmte Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen.

(20)

Jede Verarbeitung personenbezogener Daten sollte rechtmäßige und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können, und dass die Daten während der Übermittlung nicht unbefugt offengelegt werden.

(21)

Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Organe und Einrichtungen der Union bei der Übermittlung personenbezogener Daten innerhalb desselben Organs oder derselben Einrichtung der Union, wenn der Empfänger nicht zum Verantwortlichen gehört, bzw. bei der Übermittlung an andere Organe und Einrichtungen der Union prüfen, ob diese personenbezogenen Daten für die rechtmäßige Erfüllung der Aufgaben im Zuständigkeitsbereich des Empfängers erforderlich sind. Insbesondere sollte der Verantwortliche im Falle eines Antrags des Empfängers auf Übermittlung personenbezogener Daten das Vorliegen einschlägiger Gründe für die rechtmäßige Verarbeitung personenbezogener Daten sowie die Zuständigkeit des Empfängers überprüfen. Der Verantwortliche sollte auch die Notwendigkeit der Übermittlung dieser Daten vorläufig bewerten. Bestehen Zweifel an der Notwendigkeit, sollte der Verantwortliche weitere Auskünfte vom Empfänger einholen. Der Empfänger sollte sicherstellen, dass die Notwendigkeit der Übermittlung der Daten im Nachhinein überprüft werden kann.

(22)

Die Verarbeitung personenbezogener Daten sollte nur dann rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung ihrer öffentlichen Gewalt durch die Organe und Einrichtungen der Union oder für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, oder wenn eine andere zulässige Rechtsgrundlage gemäß der vorliegenden Verordnung besteht, wie etwa die Einwilligung der betroffenen Person, die Tatsache, dass die Verarbeitung von personenbezogenen Daten für die Umsetzung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder auf Antrag der betroffenen Person für Maßnahmen vor Abschluss eines Vertrags erforderlich ist. Die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union zur Wahrnehmung einer Aufgabe im öffentlichen Interesse schließt die Verarbeitung personenbezogener Daten ein, die für die Verwaltung und die Arbeitsweise dieser Organe und Einrichtungen erforderlich ist. Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein.

(23)

Das Unionsrecht, auf das in dieser Verordnung Bezug genommen wird, sollte klar und präzise sein und seine Anwendung sollte für diejenigen, die ihm unterliegen, im Einklang mit den Anforderungen der Charta und der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten vorhersehbar sein.

(24)

Die internen Vorschriften, auf die in dieser Verordnung Bezug genommen wird, sollten klar und präzise formulierte Rechtsakte mit allgemeiner Geltung und mit Rechtswirkung gegenüber den betroffenen Personen sein. Sie sollten auf der höchsten Verwaltungsebene der Organe und Einrichtungen der Union im Rahmen ihrer Zuständigkeiten und in Bezug auf Angelegenheiten, die ihre Tätigkeit betreffen, erlassen werden. Sie sollten im Amtsblatt der Europäischen Union veröffentlicht werden. Die Anwendung dieser Vorschriften sollte für die ihnen unterliegenden Personen vorhersehbar sein und mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. Interne Vorschriften können auch in Form von Beschlüssen erlassen werden, insbesondere wenn dies durch Organe der Union geschieht.

(25)

Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine weitere Verarbeitung als vereinbar und rechtmäßig erachtet wird. Die weitere Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollten als vereinbare und rechtmäßige Verarbeitungsvorgänge gelten. Die im Unionsrecht vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine weitere Verarbeitung dienen. Um festzustellen, ob ein Zweck der weiteren Verarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten weiteren Verarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte weitere Verarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten weiteren Verarbeitungsvorgang geeignete Schutzmaßnahmen angewendet werden.

(26)

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollte mit Hilfe von Schutzmaßnahmen sichergestellt werden, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Nach der Richtlinie 93/13/EWG des Rates^(******) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person zumindest wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.

(27)

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein derartiger besonderer Schutz sollte insbesondere die Erstellung von Persönlichkeitsprofilen und die Erhebung von personenbezogenen Daten von Kindern bei Diensten, die Kindern auf Websites der Organe und Einrichtungen der Union direkt angeboten werden, betreffen, wie beispielsweise interpersonelle Kommunikationsdienste oder Online-Ticketverkauf, sofern die Verarbeitung personenbezogener Daten mit Einwilligung erfolgt.

(28)

Wünschen in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, die Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union, sollten sie nachweisen, dass die Übermittlung der Daten an diese Empfänger für die Wahrnehmung ihrer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die ihnen übertragen wurde. Andernfalls sollten diese Empfänger nachweisen, dass die Übermittlung für einen bestimmten, im öffentlichen Interesse liegenden Zweck erforderlich ist, und der Verantwortliche sollte prüfen, ob die begründete Annahme besteht, dass die berechtigten Interessen der betroffenen Person beeinträchtigt werden könnten. In diesen Fällen sollte der Verantwortliche die unterschiedlichen Interessen gegeneinander abwägen, um einzuschätzen, ob die gewünschte Übermittlung von Daten verhältnismäßig ist. Dieser im öffentlichen Interesse liegende bestimmte Zweck kann etwa in Bezug zur Transparenz der Organe und Einrichtungen der Union stehen. Erfolgt die Übermittlung auf eigene Veranlassung der Organe und Einrichtungen der Union, so sollten diese unter Beachtung des Grundsatzes der Transparenz und der Grundsätze guter Verwaltungspraxis nachweisen, dass die Übermittlung erforderlich ist. Die in der vorliegenden Verordnung festgelegten Anforderungen für die Übermittlung von Daten an in der Union niedergelassene Empfänger, die nicht Organe oder Einrichtungen der Union sind, sollten als Ergänzung zu den Voraussetzungen für die rechtmäßige Verarbeitung verstanden werden.

(29)

Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten nur verarbeitet werden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt sind. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft” in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten” erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Zusätzlich zu den speziellen Anforderungen an die Verarbeitung sensibler Daten sollten die allgemeinen Grundsätze und anderen Bestimmungen der vorliegenden Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen.

(30)

Besondere Kategorien personenbezogener Daten, die einen verbesserten Schutz benötigen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Die vorliegende Verordnung sollte daher die Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere in Fällen, in denen die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Unionsrecht sollten angemessene und spezifische Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden.

(31)

Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und gesonderten Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit” im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates^(*******) ausgelegt werden und alle Elemente im Zusammenhang mit Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, sich auf diesen Gesundheitszustand auswirkende Faktoren, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die Ausgaben für die Gesundheitsversorgung und ihre Finanzierung und schließlich die Ursachen der Mortalität umfassen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass derartige personenbezogene Daten zu anderen Zwecken verarbeitet werden.

(32)

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch ein Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen.

(33)

Bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollten geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gemäß der vorliegenden Verordnung vorgesehen sein. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Schutzmaßnahmen bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Organe und Einrichtungen der Union sollten im Unionsrecht, gegebenenfalls auch in internen Vorschriften, die von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassen wurden, geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen.

(34)

Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Verfahren, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats, zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt.

(35)

Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine Verarbeitung in fairer und transparenter Weise zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein.

(36)

Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig gegenüber einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten gegenüber diesem Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser weiteren Verarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.

(37)

Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, damit sie über die Rechtmäßigkeit der Verarbeitung informiert ist und diese überprüfen kann. Dies schließt das Recht betroffener Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welchen Grundsätzen die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

(38)

Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden” , wenn die Speicherung ihrer Daten gegen die vorliegende Verordnung oder gegen das Unionsrecht, das für den Verantwortlichen gilt, verstößt. Eine betroffene Person sollte Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. in anderer Weise verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffene Person ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt hat oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen die vorliegende Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Risiken nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

(39)

Um dem „Recht auf Vergessenwerden” im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der personenbezogene Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren.

(40)

Verfahren zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden.

(41)

Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung ihm übertragener öffentlicher Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Bezieht sich ein bestimmter Satz personenbezogener Daten auf mehr als eine betroffene Person, so sollte das Recht auf Erhalt der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts nach der vorliegenden Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten von einem Verantwortlichen direkt an einen anderen Verantwortlichen übermittelt werden.

(42)

Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben.

(43)

Die betroffene Person sollte das Recht haben, keiner Entscheidung oder Maßnahme zur Bewertung von sie betreffenden personenbezogenen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat, wie etwa Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das Profiling, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der personenbezogenen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten in Bezug auf Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies eine rechtliche Wirkung für die betroffene Person entfaltet oder in ähnlicher Weise erhebliche Auswirkungen auf sie hat.

(44)

In auf der Grundlage der Verträge erlassenen Rechtsakten oder in von Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften können Beschränkungen hinsichtlich bestimmter Grundsätze und des Rechts auf Unterrichtung, Zugang zu und Berichtigung oder Löschung von personenbezogenen Daten, des Rechts auf Datenübertragbarkeit, Vertraulichkeit elektronischer Kommunikationsdaten sowie gegebenenfalls Mitteilung über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen sein, soweit dies in einer demokratischen Gesellschaft zur Aufrechterhaltung der öffentlichen Sicherheit und zur Verhütung, Aufdeckung und Verfolgung von Straftaten oder zur Strafvollstreckung notwendig und verhältnismäßig ist. Dies umfasst den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit, den Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, den Schutz der inneren Sicherheit der Organe und Einrichtungen der Union und sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, vor allem die Ziele der gemeinsamen Außen- und Sicherheitspolitik der Union oder wichtige wirtschaftliche oder finanzielle Interessen der Union oder eines Mitgliedstaats und das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses oder der Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherung, öffentliche Gesundheit und humanitäre Hilfe.

(45)

Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der vorliegenden Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

(46)

Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Beeinträchtigungen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Auffassungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

(47)

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

(48)

Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen der vorliegenden Verordnung erfüllt werden. Um die Einhaltung der Vorschriften der vorliegenden Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. Den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.

(49)

Die Verordnung (EU) 2016/679 sieht vor, dass die Verantwortlichen die Erfüllung der Anforderungen durch die Einhaltung genehmigter Zertifizierungsverfahren nachweisen können. In gleicher Weise sollten auch die Organe und Einrichtungen der Union die Einhaltung der Vorschriften der vorliegenden Verordnung dadurch nachweisen können, dass sie eine Zertifizierung gemäß Artikel 42 der Verordnung (EU) 2016/679 erlangen.

(50)

Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und der Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es einer klaren Zuweisung der Verantwortlichkeiten durch die vorliegende Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird.

(51)

Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter, der weder ein Organ noch eine Einrichtung der Union ist, sollte auf Grundlage eines Vertrags oder — im Fall von Organen und Einrichtungen der Union, die als Auftragsverarbeiter handeln — aufgrund eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter sollten entscheiden können, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber vom Datenschutzbeauftragten angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(52)

Zum Nachweis der Einhaltung der vorliegenden Verordnung sollten die Verantwortlichen ein Verzeichnis der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter ein Verzeichnis der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen. Die Organe und Einrichtungen der Union sollten verpflichtet sein, mit dem Europäischen Datenschutzbeauftragten zusammenzuarbeiten und diesem auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. Den Organen und Einrichtungen der Union sollte es möglich sein, ein zentrales Register einzurichten, in dem sie ihre Verarbeitungstätigkeiten verzeichnen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Aus Gründen der Transparenz sollte es ihnen zudem möglich sei, dieses Register öffentlich zugänglich zu machen.

(53)

Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen die vorliegende Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

(54)

Die Organe und Einrichtungen der Union sollten die Vertraulichkeit der elektronischen Kommunikation nach Artikel 7 der Charta sicherstellen. Insbesondere sollten die Organe und Einrichtungen der Union die Sicherheit ihrer elektronischen Kommunikationsnetze sicherstellen. Sie sollten die sich auf die Endeinrichtungen der Nutzer beziehenden Informationen bei deren Zugriff auf ihre öffentlich zugänglichen Websites und mobilen Anwendungen nach der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates^(********) schützen. Sie sollten auch die in den Nutzerverzeichnissen gespeicherten personenbezogenen Daten schützen.

(55)

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, den Europäischen Datenschutzbeauftragten von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen ohne unangemessene weitere Verzögerung bereitgestellt werden. Ist eine derartige Verzögerung gerechtfertigt, sollten weniger sensible oder weniger konkrete Informationen über die Verletzung so schnell wie möglich offengelegt werden, anstatt mit der Benachrichtigung zu warten, bis die Ursache behoben wurde.

(56)

Der Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person führt, damit diese die erforderlichen Vorkehrungen treffen kann. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit dem Europäischen Datenschutzbeauftragen und nach Maßgabe der von ihm oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen.

(57)

Gemäß der Verordnung (EG) Nr. 45/2001 ist der Verantwortliche generell verpflichtet, dem Datenschutzbeauftragten die Verarbeitung personenbezogener Daten zu melden. Der Datenschutzbeauftragte hat ein Register über die gemeldeten Verarbeitungsvorgänge zu führen, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Zusätzlich zu dieser allgemeinen Pflicht sollten wirksame Verfahren und Mechanismen eingerichtet werden, um Verarbeitungsvorgänge zu überwachen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Derartige Verfahren sollten insbesondere auch dann eingerichtet werden, wenn Arten von Verarbeitungsvorgängen zur Anwendung kommen, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Schutzmaßnahmen und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden sollen.

(58)

Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Verfahren zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte der Europäische Datenschutzbeauftragte vor Beginn der Verarbeitung konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Der Europäische Datenschutzbeauftragte sollte das Ersuchen um Konsultation innerhalb einer bestimmten Frist beantworten. Allerdings kann der Europäische Datenschutzbeauftragte, auch wenn er nicht innerhalb dieser Frist reagiert hat, entsprechend seinen in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses sollte es möglich sein, dem Europäischen Datenschutzbeauftragten das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung zu unterbreiten; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen.

(59)

Der Europäische Datenschutzbeauftragte sollte über administrative Maßnahmen unterrichtet und zu von den Organen und Einrichtungen der Union in Fragen, die ihre Tätigkeit betreffen, erlassenen internen Vorschriften konsultiert werden, wenn sie die Verarbeitung personenbezogener Daten vorsehen, Bedingungen für Beschränkungen der Rechte betroffener Personen festlegen oder angemessene Schutzmaßnahmen für die Rechte betroffener Personen bieten, um sicherzustellen, dass die geplante Verarbeitung in Übereinstimmung mit dieser Verordnung erfolgt, insbesondere im Hinblick auf die Eindämmung der Risiken für die betroffene Person.

(60)

Mit der Verordnung (EU) 2016/679 wurde der Europäische Datenschutzausschuss als unabhängige Einrichtung der Union mit eigener Rechtspersönlichkeit eingesetzt. Der Ausschuss soll zu einer einheitlichen Anwendung der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 in der gesamten Union beitragen, unter anderem indem er die Kommission berät. Gleichzeitig sollte der Europäische Datenschutzbeauftragte seine Aufsichts- und Beratungsaufgaben gegenüber allen Organen und Einrichtungen der Union weiterhin wahrnehmen — sowohl von sich aus als auch auf Antrag. Bei der Ausarbeitung von Vorschlägen oder Empfehlungen sollte sich die Kommission darum bemühen, den Europäischen Datenschutzbeauftragten anzuhören, damit in der gesamten Union einheitliche Datenschutzvorschriften gewährleistet sind. Eine Konsultation durch die Kommission nach Annahme eines Rechtsakts oder bei der Ausarbeitung delegierter Rechtsakte und Durchführungsrechtsakte im Sinne der Artikel 289, 290 und 291 AEUV und nach der Annahme von Empfehlungen und Vorschlägen für Übereinkünfte mit Drittländern und internationalen Organisationen nach Artikel 218 AEUV sollte verbindlich vorgeschrieben werden, wenn sich diese auf das Recht auf Schutz personenbezogener Daten auswirken. In diesen Fällen sollte die Kommission verpflichtet sein, den Europäischen Datenschutzbeauftragten zu konsultieren, es sei denn, die Verordnung (EU) 2016/679 sieht eine obligatorische Konsultation des Europäischen Datenschutzausschusses vor — beispielsweise zu Angemessenheitsbeschlüssen oder delegierten Rechtsakten in Bezug auf standardisierte Bildsymbole und die Anforderungen für Zertifizierungsverfahren. Ist der betreffende Rechtsakt für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung, so sollte es der Kommission zudem möglich sein, den Europäischen Datenschutzausschuss zu konsultieren. In diesen Fällen sollte der Europäische Datenschutzbeauftragte als Mitglied des Europäischen Datenschutzausschusses seine Arbeit mit Letztgenanntem im Hinblick auf eine gemeinsame Stellungnahme koordinieren. Der Europäische Datenschutzbeauftragte und gegebenenfalls der Europäische Datenschutzausschuss sollten ihre schriftliche Empfehlung binnen acht Wochen vorlegen. Diese Frist sollte in dringenden Fällen oder soweit anderweitig angemessen, zum Beispiel, wenn die Kommission delegierte Rechtsakte und Durchführungsrechtsakte ausarbeitet, kürzer sein.

(61)

Gemäß Artikel 75 der Verordnung (EU) 2016/679 sollte das Sekretariat des Europäischen Datenschutzausschusses vom Europäischen Datenschutzbeauftragten gestellt werden.

(62)

In allen Organen und Einrichtungen der Union sollte ein Datenschutzbeauftragter für die Anwendung der Bestimmungen dieser Verordnung Sorge tragen und die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung ihrer Pflichten beraten. Dieser Beauftragte sollte über das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen, das sich insbesondere nach den vom Verantwortlichen oder Auftragsverarbeiter durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten richten sollte. Diese Datenschutzbeauftragten sollten ihren Auftrag und ihre Aufgaben auf unabhängige Weise wahrnehmen können.

(63)

Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte bei der Übermittlung personenbezogener Daten von Organen und Einrichtungen der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen gewährleistet werden. Dieselben Garantien sollten auch dann gelten, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung der vorliegenden Verordnung und unter Achtung der in der Charta verankerten Grundrechte und Grundfreiheiten zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in der vorliegenden Verordnung festgelegten Bedingungen für die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden.

(64)

Die Kommission kann nach Artikel 45 der Verordnung (EU) 2016/679 oder Artikel 36 der Richtlinie (EU) 2016/680 feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet. In derartigen Fällen dürfen personenbezogene Daten durch ein Organ oder eine Einrichtung der Union ohne weitere Genehmigung an dieses Drittland oder diese internationale Organisation übermittelt werden.

(65)

Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Maßnahmen für den Schutz der betroffenen Person vorsehen. Diese geeigneten Schutzmaßnahmen können darin bestehen, dass auf von der Kommission oder von dem Europäischen Datenschutzbeauftragten festgelegte Standarddatenschutzklauseln oder vom Europäischen Datenschutzbeauftragten genehmigte Vertragsklauseln zurückgegriffen wird. Ist der Auftragsverarbeiter kein Organ und keine Einrichtung der Union, so können auch die für internationale Datenübermittlungen nach der Verordnung (EU) 2016/679 geltenden verbindlichen internen Datenschutzvorschriften, Verhaltensregeln und Zertifizierungsverfahren geeignete Schutzmaßnahmen darstellen. Diese Schutzmaßnahmen sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen, einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Organen und Einrichtungen der Union an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung —, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung des Europäischen Datenschutzbeauftragten sollte erlangt werden, wenn die Schutzmaßnahmen in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind.

(66)

Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder dem Europäischen Datenschutzbeauftragten festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch sie daran hindern, ihnen weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder dem Europäischen Datenschutzbeauftragten erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Datenschutzklauseln ergänzen, zusätzliche Schutzmaßnahmen zu bieten.

(67)

Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten durch die Organe und Einrichtungen der Union unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft zwischen dem ersuchenden Drittland und der Union gestützt sind. Die Anwendung dieser Gesetze, Vorschriften und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch die vorliegende Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht anerkannt ist.

(68)

Datenübermittlungen sollten in bestimmten Situationen unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen, es sei denn, sie ist nach dem Unionsrecht zulässig; ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist.

(69)

Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Organen und Einrichtungen der Union und Wettbewerbs-, Steuer- oder Zollbehörden, Finanzaufsichtsbehörden und Diensten, die für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständig sind, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung bzw. Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden.

(70)

In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin in den Genuss ihrer Grundrechte kommen und die Schutzmaßnahmen für sie gelten.

(71)

Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere nicht gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen schützen können. Ebenso kann es vorkommen, dass nationale Aufsichtsbehörden und der Europäische Datenschutzbeauftragte Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb ihres Zuständigkeitsbereichs haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Daher sollte eine engere Zusammenarbeit zwischen dem Europäischen Datenschutzbeauftragten und den nationalen Aufsichtsbehörden gefördert werden, damit sie Informationen mit den entsprechenden Stellen in anderen Ländern austauschen können.

(72)

Die mit der Verordnung (EG) Nr. 45/2001 erfolgte Einrichtung des Amtes des Europäischen Datenschutzbeauftragten, der befugt ist, seine Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. Mit der vorliegenden Verordnung sollte seine Rolle und Unabhängigkeit weiter gestärkt und präzisiert werden. Der Europäische Datenschutzbeauftragte sollte eine Person sein, an deren Unabhängigkeit kein Zweifel besteht und die anerkanntermaßen über die für die Wahrnehmung der Aufgaben des Europäischen Datenschutzbeauftragten erforderliche Erfahrung und Sachkunde verfügt, zum Beispiel, weil sie einer der nach Artikel 51 der Verordnung (EU) 2016/679 errichteten Aufsichtsbehörden angehört hat.

(73)

Damit in der gesamten Union eine einheitliche Überwachung und Durchsetzung der Datenschutzvorschriften gewährleistet ist, sollte der Europäische Datenschutzbeauftragte dieselben Aufgaben und wirksamen Befugnisse wie die nationalen Aufsichtsbehörden haben, darunter — insbesondere im Fall von Beschwerden natürlicher Personen — Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse sowie Genehmigungs- und Beratungsbefugnisse, die Befugnis, Verstöße gegen diese Verordnung dem Gerichtshof zur Kenntnis zu bringen, und die Befugnis, Gerichtsverfahren im Einklang mit dem Primärrecht anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Um überflüssige Kosten und übermäßige Unannehmlichkeiten mit gegebenenfalls nachteiligen Auswirkungen für die betroffenen Personen zu vermeiden, sollte jede Maßnahme des Europäischen Datenschutzbeauftragten im Hinblick auf die Einhaltung dieser Verordnung geeignet, erforderlich und angemessen sein, wobei die Umstände des jeweiligen Einzelfalls und das Recht jeder Person, gehört zu werden, bevor die betreffende individuelle Maßnahme getroffen wird, zu berücksichtigen sind. Jede rechtsverbindliche Maßnahme des Europäischen Datenschutzbeauftragten sollte schriftlich erlassen werden, und sie sollte klar und eindeutig sein; das Datum, an dem die Maßnahme erlassen wurde, sollte angegeben werden und die Maßnahme sollte vom Europäischen Datenschutzbeauftragten unterzeichnet sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten.

(74)

Damit die Unabhängigkeit des Gerichtshofs bei der Ausübung seiner gerichtlichen Aufgaben einschließlich seiner Beschlussfassung unangetastet bleibt, sollte die Aufsichtskompetenz des Europäischen Datenschutzbeauftragten nicht die Verarbeitung personenbezogener Daten durch den Gerichtshof im Rahmen seiner justiziellen Tätigkeit erfassen. Für diese Verarbeitungsvorgänge sollte der Gerichtshof gemäß Artikel 8 Absatz 3 der Charta eine unabhängige Aufsicht einrichten, beispielsweise durch ein internes Verfahren.

(75)

Die Entscheidungen des Europäischen Datenschutzbeauftragten über die in dieser Verordnung festgelegten Ausnahmen, Garantien, Genehmigungen und Voraussetzungen im Zusammenhang mit der Verarbeitung von Daten sollten im Tätigkeitsbericht veröffentlicht werden. Unabhängig von der jährlichen Veröffentlichung des Tätigkeitsberichts kann der Europäische Datenschutzbeauftragte Berichte über besondere Themen veröffentlichen.

(76)

Der Europäische Datenschutzbeauftragte sollte die Bestimmungen der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates^(*********) einhalten.

(77)

Die nationalen Aufsichtsbehörden überwachen die Anwendung der Verordnung (EU) 2016/679 und tragen zu ihrer einheitlichen Anwendung in der gesamten Union bei, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Um die einheitliche Anwendung der in den Mitgliedstaaten anwendbaren Datenschutzvorschriften und der für die Organe und Einrichtungen der Union anwendbaren Datenschutzvorschriften zu verbessern, sollte der Europäische Datenschutzbeauftragte mit den nationalen Aufsichtsbehörden wirksam zusammenarbeiten.

(78)

In bestimmten Fällen ist im Unionsrecht ein Modell für eine koordinierte Aufsicht vorgesehen, bei dem die Aufsicht auf den Europäischen Datenschutzbeauftragten und die nationalen Aufsichtsbehörden aufgeteilt ist. Der Europäische Datenschutzbeauftragte fungiert auch als Aufsichtsbehörde von Europol und für diese Zwecke wurde ein spezielles Modell für die Zusammenarbeit mit den nationalen Aufsichtsbehörden im Wege eines Beirats für die Zusammenarbeit, dem auch eine Beratungsfunktion zukommt, geschaffen. Zur besseren wirksamen Aufsicht und Durchsetzung des materiellen Datenschutzrechts sollte in der Union ein einheitliches, kohärentes Modell für eine koordinierte Aufsicht eingeführt werden. Die Kommission sollte daher erforderlichenfalls Gesetzgebungsvorschläge im Hinblick auf die Änderung von Unionsrechtsakten, die ein Modell für eine koordinierte Aufsicht vorsehen, unterbreiten, um diese an das in dieser Verordnung festgelegte Modell für eine koordinierte Aufsicht anzupassen. Der Europäische Datenschutzausschuss sollte als zentrales Forum agieren, um die wirksame koordinierte Aufsicht in allen Bereichen zu gewährleisten.

(79)

Jede betroffene Person sollte das Recht haben, bei dem Europäischen Datenschutzbeauftragten eine Beschwerde einzureichen und im Einklang mit den Verträgen einen wirksamen gerichtlichen Rechtsbehelf vor dem Gerichtshof einzulegen, wenn sich die betroffene Person in ihren Rechten nach dieser Verordnung verletzt sieht oder wenn der Europäische Datenschutzbeauftragte auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Der Europäische Datenschutzbeauftragte sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollte eine weitere Abstimmung mit einer nationalen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Der Europäische Datenschutzbeauftragte sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.

(80)

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, sollte — vorbehaltlich der in den Verträgen vorgesehenen Voraussetzungen — Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter haben.

(81)

Um die Aufsichtsfunktion des Europäischen Datenschutzbeauftragten und die wirksame Durchsetzung der vorliegenden Verordnung zu erleichtern, sollte der Europäische Datenschutzbeauftragte als letztes Mittel die Befugnis haben, Geldbußen zu verhängen. Mit diesen Geldbußen sollten keine Einzelpersonen, sondern vielmehr die Organe oder Einrichtungen der Union für Verstöße gegen diese Verordnung sanktioniert werden, um künftigen Verstößen gegen die vorliegende Verordnung vorzubeugen und eine Kultur des Schutzes personenbezogener Daten innerhalb der Organe und Einrichtungen der Union zu fördern. In der vorliegenden Verordnung sollten die mit Geldbußen zu ahndenden Verstöße sowie die Obergrenzen der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden. Der Europäische Datenschutzbeauftragte sollte die Höhe der Geldbuße in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und der Art, Schwere und Dauer des Verstoßes, seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festsetzen. Wenn er eine Geldbuße gegen ein Organ oder eine Einrichtung der Union verhängt, sollte der Europäische Datenschutzbeauftragte die Verhältnismäßigkeit der Höhe der Geldbuße prüfen. Das Verwaltungsverfahren für das Verhängen von Geldbußen gegen die Organe und Einrichtungen der Union sollte im Einklang mit den allgemeinen Grundsätzen des Unionsrechts in der Auslegung des Gerichtshofs erfolgen.

(82)

Betroffene Personen, die sich in ihren Rechten nach dieser Verordnung verletzt sehen, sollten das Recht haben, nach Unionsrecht oder nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde beim Europäischen Datenschutzbeauftragten einzulegen. Diese Einrichtungen, Organisationen oder Vereinigungen sollten ferner das Recht haben, einen gerichtlichen Rechtsbehelf im Namen der betroffenen Person einzulegen oder das Recht auf Schadenersatz im Namen der betroffenen Person in Anspruch zu nehmen.

(83)

Verstoßen Beamte oder sonstige Bedienstete der Union gegen die Verpflichtungen gemäß der vorliegenden Verordnung, so sollte dies für sie disziplinarische oder anderweitige Maßnahmen nach sich ziehen, die im Statut der Beamten der Europäischen Union und den Beschäftigungsbedingungen für die sonstigen Bediensteten der Union gemäß der Verordnung (EWG, Euratom, EGKS) Nr. 259/68 des Rates^(**********) (im Folgenden „Statut” ) festgelegt sind.

(84)

Zur Gewährleistung einheitlicher Bedingungen für die Durchführung der vorliegenden Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates^{(***********)} ausgeübt werden. Das Prüfverfahren sollte für die Festlegung von Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern, für die Annahme einer Liste der Verarbeitungsvorgänge, die eine vorherige Konsultation des Europäischen Datenschutzbeauftragten durch den Verantwortlichen für eine Verarbeitung personenbezogener Daten zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erfordert, und für die Festlegung von Standardvertragsklauseln, die geeignete Schutzmaßnahmen für internationale Datenübermittlungen vorsehen, angewendet werden.

(85)

Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates^{(************)} enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken.

(86)

Die Verordnung Nr. 45/2001/EG und der Beschluss 1247/2002/EG des Europäischen Parlaments, des Rates und der Kommission^{(*************)} sollten aufgehoben werden. Bezugnahmen auf die aufgehobene Verordnung und den aufgehobenen Beschluss sollten als Bezugnahmen auf die vorliegende Verordnung gelten.

(87)

Um die uneingeschränkte Unabhängigkeit der Mitglieder der unabhängigen Aufsichtsbehörde zu gewährleisten, sollte die Amtszeit des derzeitigen Europäischen Datenschutzbeauftragten und des derzeitigen stellvertretenden Datenschutzbeauftragten von der vorliegenden Verordnung unberührt bleiben. Der derzeitige stellvertretende Datenschutzbeauftragte sollte sein Amt bis zum Ende seiner Amtszeit ausüben, es sei denn, eine der in der vorliegenden Verordnung vorgesehenen Bedingungen für ein vorzeitiges Ende der Amtszeit des Europäischen Datenschutzbeauftragten tritt ein. Die entsprechenden Bestimmungen der vorliegenden Verordnung sollten für den stellvertretenden Datenschutzbeauftragten bis zum Ende seiner Amtszeit gelten.

(88)

Damit die grundlegenden Ziele, ein gleichwertiges Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr personenbezogener Daten in der gesamten Union zu gewährleisten, entsprechend dem Grundsatz der Verhältnismäßigkeit verwirklicht werden können, ist es erforderlich und angemessen, Vorschriften für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Union festzulegen. Die vorliegende Verordnung geht entsprechend Artikel 5 Absatz 4 EUV nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(89)

Der Europäische Datenschutzbeauftragte wurde nach Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat seine Stellungnahme am 15. März 2017^{(**************)} abgegeben —

HABEN FOLGENDE VERORDNUNG ERLASSEN: