GEMEINSAMER STANDPUNKT (EG) Nr. 1/95 vom Rat festgelegt am 20. Februar 1995 im Hinblick auf den Erlaß der Richtlinie 95/. . ./EG des Europäischen Parlaments und des Rates vom . . . zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
Amtsblatt Nr. C 093 vom 13/04/1995 S. 0001
GEMEINSAMER STANDPUNKT (EG) Nr. 1/95 vom Rat festgelegt am 20. Februar 1995 im Hinblick auf den Erlaß der Richtlinie 95/. . ./EG des Europäischen Parlaments und des Rates vom . . . zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (95/C 93/01) DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION - gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 100a, auf Vorschlag der Kommission (1), nach Stellungnahme des Wirtschafts- und Sozialausschusses (2), gemäß dem Verfahren des Artikels 189b des Vertrags (3), in Erwägung nachstehender Gründe: Die Ziele der Gemeinschaft, wie sie in dem durch den Vertrag über die Europäische Union geänderten Vertrag festgelegt sind, bestehen darin, einen immer engeren Zusammenschluß der europäischen Völker zu schaffen, engere Beziehungen zwischen den in der Gemeinschaft zusammengeschlossenen Staaten herzustellen, durch gemeinsames Handeln den wirtschaftlichen und sozialen Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden, die ständige Besserung der Lebensbedingungen ihrer Völker zu fördern, Frieden und Freiheit zu wahren und zu festigen und für die Demokratie einzutreten und sich dabei auf die in den Verfassungen und Gesetzen der Mitgliedstaaten sowie in der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten anerkannten Grundrechte zu stützen. Die Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsangehörigkeit oder des Wohnorts der natürlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphäre zu achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen. Für die Errichtung und das Funktionieren des Binnenmarktes, der gemäß Artikel 7a des Vertrags den freien Verkehr von Waren, Personen, Dienstleistungen und Kapital gewährleisten soll, ist es nicht nur erforderlich, daß personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat übermittelt werden können, sondern auch, daß die Grundrechte der Personen gewahrt werden. Immer häufiger werden personenbezogene Daten in der Gemeinschaft in den verschiedenen Bereichen wirtschaftlicher und sozialer Tätigkeiten verarbeitet. Die Fortschritte der Informationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten beträchtlich. Die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Funktionieren des Binnenmarktes im Sinne von Artikel 7a des Vertrags ergibt, wird notwendigerweise zu einer spürbaren Zunahme der grenzüberschreitenden Ströme personenbezogener Daten zwischen allen am wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten im öffentlichen wie im privaten Bereich führen. Der Austausch personenbezogener Daten zwischen in verschiedenen Mitgliedstaaten niedergelassenen Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten sind aufgrund des Gemeinschaftsrechts gehalten, zusammenzuarbeiten und untereinander personenbezogene Daten auszutauschen, um im Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestellt wird, ihren Auftrag erfuellen oder Aufgaben anstelle der Behörden eines anderen Mitgliedstaats durchführen zu können. Die verstärkte wissenschaftliche und technische Zusammenarbeit sowie die koordinierte Einführung neuer Telekommunikationsnetze in der Gemeinschaft erfordern und erleichtern den grenzüberschreitenden Verkehr personenbezogener Daten. Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphäre, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten kann die Übermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis für die Ausübung einer Reihe von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen, den Wettbewerb verfälschen und die Erfuellung des Auftrags der im Anwendungsbereich des Gemeinschaftsrechts tätigen Behörden behindern. Dieses unterschiedliche Schutzniveau ergibt sich aus der Verschiedenartigkeit der einzelstaatlichen Rechts- und Verwaltungsvorschriften. Zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerläßlich. Insbesondere unter Berücksichtigung der großen Unterschiede, die gegenwärtig zwischen den einschlägigen einzelstaatlichen Rechtsvorschriften bestehen, und der Notwendigkeit, die Rechtsvorschriften der Mitgliedstaaten zu koordinieren, damit der grenzüberschreitende Fluß personenbezogener Daten kohärent und in Übereinstimmung mit dem Ziel des Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird, läßt sich dieses für den Binnenmarkt grundlegende Ziel nicht allein durch das Vorgehen der Mitgliedstaaten verwirklichen. Deshalb ist eine Maßnahme der Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich. Die Mitgliedstaaten dürfen aufgrund des gleichwertigen Schutzes, der sich aus der Annäherung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gründen behindern, die den Schutz der Rechte und Freiheiten natürlicher Personen und insbesondere das Recht auf die Privatsphäre betreffen. Die Mitgliedstaaten besitzen einen Spielraum, der im Rahmen der Durchführung der Richtlinie von den Betriebs- und Sozialpartnern genutzt werden kann. Sie können somit in ihrem einzelstaatlichen Recht allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung festlegen. Hierbei streben sie eine Verbesserung des gegenwärtig durch ihre Rechtsvorschriften gewährten Schutzes an. Innerhalb dieses Spielraums können unter Beachtung des Gemeinschaftsrechts Unterschiede bei der Durchführung der Richtlinie auftreten, was Auswirkungen für den Datenverkehr sowohl innerhalb eines Mitgliedstaats als auch in der Gemeinschaft haben kann. Gegenstand der einzelstaatlichen Rechtsvorschriften über die Verarbeitung personenbezogener Daten ist die Gewährleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsätzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphäre. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen, sondern muß im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen. Die in dieser Richtlinie enthaltenen Grundsätze zum Schutz der Rechte und Freiheiten der Menschen, insbesondere der Achtung der Privatsphäre, konkretisieren und erweitern die in dem Übereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Menschen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsätze. Die Schutzprinzipien müssen für alle Verarbeitungen personenbezogener Daten gelten, sobald die Tätigkeiten des Verantwortlichen der Verarbeitung in den Anwendungsbereich des Gemeinschaftsrechts fallen. Auszunehmen ist die Datenverarbeitung, die von einer natürlichen Person in Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten - wie zum Beispiel Schriftverkehr oder Führung von Anschriftenverzeichnissen - vorgenommen wird. Die in den Titeln V und VI des Vertrags über die Europäische Union genannten Tätigkeiten, die die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates oder die Tätigkeiten des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der Mitgliedstaaten gemäß Artikel 56 Absatz 2 sowie gemäß den Artikeln 57 und 100a des Vertrags zur Gründung der Europäischen Gemeinschaft nicht in den Anwendungsbereich des Gemeinschaftsrechts. Die Verarbeitung personenbezogener Daten, die zum Schutz des wirtschaftlichen Wohls des Staates erforderlich ist, fällt nicht unter diese Richtlinie, wenn sie mit Fragen der Sicherheit des Staates zusammenhängt. In Anbetracht der Bedeutung der gegenwärtigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezüglich Techniken der Erfassung, Übermittlung, Veränderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muß diese Richtlinie auch auf diese Daten Anwendung finden. Die Verarbeitung solcher Daten wird von dieser Richtlinie nur erfaßt, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder für solche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff auf die Daten zu ermöglichen. Die Verarbeitung von Ton- und Bilddaten, wie bei der Videoüberwachung, fällt nicht unter diese Richtlinie, wenn sie für Zwecke der öffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates oder der Tätigkeiten des Staates im Bereich des Strafrechts oder anderer Tätigkeiten erfolgt, die nicht unter das Gemeinschaftsrecht fallen. Bezüglich Ton- und Bilddaten für journalistische, literarische oder künstlerische Zwecke, insbesondere im audiovisuellen Bereich, finden die Grundsätze dieser Richtlinie gemäß Artikel 9 eingeschränkt Anwendung. Um zu vermeiden, daß einer Person der gemäß dieser Richtlinie gewährleistete Schutz vorenthalten wird, müssen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitungen, die von einer dem in einem Mitgliedstaat niedergelassenen Verantwortlichen der Verarbeitung unterstellten Person vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden. Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht entscheidend. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muß er insbesondere zur Vermeidung von Umgehungen sicherstellen, daß jede dieser Niederlassungen die Verpflichtungen einhält, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf die Tätigkeiten jeder von ihnen anwendbar ist. Die Niederlassung des Verantwortlichen der Verarbeitung in einem Drittland darf dem Schutz der Personen gemäß dieser Richtlinie nicht entgegenstehen. In diesem Fall sind die Verarbeitungen dem Recht des Mitgliedstaats zu unterwerfen, in dem sich die für die betreffenden Verarbeitungen verwendeten Mittel befinden, und Vorkehrungen zu treffen, um sicherzustellen, daß die in dieser Richtlinie vorgesehenen Rechte und Pflichten tatsächlich eingehalten werden. Diese Richtlinie berührt nicht die im Strafrecht geltenden Territorialitätsregeln. Die Mitgliedstaaten können in ihren Rechtsvorschriften oder bei der Durchführung der Vorschriften zur Umsetzung dieser Richtlinie die allgemeinen Bedingungen präzisieren, unter denen die Verarbeitungen rechtmäßig sind. Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7 und 8 können die Mitgliedstaaten neben den allgemeinen Regeln besondere Bedingungen für die Datenverarbeitung in spezifischen Bereichen und für die verschiedenen Datenkategorien gemäß Artikel 8 vorsehen. Die Mitgliedstaaten können den Schutz von Personen sowohl durch ein allgemeines Gesetz zum Schutz von Personen gegen die Verarbeitung personenbezogener Daten als auch durch gesetzliche Regelungen für bestimmte Bereiche, wie zum Beispiel die statistischen Ämter, sicherstellen. Diese Richtlinie berührt nicht die Rechtsvorschriften zum Schutz juristischer Personen bei der Verarbeitung von Daten, die sich auf sie beziehen. Die Schutzprinzipien finden zum einen ihren Niederschlag in den Pflichten, die den Personen, Behörden, Unternehmen, Geschäftsstellen oder anderen für die Verarbeitung verantwortlichen Stellen obliegen; diese Pflichten betreffen insbesondere die Datenqualität, die technische Sicherheit, die Meldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten der Personen, deren Daten Gegenstand von Verarbeitungen sind, über diese informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die Verarbeitung einlegen zu können. Die Schutzprinzipien müssen für alle Informationen über eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, daß die betroffene Person nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinne des Artikels 27 können ein nützliches Instrument sein, mit dem angegeben wird, wie sich die Daten in einer Form anonymisieren und aufbewahren lassen, die die Identifizierung der betroffenen Person unmöglich macht. Datenschutz muß sowohl für automatisierte als auch für nichtautomatisierte Verarbeitungen gelten. In der Tat darf der Schutz nicht von den verwendeten Techniken abhängen, da andernfalls ernsthafte Risiken der Umgehung entstehen würden. Bei manuellen Verarbeitungen erfaßt diese Richtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muß der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff auf die Daten ermöglichen. Nach der Definition in Artikel 2 Buchstabe c) können die Mitgliedstaaten die Kriterien zur Bestimmung der Elemente einer strukturierten Sammlung personenbezogener Daten sowie die verschiedenen Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien strukturiert sind, fallen unter keinen Umständen in den Anwendungsbereich dieser Richtlinie. Die Verarbeitung personenbezogener Daten muß gegenüber den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat den angestrebten Zwecken zu entsprechen, dafür erheblich zu sein und nicht darüber hinauszugehen. Die Zwecke müssen eindeutig und rechtmäßig sein und bei der Datenerhebung festgelegt werden. Die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung dürfen nicht mit den ursprünglich festgelegten Zwecken unvereinbar sein. Die Weiterverarbeitung personenbezogener Daten für historische, statistische oder wissenschaftliche Zwecke ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, wenn der Mitgliedstaat geeignete Garantien vorsieht. Diese Garantien müssen insbesondere ausschließen, daß die Daten für Maßnahmen oder Entscheidungen gegenüber einzelnen Betroffenen verwendet werden. Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den Abschluß oder die Erfuellung eines für die betroffene Person bindenden Vertrags, zur Erfuellung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse, in Ausübung hoheitlicher Gewalt oder wenn sie im Interesse eines einzelnen erforderlich ist, vorausgesetzt, daß die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen. Um den Ausgleich der in Frage stehenden Interessen unter Gewährleistung eines effektiven Wettbewerbs sicherzustellen, können die Mitgliedstaaten insbesondere die Bedingungen näher bestimmen, unter denen personenbezogene Daten bei rechtmäßigen Tätigkeiten im Rahmen laufender Geschäfte von Unternehmen und anderen Einrichtungen an Dritte weitergegeben werden können. Ebenso können sie die Bedingungen festlegen, unter denen personenbezogene Daten an Dritte zum Zweck der geschäftsmäßigen Werbung oder der Werbung von Wohltätigkeitsverbänden oder anderen Vereinigungen oder Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden können, und zwar unter Berücksichtigung der Bestimmungen dieser Richtlinie, nach denen betroffene Personen ohne Angabe von Gründen und ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen, erheben können. Die Verarbeitung personenbezogener Daten ist ebenfalls als rechtmäßig anzusehen, wenn sie erfolgt, um ein für das Leben der betroffenen Person wesentliches Interesse zu schützen. Es ist nach einzelstaatlichem Recht festzulegen, ob es sich bei dem Verantwortlichen der Verarbeitung, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht oder das Privatrecht fallende Person, wie beispielsweise eine Berufsvereinigung, handeln soll. Daten, die aufgrund ihrer Art geeignet sind, die Grundfreiheiten oder die Privatsphäre zu beeinträchtigen, dürfen nicht ohne ausdrückliche Einwilligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot müssen ausdrücklich vorgesehen werden bei spezifischen Notwendigkeiten, insbesondere wenn die Verarbeitung dieser Daten für gewisse auf das Gesundheitswesen bezogene Zwecke von Personen vorgenommen wird, die nach dem einzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn die Verarbeitung für berechtigte Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausübung von Grundfreiheiten zu ermöglichen. Die Mitgliedstaaten können, wenn dies durch ein wichtiges öffentliches Interesse gerechtfertigt ist, Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien vorsehen in Bereichen wie dem öffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich der Sicherung von Qualität und Wirtschaftlichkeit sowie der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der öffentlichen Statistik. Die Mitgliedstaaten müssen jedoch geeignete besondere Garantien zum Schutz der Grundrechte und der Privatsphäre von Personen vorsehen. Die Verarbeitung personenbezogener Daten durch staatliche Stellen für verfassungsrechtlich oder im Völkerrecht niedergelegte Zwecke von staatlich anerkannten Religionsgesellschaften erfolgt ebenfalls im Hinblick auf ein wichtiges öffentliches Interesse. Wenn es in bestimmten Mitgliedstaaten zum Funktionieren des demokratischen Systems gehört, daß die politischen Parteien im Zusammenhang mit Wahlen Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen eines wichtigen öffentlichen Interesses zugelassen werden, sofern angemessene Garantien vorgesehen werden. Für die Verarbeitung personenbezogener Daten zu journalistischen, literarischen oder künstlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind Ausnahmen von bestimmten Vorschriften dieser Richtlinie vorzusehen, soweit sie erforderlich sind, um die Grundrechte der Person mit der Meinungsäußerungsfreiheit und insbesondere der Freiheit, Informationen zu erhalten oder weiterzugeben, die insbesondere in Artikel 10 der Europäischen Konvention zum Schutze der Menschenrechte und der Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb den Mitgliedstaaten, unter Abwägung der Grundrechte Ausnahmen und Einschränkungen festzulegen, die bei den allgemeinen Maßnahmen über die Rechtmäßigkeit der Verarbeitung von Daten, bei den Maßnahmen über die Übermittlung der Daten in Drittländer sowie hinsichtlich der Zuständigkeiten der Kontrollstellen erforderlich sind, ohne daß jedoch Ausnahmen bei den Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vorzusehen sind. Ferner sollte mindestens die in diesem Bereich zuständige Kontrollstelle bestimmte nachträgliche Zuständigkeiten erhalten, beispielsweise zur regelmäßigen Veröffentlichung eines Berichts oder zur Befassung der Justizbehörden. Datenverarbeitung nach Treu und Glauben setzt voraus, daß die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden. Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat. Des weiteren können Daten rechtmäßig an Dritte weitergegeben werden, auch wenn die Weitergabe bei der Erhebung der Daten bei der betroffenen Person nicht vorgesehen war. In diesen Fällen muß die betroffene Person zum Zeitpunkt der Speicherung der Daten oder spätestens bei der erstmaligen Weitergabe der Daten an Dritte unterrichtet werden. Diese Verpflichtung erübrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist. Sie besteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist oder wenn die Unterrichtung unmöglich ist oder unverhältnismäßigen Aufwand erfordert, was bei Verarbeitungen für historische, statistische oder wissenschaftliche Zwecke der Fall sein kann. Diesbezüglich können die Zahl der betroffenen Personen, das Alter der Daten und etwaige Ausgleichsmaßnahmen in Betracht gezogen werden. Jede Person muß ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer Verarbeitung sind, haben, damit sie sich insbesondere von der Richtigkeit dieser Daten und der Zulässigkeit ihrer Verarbeitung überzeugen kann. Aus denselben Gründen muß jede Person außerdem das Recht auf Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne des Artikels 15 Absatz 1, besitzen. Das letztgenannte Recht darf das Recht an geistigem Eigentum, insbesondere das Urheberrecht zum Schutz von Software, nicht berühren. Dies darf allerdings nicht dazu führen, daß der betroffenen Person jegliche Auskunft verweigert wird. Die Mitgliedstaaten können die Auskunfts- und Informationsrechte im Interesse der betroffenen Person oder zum Schutz der Rechte und Freiheiten Dritter einschränken. Zum Beispiel können sie vorsehen, daß Auskunft über medizinische Daten nur über ärztliches Personal erhalten werden kann. Die Mitgliedstaaten können Beschränkungen des Auskunfts- und Informationsrechts sowie bestimmter Pflichten des Verantwortlichen der Verarbeitung vorsehen, soweit dies beispielsweise für die Sicherheit des Staates, die Landesverteidigung, die öffentliche Sicherheit, für zwingende wirtschaftliche oder finanzielle Interessen eines Mitgliedstaats oder der Union oder für die Ermittlung und Verfolgung von Straftaten oder von Verstößen gegen Standesregeln bei reglementierten Berufen erforderlich ist. Als Ausnahmen und Beschränkungen sind Kontroll-, Überwachungs- und Ordnungsfunktionen zu nennen, die in den drei letztgenannten Bereichen in bezug auf öffentliche Sicherheit, wirtschaftliches oder finanzielles Interesse und Strafverfolgung erforderlich sind. Die Erwähnung der Aufgaben in diesen drei Bereichen läßt die Zulässigkeit von Ausnahmen und Einschränkungen aus Gründen der Sicherheit des Staates und der Landesverteidigung unberührt. Die Mitgliedstaaten können aufgrund gemeinschaftlicher Vorschriften gehalten sein, von den das Auskunftsrecht, die Information der Personen und die Qualität der Daten betreffenden Bestimmungen dieser Richtlinie abzuweichen, um bestimmte der obengenannten Zweckbestimmungen zu schützen. Könnten die Daten Gegenstand einer rechtmäßigen Verarbeitung aufgrund eines öffentlichen Interesses, der Ausübung hoheitlicher Gewalt oder der Interessen eines einzelnen sein, so sollte jedoch jede betroffene Person das Recht besitzen, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen Widerspruch dagegen einzulegen, daß die sie betreffenden Daten verarbeitet werden. Die Mitgliedstaaten können allerdings innerstaatliche Bestimmungen vorsehen, die dem entgegenstehen. Für den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafür Sorge zu tragen, daß der Verantwortliche der Verarbeitung diese Maßnahmen einhält. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. Wird eine Nachricht, die personenbezogene Daten enthält, über Telekommunikationsdienste oder durch elektronische Post übermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu übermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den Übermittlungsdienst anbietet, als Verantwortlicher der Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten. Jedoch gelten die Personen, die diese Dienste anbieten, in der Regel als Verantwortliche der Verarbeitung der personenbezogenen Daten, die zusätzlich für den Betrieb des Dienstes erforderlich sind. Die Meldeverfahren dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer wichtigsten Merkmale mit dem Zweck der Überprüfung ihrer Vereinbarkeit mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie. Um unangemessene Verwaltungsformalitäten zu vermeiden, können die Mitgliedstaaten bei Verarbeitungen, bei denen eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sie vereinfachen, vorausgesetzt, daß diese Verarbeitungen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grenzen solcher Verarbeitungen festgelegt hat. Eine Befreiung oder eine Vereinfachung kann ebenso vorgesehen werden, wenn ein vom Verantwortlichen der Verarbeitung benannter Datenschutzbeauftragter sicherstellt, daß eine Beeinträchtigung der Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten ist. Ein solcher Beauftragter, ob Angestellter des Verantwortlichen der Verarbeitung oder externer Beauftragter, muß seine Aufgaben in vollständiger Unabhängigkeit ausüben können. Die Befreiung oder Vereinfachung kann vorgesehen werden für Verarbeitungen, deren einziger Zweck das Führen eines Registers ist, das gemäß einzelstaatlichem Recht zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht. Die Vereinfachung oder Befreiung von der Meldepflicht entbindet jedoch den Verantwortlichen der Verarbeitung von keiner der anderen sich aus dieser Richtlinie ergebenden Verpflichtungen. In diesem Zusammenhang ist die nachträgliche Kontrolle durch die zuständigen Stellen im allgemeinen als ausreichende Maßnahme anzusehen. Bestimmte Verarbeitungen können jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung (beispielsweise, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen) oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. Es obliegt den Mitgliedstaaten, derartige Risiken in ihren Rechtsvorschriften aufzuführen, wenn sie dies wünschen. Gegenüber allen in der Gesellschaft durchgeführten Verarbeitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschränkt sein. Die Mitgliedstaaten müssen für diese Verarbeitungen vorsehen, daß vor ihrer Durchführung eine Vorabprüfung durch die Kontrollstelle oder in Zusammenarbeit mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als Ergebnis dieser Vorabprüfung kann die Kontrollstelle gemäß einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung genehmigen. Diese Prüfung kann auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer auf eine solche Maßnahme gestützten Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt. Für den Fall der Mißachtung der Rechte der betroffenen Personen durch den Verantwortlichen der Verarbeitung ist im nationalen Recht eine gerichtliche Überprüfungsmöglichkeit vorzusehen. Mögliche Schäden, die den Personen aufgrund einer unzulässigen Verarbeitung entstehen, sind von dem Verantwortlichen der Verarbeitung zu ersetzen, der von seiner Haftung befreit werden kann, wenn er nachweist, daß der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall höherer Gewalt vorliegt. Unabhängig davon, ob es sich um eine Person des Privatrechts oder des öffentlichen Rechts handelt, müssen Sanktionen jede Person treffen, die die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht einhält. Grenzüberschreitender Verkehr personenbezogener Daten ist notwendig für die Entwicklung des internationalen Handels. Der in der Gemeinschaft durch diese Richtlinie gewährte Schutz von Personen steht der Übermittlung personenbezogener Daten in Drittländer, die ein angemessenes Schutzniveau aufweisen, nicht entgegen. Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, ist unter Berücksichtigung aller Umstände im Hinblick auf eine Übermittlung oder eine Kategorie von Übermittlungen zu beurteilen. Bietet hingegen ein Drittland kein angemessenes Schutzniveau, so ist die Übermittlung personenbezogener Daten in dieses Land zu untersagen. Ausnahmen von diesem Verbot sind unter bestimmten Voraussetzungen vorzusehen, wenn die betroffene Person ihre Einwilligung erteilt hat oder die Übermittlung erforderlich ist im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines wichtigen öffentlichen Interesses wie zum Beispiel bei internationalem Datenaustausch zwischen Steuer- oder Zollverwaltungen oder zwischen Diensten, die für Angelegenheiten der sozialen Sicherheit zuständig sind. Ebenso kann eine Übermittlung aus einem gesetzlich vorgesehenen Register erfolgen, das der öffentlichen Einsichtnahme oder der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In diesem Fall sollte eine solche Übermittlung nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, so sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. Besondere Maßnahmen können getroffen werden, um das unzureichende Schutzniveau in einem Drittland auszugleichen, wenn der Verantwortliche der Verarbeitung geeignete Sicherheiten nachweist. Außerden sind Verfahren für die Verhandlungen zwischen der Gemeinschaft und den betreffenden Drittländern vorzusehen. Übermittlungen in Drittstaaten dürfen auf jeden Fall nur unter voller Einhaltung der Rechtsvorschriften erfolgen, die die Mitgliedstaaten gemäß dieser Richtlinie, insbesondere gemäß Artikel 8, erlassen haben. Die Mitgliedstaaten und die Kommission müssen in ihren jeweiligen Zuständigkeitsbereichen die betroffenen Wirtschaftskreise ermutigen, Verhaltensregeln auszuarbeiten, um unter Berücksichtigung der Besonderheiten der Verarbeitung in bestimmten Bereichen die Durchführung dieser Richtlinie im Einklang mit den hierfür vorgesehenen einzelstaatlichen Bestimmungen zu fördern. Die Einrichtung unabhängiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten. Diese Stellen sind mit den notwendigen Mitteln für die Erfuellung dieser Aufgabe auszustatten, d. h. Untersuchungs- und Einwirkungsbefugnissen, insbesondere bei Beschwerden, sowie Klagerecht. Die Kontrollstellen haben zur Transparenz der Verarbeitungen in dem Mitgliedstaat beizutragen, dem sie unterstehen. Die Behörden der verschiedenen Mitgliedstaaten werden einander bei der Wahrnehmung ihrer Aufgaben unterstützen müssen, um sicherzustellen, daß die Schutzregeln in der ganzen Europäischen Union beachtet werden. Auf Gemeinschaftsebene ist eine Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten einzusetzen, die ihre Aufgaben in völliger Unabhängigkeit wahrzunehmen hat. Unter Berücksichtigung dieses besonderen Charakters hat sie die Kommission zu beraten und insbesondere zur einheitlichen Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften beizutragen. Für die Übermittlung von Daten in Drittländer ist es zur Anwendung dieser Richtlinie erforderlich, der Kommission Durchführungsbefugnisse zu übertragen und ein Verfahren gemäß den Bestimmungen des Beschlusses 87/373/EWG des Rates (4) festzulegen. Die in dieser Richtlinie enthaltenen Grundsätze des Schutzes der Rechte und Freiheiten der Personen und insbesondere der Achtung der Privatsphäre bei der Verarbeitung personenbezogener Daten können - besonders für bestimmte Bereiche - durch spezifische Regeln ergänzt oder präzisiert werden, die mit diesen Grundsätzen in Einklang stehen. Den Mitgliedstaaten sollte eine Frist von längstens drei Jahren ab Inkrafttreten ihrer Vorschriften zur Umsetzung dieser Richtlinie eingeräumt werden, damit sie die neuen einzelstaatlichen Vorschriften fortschreitend auf alle bereits laufenden Verarbeitungen anwenden können. Um eine kosteneffiziente Durchführung dieser Vorschriften zu erleichtern, wird den Mitgliedstaaten eine weitere Frist von zwölf Jahren nach Annahme dieser Richtlinie eingeräumt, um die Anpassung bestehender manueller Dateien an bestimmte Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateien enthaltene Daten während dieser erweiterten Umsetzungsfrist manuell verarbeitet, so sollten die Dateien zum Zeitpunkt der Verarbeitung mit diesen Vorschriften in Einklang gebracht werden. Die betroffene Person braucht nicht erneut ihre Einwilligung zu geben, damit der Verantwortliche nach Inkrafttreten der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie eine Verarbeitung sensibler Daten fortführen kann, die für die Erfuellung eines in freier Willenserklärung geschlossenen Vertrags erforderlich ist und vor Inkrafttreten der genannten Vorschriften mitgeteilt wurde. Diese Richtlinie steht den gesetzlichen Regelungen eines Mitgliedstaats im Bereich der geschäftsmäßigen Werbung gegenüber auf seinem Hoheitsgebiet ansässigen Verbrauchern nicht entgegen, sofern sich diese gesetzlichen Regelungen nicht auf den Schutz der Person bei der Verarbeitung personenbezogener Daten beziehen. Diese Richtlinie erlaubt bei der Umsetzung der mit ihr festgelegten Grundsätze die Berücksichtigung des Grundsatzes des öffentlichen Zugangs zu amtlichen Dokumenten - HABEN FOLGENDE RICHTLINIE ERLASSEN: KAPITEL I ALLGEMEINE BESTIMMUNGEN Artikel 1 Gegenstand der Richtlinie (1) Die Mitgliedstaaten gewährleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten. (2) Die Mitgliedstaaten beschränken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gründen des gemäß Absatz 1 gewährleisteten Schutzes. Artikel 2 Begriffsbestimmungen Im Sinne dieser Richtlinie bezeichnet der Ausdruck a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Ausarbeitung oder Veränderung, die Erstellung von Auszügen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten; c) "Datei mit personenbezogenen Daten" ("Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt geführt wird; d) "Verantwortlicher der Verarbeitung" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der Verantwortliche der Verarbeitung bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften festgelegt werden; e) "Auftragsverarbeiter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen der Verarbeitung verarbeitet; f) "Dritter" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, außer der betroffenen Person, dem Verantwortlichen der Verarbeitung, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen der Verarbeitung oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten; g) "Empfänger" die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die Daten erhält, gleichgültig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines einzelnen Untersuchungsauftrags möglicherweise Daten erhalten, gelten jedoch nicht als Empfänger; h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden. Artikel 3 Anwendungsbereich (1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in Dateien gespeichert sind oder gespeichert werden sollen. (2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten, - die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf jeden Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls) und die Tätigkeiten des Staates im strafrechtlichen Bereich; - die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird. Artikel 4 Anwendbares einzelstaatliches Recht (1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an, a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der Verantwortliche der Verarbeitung im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält; b) die von einem Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet; c) die von einem Verantwortlichen der Verarbeitung ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zweck der Verarbeitung personenbezogener Daten auf automatisierte oder nichtautomatisierte Mittel zurückgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden. (2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der Verantwortliche der Verarbeitung einen im Hoheitsgebiet des genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet der Möglichkeit eines Vorgehens gegen den Verantwortlichen der Verarbeitung selbst. KAPITEL II ALLGEMEINE BEDINGUNGEN FÜR DIE RECHTMÄSSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN Artikel 5 Die Mitgliedstaaten bestimmen nach Maßgabe dieses Kapitels die Voraussetzungen näher, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Abschnitt I Grundsätze in bezug auf die Qualität der Daten Artikel 6 (1) Die Mitgliedstaaten sehen vor, daß personenbezogene Daten a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden; b) für festgelegte eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen; c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen; d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben wurden oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden; e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben wurden oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden. (2) Der Verantwortliche der Verarbeitung hat für die Einhaltung des Absatzes 1 zu sorgen. Abschnitt II Grundsätze in bezug auf die Zulässigkeit der Verarbeitung von Daten Artikel 7 Die Mitgliedstaaten sehen vor, daß die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfuellt ist: a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben; b) die Verarbeitung ist erforderlich für die Erfuellung des Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen; c) die Verarbeitung ist für die Erfuellung einer rechtlichen Verpflichtung erforderlich, der die für die Verarbeitung verantwortliche Person unterliegt; d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person; e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem Verantwortlichen der Verarbeitung oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde; f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem Verantwortlichen der Verarbeitung oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwiegen. Abschnitt III Besondere Kategorien der Verarbeitung Artikel 8 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben. (2) Absatz 1 findet in folgenden Fällen keine Anwendung: a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden; oder b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des Verantwortlichen der Verarbeitung auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist; oder c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer berechtigten Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden; oder e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich. (3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschließlich der von den zuständigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen. (4) Die Mitgliedstaaten können vorbehaltlich angemessener Schutzbestimmungen aus Gründen eines wichtigen öffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle neben den Ausnahmen gemäß Absatz 2 weitere Ausnahmen vorsehen. (5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen, darf nur unter hoheitlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollständiges Register der strafrechtlichen Verurteilung darf allerdings nur unter hoheitlicher Aufsicht geführt werden. Die Mitgliedstaaten können vorsehen, daß Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter hoheitlicher Aufsicht verarbeitet werden müssen. (6) Die in Absatz 4 vorgesehenen Abweichungen von Absatz 1 und die Abweichungen von Absatz 5 sind der Kommission mitzuteilen. (7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. Artikel 9 Verarbeitung personenbezogener Daten und Meinungsfreiheit Die Mitgliedstaaten sehen für die Verarbeitung personenbezogener Daten, die allein zu journalistischen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI vor, soweit sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Meinungsäußerungsfreiheit geltenden Vorschriften in Einklang zu bringen. Abschnitt IV Information der betroffenen Person Artikel 10 Informationen bei der Erhebung personenbezogener Daten bei der betroffenen Person Die Mitgliedstaaten sehen vor, daß die Person, bei der die sie betreffenden Daten erhoben werden, vom Verantwortlichen der Verarbeitung oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen: a) Identität des Verantwortlichen der Verarbeitung und gegebenenfalls seines Vertreters; b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind; c) weitere Informationen, beispielsweise betreffend - die Empfänger oder Kategorien der Empfänger der Daten, - die Frage, ob die Beantwortung der Fragen verpflichtend oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung, - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten. Artikel 11 Informationen für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden (1) Für den Fall, daß die Daten nicht bei der betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, daß die betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung vom Verantwortlichen der Verarbeitung oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen: a) die Identität des Verantwortlichen der Verarbeitung und gegebenenfalls seines Vertreters; b) die Zweckbestimmungen der Verarbeitung; c) weitere Informationen, beispielsweise betreffend - die Datenkategorien, die verarbeitet werden, - die Empfänger oder Kategorien der Empfänger der Daten, - das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten verarbeitet werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten. (2) Absatz 1 findet - insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor. Abschnitt V Auskunftsrecht der betroffenen Person Artikel 12 Auskunftsrecht Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom Verantwortlichen der Verarbeitung folgendes zu erhalten: 1. frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten - die Bestätigung, daß es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen über die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden; - eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, sowie die verfügbaren Informationen über die Herkunft der Daten; - Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1; 2. je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind; 3. die Gewähr, daß jede Berichtigung, Löschung oder Sperrung, die entsprechend Nummer 2 durchgeführt wurde, den Dritten, denen die Daten übermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmöglich erweist oder kein unverhältnismäßiger Aufwand damit verbunden ist. Abschnitt VI Ausnahmen und Einschränkungen Artikel 13 Ausnahmen und Einschränkungen (1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für a) die Sicherheit des Staates; b) die Landesverteidigung; c) die öffentliche Sicherheit; d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen; e) ein zwingendes wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten; f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind; g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer. (2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, daß die Daten für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden, können die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre des Betroffenen besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschränken, wenn die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht länger als erforderlich lediglich zur Erstellung von Statistiken aufbewahrt werden. Abschnitt VII Widerspruchsrecht der betroffenen Person Artikel 14 Widerspruchsrecht der betroffenen Person Die Mitgliedstaaten erkennen das Recht der betroffenen Person an, a) zumindest in den Fällen von Artikel 7 Buchstaben e) und f) jederzeit aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen dagegen Widerspruch einlegen zu können, daß sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigten Widerspruchs kann sich die vom Verantwortlichen der Verarbeitung vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen; b) auf Antrag kostenfrei gegen eine vom Verantwortlichen der Verarbeitung beabsichtigte Verarbeitung sie betreffender Daten für Zwecke der Direktwerbung Widerspruch einzulegen; oder vor der ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdrücklich auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu können. Die Mitgliedstaaten ergreifen die erforderlichen Maßnahmen, um sicherzustellen, daß die betroffenen Personen vom Bestehen des im ersten Absatz dieses Buchstabens vorgesehenen Rechts Kenntnis haben. Artikel 15 Automatisierte Einzelentscheidungen (1) Die Mitgliedstaaten räumen jeder Person das Recht ein, keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens. (2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, daß eine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese a) im Rahmen des Abschlusses oder der Erfuellung eines Vertrags ergeht und dem Ersuchen der betroffenen Person stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch geeignete Maßnahmen - beispielsweise die Möglichkeit, ihren Standpunkt geltend zu machen - garantiert wird oder b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt. Abschnitt VIII Vertraulichkeit und Sicherheit der Verarbeitung Artikel 16 Vertraulichkeit der Verarbeitung Personen, die dem Verantwortlichen der Verarbeitung oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst dürfen personenbezogene Daten nur auf Weisung des Verantwortlichen der Verarbeitung verarbeiten, es sei denn, es bestehen gesetzliche Verpflichtungen. Artikel 17 Sicherheit der Verarbeitung (1) Die Mitgliedstaaten sehen vor, daß der Verantwortliche der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen durchführen muß, die für den Schutz gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden - und gegen jede andere Form der unrechtmäßigen Verarbeitung personenbezogener Daten erforderlich sind. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. (2) Die Mitgliedstaaten sehen vor, daß der Verantwortliche der Verarbeitung im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwählen hat, der hinsichtlich der für die Verarbeitung zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet; der Verantwortliche der Verarbeitung überzeugt sich von der Einhaltung dieser Maßnahmen. (3) Die Durchführung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den Verantwortlichen der Verarbeitung gebunden ist und in dem insbesondere folgendes vorgesehen ist: - Der Auftragsverarbeiter handelt nur auf Weisung des Verantwortlichen der Verarbeitung; - die in Absatz 1 genannten Verpflichtungen gelten auch für den Auftragsverarbeiter, und zwar nach Maßgabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat. (4) Zum Zweck der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf Maßnahmen nach Absatz 1 schriftlich oder in einer anderen gleichwertigen Form zu dokumentieren. Abschnitt IX Meldung Artikel 18 Pflicht zur Meldung bei der Kontrollstelle (1) Die Mitgliedstaaten sehen eine Meldung durch den Verantwortlichen der Verarbeitung oder gegebenenfalls seinen Vertreter bei der in Artikel 28 genannten Kontrollstelle vor, bevor eine vollständig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgeführt wird. (2) Die Mitgliedstaaten können eine Vereinfachung oder ein Entfallen der Meldung nur in den folgenden Fällen und unter folgenden Bedingungen vorsehen: - Sie legen für Verarbeitungskategorien, bei denen unter Berücksichtigung der verarbeiteten Daten eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist, die Zweckbestimmungen der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die Kategorie(n) der betroffenen Personen, die Empfänger oder Kategorien der Empfänger, denen die Daten weitergegeben werden, und die Dauer der Aufbewahrung fest, und/oder - der Verantwortliche der Verarbeitung bestellt entsprechend dem einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten; dem Datenschutzbeauftragten obliegt insbesondere - die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen, - die Führung eines Verzeichnisses mit den in Artikel 21 Absatz 2 vorgesehenen Informationen über die Verarbeitung, um auf diese Weise sicherzustellen, daß eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung unwahrscheinlich ist. (3) Die Mitgliedstaaten können vorsehen, daß Absatz 1 keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen eines Registers ist, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht. (4) Die Mitgliedstaaten können die Verarbeitungen, die in Artikel 8 Absatz 2 Buchstabe d) genannt sind, von der Meldepflicht ausnehmen oder die Meldung vereinfachen. (5) Die Mitgliedstaaten können die Meldepflicht für nichtautomatisierte Verarbeitungen von personenbezogenen Daten generell oder in Einzelfällen vorsehen oder sie einer vereinfachten Meldung unterwerfen. Artikel 19 Inhalt der Meldung (1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehört zumindest folgendes: a) Name und Anschrift des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters; b) die Zweckbestimmung(en) der Verarbeitung; c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezüglichen Daten oder Datenkategorien; d) die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden könnten; e) geplante Datenübermittlung nach Drittländern; f) eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach Artikel 17 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. (2) Die Mitgliedstaaten legen die Verfahren fest, nach denen Änderungen der in Absatz 1 genannten Angaben der Kontrollstelle zu melden sind. Artikel 20 Vorabkontrolle (1) Die Mitgliedstaaten legen fest, welche Verarbeitungen geeignet sind, spezifische Risiken für die Rechte und Freiheiten der Personen aufzuweisen, und tragen dafür Sorge, daß diese Verarbeitungen vor ihrem Beginn geprüft werden. (2) Solche Vorabprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des Verantwortlichen der Verarbeitung vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muß. (3) Die Mitgliedstaaten können eine solche Prüfung auch im Zuge der Ausarbeitung einer Maßnahme ihres Parlaments oder einer auf eine solche Maßnahme gestützten Maßnahme durchführen, die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht. Artikel 21 Öffentlichkeit der Verarbeitungen (1) Die Mitgliedstaaten erlassen Maßnahmen, mit denen die Öffentlichkeit der Verarbeitungen sichergestellt wird. (2) Die Mitgliedstaaten sehen vor, daß die Kontrollstelle ein Register der gemäß Artikel 18 gemeldeten Verarbeitungen führt. Das Register enthält mindestens die Angaben nach Artikel 19 Absatz 1 Buchstaben a) bis e). Das Register kann von jedermann eingesehen werden. (3) Die Mitgliedstaaten sehen vor, daß für Verarbeitungen, die von der Meldung ausgenommen sind, die Verantwortlichen der Verarbeitung oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben auf Anfrage jedermann in geeigneter Weise verfügbar machen. Die Mitgliedstaaten können vorsehen, daß diese Bestimmung keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Führen von Registern ist, die gemäß den Rechts- und Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt sind und die entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offenstehen. KAPITEL III RECHTSBEHELFE, HAFTUNG UND SANKTIONEN Artikel 22 Rechtsbehelfe Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtswegs insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, daß jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann. Artikel 23 Haftung (1) Die Mitgliedstaaten sehen vor, daß jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem Verantwortlichen der Verarbeitung Schadenersatz zu verlangen. (2) Der Verantwortliche der Verarbeitung kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann. Artikel 24 Sanktionen Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstößen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind. KAPITEL IV ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLÄNDER Artikel 25 Grundsätze (1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. (2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort beachteten Standesregeln und Sicherheitsmaßnahmen berücksichtigt. (3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. (4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, daß ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige Datenübermittlung in das Drittland erfolgt. (5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen. (6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre, der Freiheiten oder der Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet. Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. Artikel 26 Ausnahmen (1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht vor, daß eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern 1. die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder 2. die Übermittlung für die Erfuellung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder 3. die Übermittlung zum Abschluß oder zur Erfuellung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom Verantwortlichen der Verarbeitung mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder 4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist oder 5. die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder 6. die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. (2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn der Verantwortliche der Verarbeitung ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben. (3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten über die von ihm nach Absatz 2 erteilten Genehmigungen. Legt ein anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen hinreichend begründeten Widerspruch ein, so erläßt die Kommission die geeigneten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2. Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen. (4) Befindet die Kommission nach dem Verfahren des Artikels 31 Absatz 2, daß bestimmte Standardvertragsklauseln ausreichende Garantien gemäß Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. KAPITEL V VERHALTENSREGELN Artikel 27 (1) Die Mitgliedstaaten und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemäßen Durchführung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen. (2) Die Mitgliedstaaten sehen vor, daß die Berufsverbände und andere Vereinigungen, die andere Kategorien von Verantwortlichen der Verarbeitung vertreten, ihre Entwürfe für einzelstaatliche Verhaltensregeln oder ihre Vorschläge zur Änderung oder Verlängerung bestehender einzelstaatlicher Verhaltensregeln der zuständigen einzelstaatlichen Stelle unterbreiten können. Die Mitgliedstaaten sehen vor, daß sich diese Stelle insbesondere davon überzeugt, daß die ihr unterbreiteten Entwürfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Die Stelle holt die Stellungnahmen der betreffenden Personen oder ihrer Vertreter ein, falls ihr das angebracht erscheint. (3) Die Entwürfe für gemeinschaftliche Verhaltensregeln sowie Änderungen oder Verlängerungen bestehender gemeinschaftlicher Verhaltensregeln können der in Artikel 29 genannten Gruppe unterbreitet werden. Die Gruppe nimmt insbesondere dazu Stellung, ob die ihr unterbreiteten Vorhaben mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Sie holt die Stellungnahmen der betreffenden Personen oder ihrer Vertreter ein, falls ihr das angebracht erscheint. Die Kommission kann dafür Sorge tragen, daß die Verhaltensregeln, zu denen die Gruppe eine positive Stellungnahme abgegeben hat, in geeigneter Weise veröffentlicht werden. KAPITEL VI KONTROLLSTELLE UND GRUPPE FÜR DEN SCHUTZ VON PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN Artikel 28 Kontrollstelle (1) Die Mitgliedstaaten sehen vor, daß eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in völliger Unabhängigkeit wahr. (2) Die Mitgliedstaaten sehen vor, daß die Kontrollstellen bei der Ausarbeitung von Verwaltungsmaßnahmen oder -vorschriften bezüglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehört werden. (3) Jede Kontrollstelle verfügt insbesondere über - Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfuellung ihres Kontrollauftrags erforderlichen Informationen; - wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den Verantwortlichen der Verarbeitung zu richten oder die Parlamente oder andere politische einzelstaatliche Institutionen zu befassen; - das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie. Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen. (4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die Person ist darüber zu informieren, wie mit der Eingabe verfahren wurde. Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befaßt werden, die Rechtmäßigkeit einer Verarbeitung zu überprüfen, wenn einzelstaatliche Vorschriften gemäß Artikel 13 Anwendung finden. Die Person ist unter allen Umständen darüber zu unterrichten, daß eine Überprüfung stattgefunden hat. (5) Jede Kontrollstelle legt regelmäßig einen Bericht über ihre Tätigkeit vor. Dieser Bericht wird veröffentlicht. (6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 eingeräumten Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausübung ihrer Befugnisse ersucht werden. Die Kontrollstellen sorgen für die zur Erfuellung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen. (7) Die Mitgliedstaaten sehen vor, daß die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen. Artikel 29 Datenschutzgruppe (1) Es wird eine Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt (nachstehend "Gruppe" genannt). Die Gruppe ist unabhängig und hat beratende Funktion. (2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die für die Institutionen und Organe der Gemeinschaft eingerichtet sind, sowie einem Vertreter der Kommission. Jedes Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so ernennen diese einen gemeinsamen Vertreter. Gleiches gilt für die Stellen, die für die Institutionen und die Organe der Gemeinschaft eingerichtet sind. (3) Die Gruppe beschließt mit der einfachen Mehrheit der Vertreter der Kontrollstellen. (4) Die Gruppe wählt ihren Vorsitzenden. Die Dauer der Amtszeit des Vorsitzenden beträgt zwei Jahre. Wiederwahl ist möglich. (5) Die Sekretariatsgeschäfte der Gruppe werden von der Kommission wahrgenommen. (6) Die Gruppe gibt sich eine Geschäftsordnung. (7) Die Gruppe prüft die Fragen, die der Vorsitzende von sich aus oder auf Antrag eines Vertreters der Kontrollstellen oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat. Artikel 30 (1) Die Gruppe hat die Aufgabe, a) alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu prüfen, um zu einer einheitlichen Anwendung beizutragen; b) zum Schutzniveau in der Gemeinschaft und in Drittländern gegenüber der Kommission Stellung zu nehmen; c) die Kommission bei jeder Vorlage zur Änderung dieser Richtlinie, zu allen Vorhaben zusätzlicher oder spezifischer Maßnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zu allen anderen Gemeinschaftsvorhaben zu beraten, die sich auf diese Rechte und Freiheiten auswirken; d) Stellungnahmen zu den auf Gemeinschaftsebene erarbeiteten Verhaltensregeln abzugeben. (2) Stellt die Gruppe fest, daß sich im Bereich des Schutzes von Personen bei der Verarbeitung personenbezogener Daten zwischen den Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft beeinträchtigen könnten, so teilt sie dies der Kommission mit. (3) Die Gruppe kann von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen. (4) Die Stellungnahmen und Empfehlungen der Gruppe werden der Kommission und dem in Artikel 31 genannten Ausschuß übermittelt. (5) Die Kommission teilt der Gruppe mit, welche Konsequenzen sie aus den Stellungnahmen und Empfehlungen gezogen hat. Sie erstellt hierzu einen Bericht, der auch dem Europäischen Parlament und dem Rat übermittelt wird. Dieser Bericht wird veröffentlicht. (6) Die Gruppe erstellt jährlich einen Bericht über den Stand des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittländern, den sie der Kommission, dem Europäischen Parlament und dem Rat übermittelt. Dieser Bericht wird veröffentlicht. KAPITEL VII GEMEINSCHAFTLICHE DURCHFÜHRUNGSMASSNAHMEN Artikel 31 Ausschußverfahren (1) Die Kommission wird von einem Ausschuß unterstützt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem der Vertreter der Kommisson den Vorsitz führt. (2) Der Vertreter der Kommission unterbreitet dem Ausschuß einen Entwurf der zu treffenden Maßnahmen. Der Ausschuß gibt seine Stellungnahme zu diesem Entwurf innerhalb einer Frist ab, die der Vorsitzende unter Berücksichtigung der Dringlichkeit der betreffenden Frage festsetzen kann. Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148 Absatz 2 des Vertrags vorgesehen ist. Bei der Abstimmung im Ausschuß werden die Stimmen der Vertreter der Mitgliedstaaten gemäß dem vorgenannten Artikel gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil. Die Kommission erläßt die beabsichtigten Maßnahmen, wenn sie mit der Stellungnahme des Ausschusses übereinstimmen. Stimmen die beabsichtigten Maßnahmen mit der Stellungnahme des Ausschusses nicht überein oder liegt keine Stellungnahme vor, so unterbreitet die Kommission dem Rat unverzüglich einen Vorschlag für die zu treffenden Maßnahmen. Der Rat beschließt mit qualifizierter Mehrheit. Hat der Rat nach Ablauf einer Frist von drei Monaten von seiner Befassung an keinen Beschluß gefaßt, so werden die vorgeschlagenen Maßnahmen von der Kommission erlassen. SCHLUSSBESTIMMUNGEN Artikel 32 (1) Die Mitgliedstaaten erlassen die erforderlichen Rechts- und Verwaltungsvorschriften, um dieser Richtlinie binnen drei Jahren nach ihrer Annahme nachzukommen. Wenn die Mitgliedstaaten Vorschriften nach Unterabsatz 1 erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme. (2) Die Mitgliedstaaten tragen dafür Sorge, daß Verarbeitungen, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits begonnen wurden, binnen drei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht werden. Abweichend von Unterabsatz 1 können die Mitgliedstaaten vorsehen, daß die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits in manuellen Dateien enthalten sind, binnen zwölf Jahren nach Annahme dieser Richtlinie mit den Artikeln 6, 7 und 8 in Einklang zu bringen sind. Die Mitgliedstaaten gestatten jedoch, daß der Betroffene auf Antrag und insbesondere bei Ausübung des Zugangsrechts die Berichtigung, Löschung oder Sperrung von Daten erreichen kann, die unvollständig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom Verantwortlichen der Verarbeitung verfolgten rechtmäßigen Zwecken unvereinbar ist. (3) Abweichend von Absatz 2 können die Mitgliedstaaten vorbehaltlich geeigneter Garantien vorsehen, daß Daten, die ausschließlich zum Zweck der historischen Forschung aufbewahrt werden, nicht mit den Artikeln 6, 7 und 8 in Einklang gebracht werden müssen. (4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der innerstaatlichen Vorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen. Artikel 33 (1) Die Kommission legt dem Europäischen Parlament und dem Rat regelmäßig, und zwar erstmals drei Jahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht über die Durchführung dieser Richtlinie vor und fügt ihm gegebenenfalls geeignete Änderungsvorschläge bei. Dieser Bericht wird veröffentlicht. (2) Die Kommission prüft insbesondere die Anwendung dieser Richtlinie auf die Verarbeitung personenbezogener Bild- und Tondaten und unterbreitet geeignete Vorschläge, die sich unter Berücksichtigung der Entwicklung der Informationstechnologie und der Arbeiten über die Informationsgesellschaft als notwendig erweisen könnten. Artikel 34 Diese Richtlinie ist an alle Mitgliedstaaten gerichtet. Geschehen zu . . . Für das Europäische Parlament Der Präsident Im Namen des Rates Der Präsident (1) ABl. Nr. C 277 vom 5. 11. 1990, S. 3, und ABl. Nr. C 311 vom 27. 11. 1992, S. 38. (2) ABl. Nr. C 159 vom 17. 6. 1991, S. 38. (3) Stellungnahme des Europäischen Parlaments vom . . . (noch nicht im Amtsblatt veröffentlicht), gemeinsamer Standpunkt des Rates vom . . . (noch nicht im Amtsblatt veröffentlicht) und Beschluß des Europäischen Parlaments vom . . .(noch nicht im Amtsblatt veröffentlicht). (4) ABl. Nr. L 197 vom 18. 7. 1987, S. 33. BEGRÜNDUNG DES RATES I. Einleitung Die Kommission hat am 18. Juli 1990 einen auf die Artikel 100a und 113 des Vertrags gestützten Vorschlag für eine Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten vorgelegt. Das Europäische Parlament hat seine Stellungnahme in erster Lesung am 11. März 1992 abgegeben und dabei zahlreiche Abänderungen am Kommissionsvorschlag vorgeschlagen. Der Wirtschafts- und Sozialausschuß hat am 24. April 1991 Stellung genommen. Unter Berücksichtigung dieser Stellungnahmen hat die Kommission am 15. Oktober 1992 einen geänderten Richtlinienvorschlag vorgelegt. Am 20. Februar 1995 hat der Rat seinen gemeinsamen Standpunkt gemäß Artikel 189b Absatz 2 des Vertrags festgelegt. II. Ziele Der Richtlinienvorschlag ist Teil der klaren und konstanten rechtlichen Rahmenbedingungen, die für eine aus der Sicht des Europäischen Bürgers annehmbare Entwicklung der Informationsgesellschaft unerläßlich sind. Er zielt im einzelnen darauf ab, den freien Verkehr personenbezogener Daten innerhalb der Gemeinschaft sicherzustellen und Wettbewerbsverzerrungen und dadurch mögliche Risiken einer Standortverlagerung zu beseitigen; hierzu wird in allen Mitgliedstaaten ein gleichwertiger hoher Schutz natürlicher Personen bei der Verarbeitung dieser Daten eingerichtet. Dieses hohe Schutzniveau wird zum einen durch die Pflichten sichergestellt, die den Personen, Behörden, Unternehmen oder Verbänden und sonstigen Zusammenschlüssen obliegen, die in ihrem Verantwortungsbereich eine Verarbeitung vornehmen, und zum anderen durch die Rechte der natürlichen Personen, deren Daten Gegenstand einer Verarbeitung sind. Die Pflichten der Verantwortlichen betreffen insbesondere die Qualität der Daten, deren Verwendung einem bestimmten, unter dem Gesichtspunkt der Zulässigkeit der Verarbeitung berechtigten Zweck entsprechen muß (wobei einer diese Zulässigkeitsaspekte die Einwilligung der betroffenen Personen sein kann), die technische Sicherheit zur Verhinderung eines unbefugten Zugriffs auf die Dateien sowie die Meldung der Verarbeitung bei der einzelstaatlichen Kontrollstelle. Die Rechte der betroffenen Personen umfassen das Recht, unter bestimmten Umständen Auskunft über Verarbeitungen zu erhalten, die mit den sie betreffenden Daten vorgenommen werden, Zugang zu diesen Daten erhalten zu können und bei offensichtlich falschen Daten ihre Berichtigung zu verlangen bzw. Widerspruch gegen die Verarbeitung einlegen zu können. III. Analyse des gemeinsamen Standpunkts A. Allgemeine Bemerkungen Der gemeinsame Standpunkt trägt den vom Europäischen Parlament in erster Lesung vorgebrachten Anliegen weitgehend Rechnung. Insbesondere wurde ein wesentlicher Abänderungsvorschlag des Parlaments übernommen, wonach auf die förmliche Unterscheidung zwischen den für den öffentlichen Sektor und den für den Privatsektor geltenden Vorschriften verzichtet wird; dementsprechend wurde der Text vollständig umgestaltet (Abänderungen Nrn. 7 bis 29, 39 bis 41, 118 und 119). Auch die Überlegung des Parlaments, für die Verwirklichung des Schutzes einen weiten, die verschiedenen Möglichkeiten der Datenverwendung abdeckenden Begriff zu verwenden, wurde in den gemeinsamen Standpunkt übernommen. Hierzu wurde der Begriff der Verarbeitung gewählt. Der Begriff "file" (engl. = Kartei) wird jetzt nur noch für manuelle Daten verwendet. Das Europäische Parlament hatte die Auffassung vertreten, daß dieser Begriff überholt und im Zusammenhang mit der Entwicklung von Informatisierung und Telekommunikation nicht relevant sei. Darüber hinaus dienen zahlreiche Änderungen der Präzisierung oder Vereinfachung des Textes oder einer Flexibilisierung; hierdurch wird in den Mitgliedstaaten ein gleichwertiges Schutznivau gewährleistet, ohne daß es zu einer Absenkung des Schutzniveaus kommen dürfte, da diese Flexibilität unter Berücksichtigung des extrem weiten Spektrums der Besonderheiten von Systemen zur Verarbeitung personenbezogener Daten eine effiziente und unbürokratische Anwendung der allgemeinen Grundsätze ermöglicht. Schließlich sei darauf hingewiesen, daß der Rat und die Kommission den Artikel 100a als hinreichende Rechtsgrundlage für die Richtlinie angesehen und dementsprechend den von der Kommission ebenfalls als Rechtsgrundlage vorgeschlagenen Artikel 113 in deren geändertem Vorschlag nicht berücksichtigt haben. Der Rat hat nämlich die Auffassung vertreten, daß mit den Artikeln 25 und 26 dieser Richtlinie, die die Weitergabe personenbezogener Daten in Drittländer betreffen, kein handelspolitisches Ziel an sich verfolgt wird. Hierbei handelt es sich vielmehr insofern um eine einfache Folge der übrigen Artikel der Richtlinie, mit denen sie untrennbar verbunden sind, als sie auf eine gewisse "Undurchlässigkeit" des Systems abzielen und gleichzeitig "Nachlässigkeiten" bei der Weitergabe personenbezogener Daten in Drittländer verhindern. B. Spezifische Bemerkungen 1. Bei dem gemeinsamen Standpunkt berücksichtigte Änderungen des Europäischen Parlaments äBOà>i) Definitionen (Artikel 2) Die Phase des Erhebens der Daten sowie die verschiedenen Formen ihrer Übermittlung wurden in die Definition der Verarbeitung aufgenommen (Abänderungen Nrn. 10, 15, 16 und 34). An der Definition für personenbezogene Daten wurden Präzisierungen vorgenommen (Abänderung Nr. 12). Die Definitionen für Dritte und Auftragsverarbeiter wurden eingefügt (Abänderungen Nrn. 18 und 134). ii) Grundsätze in bezug auf die Qualität der Daten (Artikel 6) Die Abweichung von dem Grundsatz einer maximalen Dauer der Aufbewahrung der Daten nach Maßgabe der Verarbeitungszwecke wurde in bezug auf Daten eingeführt, die für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden (Abänderung Nr. 60). Die Zwecksetzung einer Datensammlung muß bekannt sein, bevor die Sammlung realisiert wird (Abänderung Nr. 59). iii) Besondere Kategorien der Verarbeitung (Artikel 8) Für die Verarbeitung personenbezogener Daten durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, wird eine Sonderregelung zugestanden, wenn diese Verarbeitung empfindliche Daten der Mitglieder der betreffenden Organisation betrifft und andernfalls untersagt werden müßte (Abänderung Nr. 149). Der Wunsch des Europäischen Parlaments nach Einführung von mehr Flexibilität in bezug auf die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen usw. betreffen, ist durch die derzeitige Fassung abgedeckt (Abänderung Nr. 65). Es ist Sache der Mitgliedstaaten zu bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen (Abänderung Nr. 65). iv) Rechte der betroffenen Person (Artikel 10, 11, 12, 14, 15 und 22) Die Rechte der betroffenen Person wurden gestärkt und präzisiert; insbesondere - wurde das Auskunftsrecht ausgedehnt auf das Recht auf Auskunft über die Herkunft der Daten sowie über den logischen Aufbau mancher automatisierter Verarbeitungen (Abänderungen Nrn. 46 und 48); - muß das Recht auf Zugang ohne irgendwelchen Zwang von seiten eines Dritten ausgeübt werden können (Abänderung Nr. 132); - kann das Widerspruchsrecht der betroffenen Person jederzeit und insbesondere in bezug auf eine Verarbeitung für Zwecke der Direktwerbung ausgeübt werden (Abänderungen Nrn. 30 und 145); - wurden die von den Mitgliedstaaten vorzusehenden Einspruchsmöglichkeiten auf alle Rechte ausgedehnt, die durch die Richtlinie gewährleistet sind; in diesem Zusammenhang ist darauf hinzuweisen, daß die Forderung des Europäischen Parlaments, daß Sanktionen auch gegen Verantwortliche des öffentlichen Sektors verhängt werden können, in den Erwägungsgrund 55 aufgenommen wurde (Abänderungen Nrn. 52 und 77). v) Meldung der Verarbeitung und vorherige Prüfung durch die Kontrollstelle (Artikel 18, 19 und 20) In dem Bestreben, für weniger Bürokratie und mehr Effizienz Sorge zu tragen, wurde das Meldeverfahren selektiver gestaltet; Möglichkeiten für Ausnahmen von der Meldepflicht oder für eine Vereinfachung des Meldeverfahrens werden den Mitgliedstaaten insbesondere dann geboten, wenn eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Person durch die Verarbeitung unwahrscheinlich ist oder die Verarbeitung durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Organisation vorgenommen wird (Abänderung Nr. 149). Diese Freistellungen oder Vereinfachungen können in der Praxis für eine ganze Reihe von Verarbeitungen erfolgen (insbesondere in den vom Europäischen Parlament in seiner Abänderung Nr. 23 vorgesehenen Fällen). Im übrigen wurde der Grundsatz übernommen, daß eine Prüfung durch die Kontrollstelle erfolgen muß, bevor Verarbeitungen durchgeführt werden, die spezifische Risiken für die Rechte und Freiheit der Personen aufweisen; Beispiele für derartige vom Europäischen Parlament gemeinte Verarbeitungen sind als Hinweise in den Erwägungsgründen enthalten (Abänderungen Nrn. 40, 42, 118 und 119). Dieser Ansatz soll es den Mitgliedstaaten ermöglichen, die Verfahren an die einzelstaatlichen Besonderheiten anzupassen, die mit der Vielfalt der Praktiken und dem jeweils unterschiedlichen Entwicklungsstand der Datenverarbeitung unausweichlich verknüpft sind. Die für die Öffentlichkeit vorgesehene Möglichkeit einer Einsichtnahme in das von der Kontrollstelle zu führende Register der gemeldeten Verarbeitungen (Abänderungen Nrn. 37 und 39) wurde übernommen. vi) Verhaltensregeln (Artikel 27) Die Ermunterung zur Ausarbeitung von Verhaltensregeln sowohl auf einzelstaatlicher als auch auf Gemeinschaftsebene wird im Hinblick auf eine nach Maßgabe der Besonderheiten der einzelnen Bereiche vorzunehmende Anwendung der Grundsätze der Richtlinie bestätigt; außerdem können die Kontrollstellen, die Datenschutzgruppe nach Artikel 29 sowie die betroffenen Personen oder deren Vertreter an der Ausarbeitung dieser Regeln beteiligt werden (Abänderungen Nrn. 72 und 91). vii) Kontrollstellen (Artikel 28) Jeder Mitgliedstaat muß eine oder, insbesondere um der föderalen Struktur einiger Mitgliedstaaten Rechnung zu tragen, mehrere Kontrollstellen vorsehen, die beauftragt werden, die zur Umsetzung der Richtlinie erlassenen einzelstaatlichen Rechtsvorschriften zu überwachen (Abänderung Nr. 84). Die Befugnisse der Kontrollstelle können bis zur Anordnung der Sperrung, der Löschung oder Vernichtung von Daten oder des Verbots einer Verarbeitung reichen (Abänderung Nr. 86). Die Kontrollstellen müssen ihren regelmäßig zu erstellenden Bericht veröffentlichen (Abänderung Nr. 87). viii) Datenschutzgruppe (Artikel 29) Folgende vom Europäischen Parlament vorgesehene Aufgaben wurden für die Gruppe vorgesehen: - Stellungnahmen zu den in den Einzelstaaten durchgeführten Vorschriften zur Umsetzung der Richtlinie; - Stellungnahmen zum Schutzniveau in der Gemeinschaft und in den Drittländern sowie zu den Maßnahmen, die zur Wahrung der Rechte und Freiheiten der Personen zu ergreifen sind; - gegebenenfalls Stellungnahmen aus eigener Initiative. Die Kommission ist ihrerseits gehalten, einen Bericht zu erstellen und zu veröffentlichen, um die Gruppe wissen zu lassen, welche Konsequenzen sie aus ihren Stellungnahmen gezogen hat; dieser Bericht ist auch dem Europäischen Parlament und dem Rat zu übermitteln (Abänderungen Nrn. 90, 91 und 92). ix) Schlußbestimmungen (Artikel 34) Der Bericht, den die Kommission in regelmäßigen Abständen dem Rat und dem Europäischen Parlament vorzulegen hat, muß veröffentlicht werden (Abänderung Nr. 95). 2. Weitere Änderungen am Vorschlag, die in den gemeinsamen Standpunkt des Rates aufgenommen wurden i) Definitionen (Artikel 2) Es wurde eine Definition des Begriffs "Empfänger" aufgenommen, die zur Gewährleistung der Transparenz der Verarbeitungen gegenüber den betroffenen Personen von Nutzen ist. ii) In manuellen Dateien enthaltene Daten (Artikel 2 und 33) Um die Durchführung der Richtlinie in den Mitgliedstaaten zu erleichtern, in denen manuelle Daten bislang nicht dem Datenschutz unterliegen, wurde für die Anwendung bestimmter Bestimmungen der Richtlinie eine Übergangszeit von zwölf Jahren festgelegt. iii) Anwendbares einzelstaatliches Recht (Artikel 4) Der Rat hat das im Rahmen des Binnenmarkts übliche Anknüpfungskriterium bestätigt, das die Kommission vorgeschlagen hatte: das Kriterium des Niederlassungsortes des Verantwortlichen der Verarbeitung. Er hat außerdem zweckmäßige Klarstellungen hinsichtlich des Begriffs Niederlassung des Verantwortlichen der Verarbeitung (Erwägungsgrund 19), hinsichtlich der Sicherheitsauflagen für Auftragsverarbeiter in Artikel 17 und hinsichtlich der Befugnisse der Kontrollstellen im Hoheitsgebiet ihres Mitgliedstaats in Artikel 28 vorgenommen. iv) Verarbeitung empfindlicher Daten (Artikel 8) Ausnahmen vom Verbot der Verarbeitung von Daten über die rassische und ethnische Herkunft, über politische Meinungen bzw. über Gesundheit oder Sexualleben wurden zusätzlich vorgesehen, um gerechtfertigte Belange insbesondere im medizinischen und im arbeitsrechtlichen Bereich vorbehaltlich geeigneter Garantien zu erfassen. Ausnahmen, die aus Gründen des wichtigen öffentlichen Interesses zugelassen werden, sowie Ausnahmen von den Vorschriften für die Verarbeitung strafrechtlicher Daten sind der Kommission zu melden. v) Meinungsfreiheit (Artikel 9) Der Rat hat den Ansatz der Kommission bestätigt, wonach Verarbeitungen zu journalistischen Zwecken in den Anwendungsbereich der Richtlinie fallen sollen; daneben ist auch für die Verarbeitungen zu künstlerischen oder literarischen Zwecken eine Sonderregelung erforderlich, da die Meinungsfreiheit und der Schutz der Privatsphäre in diesem Bereich miteinander in Einklang gebracht werden müssen. Diese Regelung ist von den Mitgliedstaaten anzuwenden. vi) Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung Ohne der Richtlinie ihre Eigenschaft einer Rahmenrichtlinie zu nehmen, hat der Rat bei der Ausnahmeregelung für die höchstzulässige Aufbewahrungsdauer von Daten für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung (Artikel 6 Absatz 1 Buchstabe e)) zweckdienliche Präzisierungen vorgenommen; insbesondere müssen die Zwecke, zu denen die Daten ursprünglich erhoben wurden, mit den Zweckbestimmungen dieser Verarbeitungen vereinbar sein (Artikel 6 Absatz 1 Buchstabe b)). Auch die Bestimmung in Artikel 11 über die Unterrichtung der betroffenen Person wurde präzisiert. Der Geltungsbereich der möglichen Abweichung vom Recht auf Einsicht der für diese Zwecke verarbeiteten Daten wurde ausgeweitet (Artikel 13 Absatz 2). vii) Transparenz der Verarbeitungen (Artikel 10, 11 und 21) Die Pflicht zur Unterrichtung der betroffenen Person über Verarbeitungen von Daten zu ihrer Person wurde flexibler gestaltet, um der Vielfalt der Bedingungen, unter denen solche Verarbeitungen vorgenommen werden können, Rechnung zu tragen (Artikel 10 und 11). Außerdem wurde die im ehemaligen Artikel 10 des geänderten Vorschlags vorgesehene Pflicht der Mitgliedstaaten, jeder Person das Recht zuzusichern, von der Existenz einer Verarbeitung Kenntnis zu erhalten, in Artikel 21 einbezogen; dort ist nun vorgeschrieben, daß die Öffentlichkeit der Verarbeitungen gewährleistet sein muß. viii) Ausnahmen und Einschränkungen (Artikel 13, früher Artikel 14) Die in den Artikeln über die Auskunftspflichten und die Transparenz vorgesehenen Ausnahmen bzw. Einschränkungen (frühere Artikel 11, 12 und 21, d. h. neue Artikel 10, 11 und 21), die sich auf den ursprünglich nur für Ausnahmen vom Recht auf Einsichtnahme vorgesehenen Artikel 14 bezogen, wurden in diesen ehemaligen Artikeln einbezogen. Der Geltungsbereich der Ausnahmen und Einschränkungen zugunsten der in diesem Artikel genannten Interessen wurde auf den in Artikel 6 festgeschriebenen Grundsatz der Zweckbestimmung ausgedehnt. Außerdem wurde präzisiert, daß die Ausnahmen und Einschränkungen Gegenstand von Rechtsvorschriften sein müssen. Die Ausgleichsmaßnahme, d. h. die Überprüfung durch die Kontrollstelle, die die betroffene Person bei einer Beschränkung des Rechts auf Einsichtnahme beantragen kann, wurde in Artikel 28 vorgesehen. ix) Sicherheit der Verarbeitung (Artikel 16 und 17) Die Bestimmungen über die Vertraulichkeit sind in einem gesonderten Artikel niedergelegt (Artikel 16); die Bestimmungen über die Sicherheit, denen sowohl der Verantwortliche der Verarbeitung als auch sein Auftragsverarbeiter unterliegen (Artikel 17), sind einfacher formuliert worden. Die Berücksichtigung der Kosten bei den zu treffenden Maßnahmen ist wieder vorgesehen worden, wobei das Kriterium des Risikos für die Beurteilung der Angemessenheit der getroffenen Maßnahmen beibehalten wurde. x) Meldung und Vorabkontrolle (Artikel 18, 19 und 20) Bezüglich der Meldung ist die Möglichkeit von Befreiungen für Verarbeitungskategorien, bei denen eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist, vorgesehen (Kommissionsvorschlag); außerdem sind Ausnahmen für den Fall zugelassen, daß ein Datenschutzbeauftragter bestellt worden ist, der mit den beschriebenen Aufgaben betraut ist und der sicherstellt, daß die Verarbeitungen die Rechte und Freiheiten der betroffenen Personen nicht beeinträchtigen können. Was die Vorabkontrolle der Verarbeitungen anbelangt, die spezifische Risiken für die Rechte und Freiheiten der betroffenen Personen aufweisen, so kann diese Prüfung entweder von der Kontrollstelle (Kommissionsvorschlag) oder vom Datenschutzbeauftragten in Zusammenarbeit mit der Kontrollstelle vorgenommen werden. Die Kontrollstellen können entsprechend ihrem innerstaatlichen Recht nach der Vorabkontrolle eine Stellungnahme abgeben oder eine Genehmigung erteilen. Diese Melde- und Kontrollvorschriften stellen insofern einen Kompromiß dar, als sie die Gleichwertigkeit von zwei Verfahrensarten gewährleisten, die sich beide in den Mitgliedstaaten bewährt haben. xi) Drittländer (Artikel 25 und 26) Der Rat hat den von der Kommission vorgeschlagenen allgemeinen Ansatz, nämlich den Grundsatz, daß in den Drittländern ein angemessenes Schutzniveau bestehen muß und daß die Mitgliedstaaten für die Einhaltung dieses Grundsatzes Sorge tragen, bestätigt. Es sind jedoch Bestimmungen vorgesehen, mit denen eine einheitliche Durchführung der Gemeinschaftspolitik in diesem Bereich sichergestellt werden soll. Der Rat hat die Faktoren, die bei der Beurteilung des Schutzniveaus berücksichtigt werden müssen, sowie die vorzusehenden Ausnahmen präzisiert. xii) Kontrollstellen (Artikel 28) Es wurde eine systematische Anhörung der Kontrollstellen bei der Ausarbeitung innerstaatlicher Verwaltungsmaßnahmen oder -vorschriften vorgesehen. Die Beschreibung der Einwirkungsbefugnisse der Kontrollstellen hat nur hinweisenden Charaker, so daß die Mitgliedstaaten über den erforderlichen Handlungsspielraum in diesem Bereich verfügen. In bezug auf die Zusammenarbeit zwischen den Kontrollstellen bei grenzüberschreitenden Datenfluessen wurde der Text genauer formuliert. xiii) Ausschuß (Artikel 31) In bezug auf den Bereich der Übermittlung personenbezogener Daten in Drittländer, wofür der Kommission Durchführungsbefugnisse übertragen werden müssen, hat der Rat das Verfahren III Variante a) des Artikels 2 des Beschlusses 87/373/EWG vom 13. Juli 1987 vorgesehen. xiv) Schlußbestimmungen (Artikel 32 und 33) Neben der Festlegung der vorgenannten Übergangsmaßnahmen für die Anpassung der manuellen Dateien hat es sich als erforderlich erwiesen, die für die Umsetzung der Richtlinie in innerstaatliches Recht eingeräumte Frist auf drei Jahre zu verlängern. Um den technologischen Fortschritten vor allem im Rahmen der Entwicklung der Informationsgesellschaft Rechnung zu tragen, prüft die Kommission insbesondere in ihrem regelmäßig vorzulegenden Bericht die Anwendung der Richtlinie auf die Verarbeitung personenbezogener Ton- und Bilddaten.