Menu
menu
Kategorien
clear
Schriftzug zur Kampagne des Landes Sachsen-Anhalt – #moderndenken
Datenschutz in Sachsen-Anhalt

Er­wä­gungs­grün­de

DAS EU­RO­PÄI­SCHE PAR­LA­MENT UND DER RAT DER EU­RO­PÄI­SCHEN UNION —

ge­stützt auf den Ver­trag über die Ar­beits­wei­se der Eu­ro­päi­schen Union, ins­be­son­de­re auf Ar­ti­kel 16 Ab­satz 2, auf Vor­schlag der Eu­ro­päi­schen Kom­mis­si­on,

nach Zu­lei­tung des Ent­wurfs des Ge­setz­ge­bungs­akts an die na­tio­na­len Par­la­men­te, nach Stel­lung­nah­me des Aus­schus­ses der Re­gio­nen,

gemäß dem or­dent­li­chen Ge­setz­ge­bungs­ver­fah­ren, in Er­wä­gung nach­ste­hen­der Grün­de:

(1)    Der Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist ein Grund­recht. Gemäß Ar­ti­kel 8 Ab­satz 1 der Char­ta der Grund­rech­te der Eu­ro­päi­schen Union (im Fol­gen­den „Char­ta“) sowie Ar­ti­kel 16 Ab­satz 1 des Ver­trags über die Ar­beits­wei­se der Eu­ro­päi­schen Union (AEUV) hat jede Per­son das Recht auf Schutz der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten.

(2)    Die Grund­sät­ze und Vor­schrif­ten zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten soll­ten ge­währ­leis­ten, dass ihre Grund­rech­te und Grund­frei­hei­ten und ins­be­son­de­re ihr Recht auf Schutz per­so­nen­be­zo­ge­ner Daten un­ge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts ge­wahrt blei­ben. Diese Richt­li­nie soll zur Voll­endung eines Raums der Frei­heit, der Si­cher­heit und des Rechts bei­tra­gen.

(3)    Ra­sche tech­no­lo­gi­sche Ent­wick­lun­gen und die Glo­ba­li­sie­rung haben den Da­ten­schutz vor neue Her­aus­for­de­run­gen ge­stellt. Das Aus­maß der Er­he­bung und des Aus­tauschs per­so­nen­be­zo­ge­ner Daten hat ein­drucks­voll zu­ge­nom­men. Die Tech­nik macht es mög­lich, dass für die Aus­übung von Tä­tig­kei­ten wie die Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder die Straf­voll­stre­ckung in einem noch nie da­ge­we­se­nen Um­fang per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den kön­nen.

(4)    Der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten zwi­schen den zu­stän­di­gen Be­hör­den zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit in­ner­halb der Union und die Über­mitt­lung sol­cher per­so­nen­be­zo­ge­ner Daten an Dritt­län­der und in­ter­na­tio­na­le Or­ga­ni­sa­tio­nen, soll­te er­leich­tert und dabei gleich­zei­tig ein hohes Schutz­ni­veau für per­so­nen­be­zo­ge­ne Daten ge­währ­leis­tet wer­den. An­ge­sichts die­ser Ent­wick­lun­gen be­darf es des Auf­baus eines so­li­den und ko­hä­ren­te­ren Rechts­rah­mens für den Schutz per­so­nen­be­zo­ge­ner Daten in der Union, die kon­se­quent durch­ge­setzt wer­den.

(5)    Die Richt­li­nie 95/46/EG des Eu­ro­päi­schen Par­la­ments und des Rates gilt für jeg­li­che Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in den Mit­glied­staa­ten so­wohl im öf­fent­li­chen als auch im pri­va­ten Be­reich. Aus­ge­nom­men ist je­doch die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die für die Aus­übung von Tä­tig­kei­ten er­folgt, die nicht in den An­wen­dungs­be­reich des Ge­mein­schafts­rechts fal­len, bei­spiels­wei­se im Be­reich der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit.

(6)    Für den Be­reich der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit gilt der Rah­men­be­schluss 2008/977/JI des Rates. Der An­wen­dungs­be­reich die­ses Rah­men­be­schlus­ses be­schränkt sich auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die zwi­schen Mit­glied­staa­ten wei­ter­ge­ge­ben oder be­reit­ge­stellt wer­den.

(7)    Für den Zweck der wirk­sa­men jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit ist es ent­schei­dend, ein ein­heit­li­ches und hohes Schutz­ni­veau für die per­so­nen­be­zo­ge­nen Daten na­tür­li­cher Per­so­nen zu ge­währ­leis­ten und den Aus­tausch per­so­nen­be­zo­ge­ner Daten zwi­schen den zu­stän­di­gen Be­hör­den der Mit­glied­staa­ten zu er­leich­tern. Im Hin­blick dar­auf soll­te dafür ge­sorgt wer­den, dass die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch zu­stän­di­ge Be­hör­den zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, in allen Mit­glied­staa­ten gleich­wer­tig ge­schützt wer­den. Ein uni­ons­wei­ter wirk­sa­mer Schutz per­so­nen­be­zo­ge­ner Daten er­for­dert die Stär­kung der Rech­te der be­trof­fe­nen Per­so­nen und eine Ver­schär­fung der Ver­pflich­tun­gen für die­je­ni­gen, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, und auch gleich­wer­ti­ge Be­fug­nis­se der Mit­glied­staa­ten bei der Über­wa­chung und Ge­währ­leis­tung der Ein­hal­tung der Vor­schrif­ten zum Schutz per­so­nen­be­zo­ge­ner Daten.

(8)    Ar­ti­kel 16 Ab­satz 2 AEUV er­mäch­tigt das Eu­ro­päi­sche Par­la­ment und den Rat, Vor­schrif­ten über den Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten zu er­las­sen.

(9)    Auf die­ser Grund­la­ge sind in der Ver­ord­nung (EU) 2016/679 des Eu­ro­päi­schen Par­la­ments und des Rates all­ge­mei­ne Be­stim­mun­gen für den Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten in der Union nie­der­ge­legt.

(10)    In der Er­klä­rung Nr. 21 zum Schutz per­so­nen­be­zo­ge­ner Daten im Be­reich der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit im An­hang zur Schluss­ak­te der Re­gie­rungs­kon­fe­renz, die den Ver­trag von Lis­sa­bon an­nahm, er­kann­te die Re­gie­rungs­kon­fe­renz an, dass es sich auf­grund der Be­son­der­hei­ten die­ser Be­rei­che als er­for­der­lich er­wei­sen könn­te, auf Ar­ti­kel 16 AEUV ge­stütz­te spe­zi­fi­sche Vor­schrif­ten über den Schutz per­so­nen­be­zo­ge­ner Daten und den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten im Be­reich der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit zu er­las­sen.

(11)    Daher soll­te die­sen Be­rei­chen durch eine Richt­li­nie Rech­nung ge­tra­gen wer­den, die spe­zi­fi­sche Vor­schrif­ten zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zu­stän­di­gen Be­hör­den zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, ent­hält, wobei den Be­son­der­hei­ten die­ser Tä­tig­kei­ten Rech­nung ge­tra­gen wird. Diese zu­stän­di­gen Be­hör­den kön­nen nicht nur staat­li­che Stel­len wie die Jus­tiz­be­hör­den, die Po­li­zei oder an­de­re Straf­ver­fol­gungs­be­hör­den ein­schlie­ßen, son­dern auch alle an­de­ren Stel­len oder Ein­rich­tun­gen, denen durch das Recht der Mit­glied­staa­ten die Aus­übung öf­fent­li­cher Ge­walt und ho­heit­li­cher Be­fug­nis­se für die Zwe­cke die­ser Richt­li­nie über­tra­gen wurde. Wenn sol­che Stel­len oder Ein­rich­tun­gen je­doch per­so­nen­be­zo­ge­ne Daten zu an­de­ren Zwe­cken als denen die­ser Richt­li­nie ver­ar­bei­ten, gilt die Ver­ord­nung (EU) 2016/679. Daher gilt die Ver­ord­nung (EU) 2016/679 in Fäl­len, in denen eine Stel­le oder Ein­rich­tung per­so­nen­be­zo­ge­ne Daten zu an­de­ren Zwe­cken er­hebt und diese per­so­nen­be­zo­ge­nen Daten zur Er­fül­lung einer recht­li­chen Ver­pflich­tung, der sie un­ter­liegt, wei­ter­ver­ar­bei­tet. Zum Bei­spiel spei­chern Fi­nanz­in­sti­tu­te zum Zwe­cke der Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten be­stimm­te personen­bezogene Daten, die sie ver­ar­bei­ten, und stel­len sie nur den zu­stän­di­gen na­tio­na­len Be­hör­den in be­stimm­ten Fäl­len und in Ein­klang mit dem Recht der Mit­glied­staa­ten zur Ver­fü­gung. Eine Stel­le oder Ein­rich­tung, die per­so­nen­be­zo­ge­ne Daten im Rah­men des An­wen­dungs­be­reichs die­ser Richt­li­nie für sol­che Be­hör­den ver­ar­bei­tet, soll­te auf Grund­la­ge eines Ver­trags oder eines an­de­ren Rechts­in­stru­ments und durch die für Auf­trags­ver­ar­bei­ter nach die­ser Richt­li­nie gel­ten­den Be­stim­mun­gen ge­bun­den sein, wobei die An­wen­dung der Ver­ord­nung (EU) 2016/679 in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die der Auf­trags­ver­ar­bei­ter au­ßer­halb des An­wen­dungs­be­reichs die­ser Richt­li­nie durch­führt, un­be­rührt bleibt.

(12)    Die Tä­tig­kei­ten der Po­li­zei oder an­de­rer Straf­ver­fol­gungs­be­hör­den sind haupt­säch­lich auf die Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten aus­ge­rich­tet, dazu zäh­len auch po­li­zei­li­che Tä­tig­kei­ten in Fäl­len, in denen nicht von vorn­her­ein be­kannt ist, ob es sich um Straf­ta­ten han­delt oder nicht. Sol­che Tä­tig­kei­ten kön­nen fer­ner die Aus­übung ho­heit­li­cher Ge­walt durch Er­grei­fung von Zwangs­mit­teln um­fas­sen, wie po­li­zei­li­che Tä­tig­kei­ten bei De­mons­tra­tio­nen, gro­ßen Sport­ver­an­stal­tun­gen und Aus­schrei­tun­gen. Sie um­fas­sen auch die Auf­recht­erhal­tung der öf­fent­li­chen Ord­nung als Auf­ga­be, die der Po­li­zei oder an­de­ren Straf­ver­fol­gungs­be­hör­den über­tra­gen wurde, so­weit dies zum Zweck des Schut­zes vor und der Ab­wehr von Be­dro­hun­gen der öf­fent­li­chen Si­cher­heit und Be­dro­hun­gen für durch Rechts­vor­schrif­ten ge­schütz­te grund­le­gen­de In­ter­es­sen der Ge­sell­schaft, die zu einer Straf­tat füh­ren kön­nen, er­for­der­lich ist. Die Mit­glied­staa­ten kön­nen die zu­stän­di­gen Be­hör­den mit an­de­ren Auf­ga­ben be­trau­en, die nicht zwangs­läu­fig für die Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, aus­ge­führt wer­den, so dass die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für diese an­de­ren Zwe­cke in­so­weit in den An­wen­dungs­be­reich der Ver­ord­nung (EU) 2016/679 fällt, als sie in den An­wen­dungs­be­reich des Uni­ons­rechts fällt.

(13)    Eine Straf­tat im Sinne die­ser Richt­li­nie soll­te ein ei­gen­stän­di­ger Be­griff des Uni­ons­rechts in der Aus­le­gung durch den Ge­richts­hof der Eu­ro­päi­schen Union (im Fol­gen­den „Ge­richts­hof“) sein.

(14)    Da diese Richt­li­nie nicht für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten gel­ten soll­te, die im Rah­men einer nicht unter das Uni­ons­recht fal­len­den Tä­tig­keit er­folgt, soll­ten die na­tio­na­le Si­cher­heit be­tref­fen­de Tä­tig­kei­ten, Tä­tig­kei­ten von Agen­tu­ren oder Stel­len, die mit Fra­gen der na­tio­na­len Si­cher­heit be­fasst sind, und die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die von den Mit­glied­staa­ten bei Tä­tig­kei­ten vor­ge­nom­men wird, die in den An­wen­dungs­be­reich des Ti­tels V Ka­pi­tel 2 des Ver­trags über die Eu­ro­päi­sche Union (EUV) fal­len, nicht als Tä­tig­kei­ten be­trach­tet wer­den, die in den An­wen­dungs­be­reich die­ser Richt­li­nie fal­len.

(15)    Um zu ge­währ­leis­ten, dass na­tür­li­che Per­so­nen in der Union auf der Grund­la­ge uni­ons­weit durch­setz­ba­rer Rech­te das glei­che Maß an Schutz ge­nie­ßen und Un­ter­schie­de, die den Aus­tausch per­so­nen­be­zo­ge­ner Daten zwi­schen den zu­stän­di­gen Be­hör­den be­hin­dern könn­ten, be­sei­tigt wer­den, soll­te diese Richt­li­nie har­mo­ni­sier­te Vor­schrif­ten für den Schutz und den frei­en Ver­kehr per­so­nen­be­zo­ge­ner Daten fest­le­gen, die zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, ver­ar­bei­tet wer­den. Die An­glei­chung der Rechts­vor­schrif­ten der Mit­glied­staa­ten soll­te nicht zu einer Lo­cke­rung des Schut­zes per­so­nen­be­zo­ge­ner Daten in die­sen Län­dern füh­ren, son­dern viel­mehr auf ein hohes Schutz­ni­veau in der ge­sam­ten Union ab­stel­len. Die Mit­glied­staa­ten soll­ten nicht daran ge­hin­dert wer­den, zum Schutz der Rech­te und Frei­hei­ten der be­trof­fe­nen Per­son bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zu­stän­di­gen Be­hör­den Ga­ran­tien fest­zu­le­gen, die stren­ger sind als die Ga­ran­tien die­ser Richt­li­nie.

(16)    Diese Richt­li­nie be­rührt nicht den Grund­satz des Zu­gangs der Öf­fent­lich­keit zu amt­li­chen Do­ku­men­ten. Gemäß der Ver­ord­nung (EU) 2016/679 kön­nen per­so­nen­be­zo­ge­ne Daten in amt­li­chen Do­ku­men­ten, die sich im Be­sitz einer öf­fent­li­chen Be­hör­de oder einer öf­fent­li­chen oder pri­va­ten Ein­rich­tung zur Er­fül­lung einer im öf­fent­li­chen In­ter­es­se lie­gen­den Auf­ga­be be­fin­den, von der Be­hör­de oder der Ein­rich­tung gemäß dem Uni­ons­recht oder dem Recht des Mit­glied­staats, dem die öf­fent­li­che Be­hör­de oder Ein­rich­tung un­ter­liegt, of­fen­ge­legt wer­den, um den Zu­gang der Öf­fent­lich­keit zu amt­li­chen Do­ku­men­ten mit dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten in Ein­klang zu brin­gen.

(17)    Der durch diese Richt­li­nie ge­währ­te Schutz soll­te für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten na­tür­li­cher Per­so­nen un­ge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gel­ten.

(18)    Um ein ernst­haf­tes Ri­si­ko einer Um­ge­hung der Vor­schrif­ten zu ver­mei­den, soll­te der Schutz na­tür­li­cher Per­so­nen tech­no­lo­gie­neu­tral sein und nicht von den ver­wen­de­ten Tech­ni­ken ab­hän­gen. Er soll­te für die au­to­ma­ti­sier­te Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten eben­so gel­ten wie für die ma­nu­el­le Ver­ar­bei­tung, wenn die per­so­nen­be­zo­ge­nen Daten in einem Da­tei­sys­tem ge­spei­chert sind oder ge­spei­chert wer­den sol­len. Akten oder Ak­ten­samm­lun­gen sowie ihre Deck­blät­ter, die nicht nach be­stimm­ten Kri­te­ri­en ge­ord­net sind, soll­ten nicht in den An­wen­dungs­be­reich der Richt­li­nie fal­len.

(19)    Die Ver­ord­nung (EG) Nr. 45/2001 des Eu­ro­päi­schen Par­la­ments und des Rates gilt für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Or­ga­ne, Ein­rich­tun­gen, Ämter und Agen­tu­ren der Union. Die Ver­ord­nung (EG) Nr. 45/2001 und sons­ti­ge Rechts­ak­te der Union, die diese Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten re­geln, soll­ten an die Grund­sät­ze und Vor­schrif­ten gemäß der Ver­ord­nung (EU) 2016/679 an­ge­passt wer­den.

(20)    Diese Richt­li­nie hin­dert die Mit­glied­staa­ten nicht daran, in den na­tio­na­len Vor­schrif­ten für Straf­ver­fah­ren Ver­ar­bei­tungs­vor­gän­ge und Ver­ar­bei­tungs­ver­fah­ren bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch Ge­rich­te und an­de­re Jus­tiz­be­hör­den fest­zu­le­gen, ins­be­son­de­re in Bezug auf per­so­nen­be­zo­ge­ne Daten in einer ge­richt­li­chen Ent­schei­dung oder in Do­ku­men­ten be­tref­fend Straf­ver­fah­ren.

(21)    Die Grund­sät­ze des Da­ten­schut­zes soll­ten für alle In­for­ma­tio­nen gel­ten, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Per­son be­zie­hen. Um fest­zu­stel­len, ob eine na­tür­li­che Per­son iden­ti­fi­zier­bar ist, soll­ten alle Mit­tel be­rück­sich­tigt wer­den, die von dem Ver­ant­wort­li­chen oder einer an­de­ren Per­son nach all­ge­mei­nem Er­mes­sen wahr­schein­lich ge­nutzt wer­den, um die na­tür­li­che Per­son di­rekt oder in­di­rekt zu iden­ti­fi­zie­ren, wie bei­spiels­wei­se das Aus­son­dern. Bei der Fest­stel­lung, ob Mit­tel nach all­ge­mei­nem Er­mes­sen wahr­schein­lich zur Iden­ti­fi­zie­rung der na­tür­li­chen Per­son ge­nutzt wer­den, soll­ten alle ob­jek­ti­ven Fak­to­ren, wie die Kos­ten der Iden­ti­fi­zie­rung und der dafür er­for­der­li­che Zeit­auf­wand, her­an­ge­zo­gen wer­den, wobei die zum Zeit­punkt der Ver­ar­bei­tung ver­füg­ba­re Tech­no­lo­gie und tech­no­lo­gi­schen Ent­wick­lun­gen zu be­rück­sich­ti­gen sind. Die Grund­sät­ze des Da­ten­schut­zes soll­ten daher nicht für an­ony­me In­for­ma­tio­nen gel­ten, d. h. für In­for­ma­tio­nen, die sich nicht auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Per­son be­zie­hen, oder per­so­nen­be­zo­ge­ne Daten, die in einer Weise an­ony­mi­siert wor­den sind, dass die be­trof­fe­ne Per­son nicht mehr iden­ti­fi­ziert wer­den kann.

(22)    Be­hör­den, ge­gen­über denen per­so­nen­be­zo­ge­ne Daten auf­grund einer recht­li­chen Ver­pflich­tung für die Aus­übung ihres of­fi­zi­el­len Auf­trags of­fen­ge­legt wer­den, wie Steuer-​ und Zoll­be­hör­den, Fi­nanz­ermitt­lungs­stel­len, un­ab­hän­gi­ge Ver­wal­tungs­be­hör­den oder Fi­nanz­markt­be­hör­den, die für die Re­gu­lie­rung und Auf­sicht von Wert­pa­pier­märk­ten zu­stän­dig sind, soll­ten nicht als Emp­fän­ger gel­ten, wenn sie per­so­nen­be­zo­ge­ne Daten er­hal­ten, die für die Durch­füh­rung — gemäß dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten — eines ein­zel­nen Un­ter­su­chungs­auf­trags im In­ter­es­se der All­ge­mein­heit er­for­der­lich sind. An­trä­ge auf Of­fen­le­gung, die von Be­hör­den aus­ge­hen, soll­ten immer schrift­lich er­fol­gen, mit Grün­den ver­se­hen sein und ge­le­gent­li­chen Cha­rak­ter haben, und sie soll­ten nicht voll­stän­di­ge Da­tei­sys­te­me be­tref­fen oder zur Ver­knüp­fung von Da­tei­sys­te­men füh­ren. Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die ge­nann­ten Be­hör­den soll­te für die Zwe­cke der Ver­ar­bei­tung gel­ten­den Da­ten­schutz­vor­schrif­ten ent­spre­chen.

(23)    Ge­ne­ti­sche Daten soll­ten als per­so­nen­be­zo­ge­ne Daten über die er­erb­ten oder er­wor­be­nen ge­ne­ti­schen Ei­gen­schaf­ten einer na­tür­li­chen Per­son de­fi­niert wer­den, die ein­deu­ti­ge In­for­ma­tio­nen über die Phy­sio­lo­gie oder die Ge­sund­heit die­ser na­tür­li­chen Per­son lie­fern und die aus der Ana­ly­se einer bio­lo­gi­schen Probe der be­tref­fen­den na­tür­li­chen Per­son, ins­be­son­de­re durch eine Chromosomen-​, Des­oxy­ri­bo­nu­kle­in­säu­re (DNS)- oder Ri­bo­nu­kle­in­säu­re (RNS)-​Analyse oder der Ana­ly­se eines an­de­ren Ele­ments, durch die gleich­wer­ti­ge In­for­ma­tio­nen er­langt wer­den kön­nen, ge­won­nen wer­den. An­ge­sichts der Kom­ple­xi­tät und Sen­si­bi­li­tät ge­ne­ti­scher In­for­ma­tio­nen be­steht ein hohes Missbrauchs-​ und Wie­der­ver­wen­dungs­ri­si­ko für un­ter­schied­li­che Zwe­cke durch den Ver­ant­wort­li­chen. Jede Dis­kri­mi­nie­rung auf­grund ge­ne­ti­scher Merk­ma­le soll­te grund­sätz­lich ver­bo­ten sein.

(24)    Zu den per­so­nen­be­zo­ge­nen Ge­sund­heits­da­ten soll­ten alle Daten zäh­len, die sich auf den Ge­sund­heits­zu­stand einer be­trof­fe­nen Per­son be­zie­hen und aus denen In­for­ma­tio­nen über den frü­he­ren, ge­gen­wär­ti­gen und künf­ti­gen kör­per­li­chen oder geis­ti­gen Ge­sund­heits­zu­stand der be­trof­fe­nen Per­son her­vor­ge­hen. Dazu ge­hö­ren auch In­for­ma­tio­nen über die na­tür­li­che Per­son, die im Zuge der Vor­mer­kung zur Er­brin­gung und der Er­brin­gung von Ge­sund­heits­dienst­leis­tun­gen im Sinne der Richt­li­nie 2011/24/EU des Eu­ro­päi­schen Par­la­ments und des Rates er­ho­ben wer­den, Num­mern, Sym­bo­le oder Kenn­zei­chen, die einer na­tür­li­chen Per­son zu­ge­teilt wur­den, um diese für ge­sund­heit­li­che Zwe­cke ein­deu­tig zu iden­ti­fi­zie­ren, In­for­ma­tio­nen, die von der Prü­fung oder Un­ter­su­chung eines Kör­per­teils oder einer kör­per­ei­ge­nen Sub­stanz, ein­schließ­lich ge­ne­ti­scher Daten und bio­lo­gi­scher Pro­ben, ab­ge­lei­tet wur­den, sowie In­for­ma­tio­nen etwa über Krank­hei­ten, Be­hin­de­run­gen, Krank­heits­ri­si­ken, Vor­er­kran­kun­gen, kli­ni­sche Be­hand­lun­gen oder den phy­sio­lo­gi­schen oder bio­me­di­zi­ni­schen Zu­stand der be­trof­fe­nen Per­son un­ab­hän­gig von der Her­kunft der Daten, ob sie nun von einem Arzt oder sons­ti­gem An­ge­hö­ri­gen eines Ge­sund­heits­be­ru­fes, einem Kran­ken­haus, einem Me­di­zin­pro­dukt oder einem In-​Vitro- Dia­gnos­ti­kum stam­men.

(25)    Alle Mit­glied­staa­ten sind Mit­glied der In­ter­na­tio­na­len Kri­mi­nal­po­li­zei­li­chen Or­ga­ni­sa­ti­on (In­ter­pol). In­ter­pol er­hält, spei­chert und über­mit­telt für die Er­fül­lung ihres Auf­trags per­so­nen­be­zo­ge­ne Daten, um die zu­stän­di­gen Be­hör­den dabei zu un­ter­stüt­zen, in­ter­na­tio­na­le Kri­mi­na­li­tät zu ver­hü­ten und zu be­kämp­fen. Daher soll­te die Zu­sam­men­ar­beit zwi­schen der Union und In­ter­pol ge­stärkt wer­den, indem ein ef­fi­zi­en­ter Aus­tausch per­so­nen­be­zo­ge­ner Daten ge­för­dert und zu­gleich die Ach­tung der Grund­rech­te und Grund­frei­hei­ten hin­sicht­lich der au­to­ma­ti­schen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ge­währ­leis­tet wird. Wenn per­so­nen­be­zo­ge­ne Daten aus der Union an In­ter­pol und die Staa­ten, die Mit­glie­der zu In­ter­pol ab­ge­stellt haben, über­mit­telt wer­den, soll­te diese Richt­li­nie, ins­be­son­de­re die Be­stim­mun­gen über grenz­über­schrei­ten­de Da­ten­über­mitt­lun­gen, zur An­wen­dung kom­men. Diese Richt­li­nie soll­te die spe­zi­fi­schen Vor­schrif­ten un­be­rührt las­sen, die im Ge­mein­sa­men Stand­punkt 2005/69/JI des Rates und im Be­schluss 2007/533/JI des Rates fest­ge­legt sind.

(26)    Jede Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten muss auf recht­mä­ßi­ge Weise, nach dem Grund­satz von Treu und Glau­ben und in einer für die be­trof­fe­nen na­tür­li­chen Per­so­nen nach­voll­zieh­ba­ren Weise er­fol­gen, und die Daten dür­fen nur für be­stimm­te, durch Rechts­vor­schrif­ten ge­re­gel­te Zwe­cke ver­ar­bei­tet wer­den. Dies steht an sich der Durch­füh­rung von Maß­nah­men wie ver­deck­ten Er­mitt­lun­gen oder Vi­deo­über­wa­chung durch die Straf­ver­fol­gungs­be­hör­den nicht ent­ge­gen. Diese Maß­nah­men kön­nen zwecks Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder zur Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, ge­trof­fen wer­den, so­fern sie durch Rechts­vor­schrif­ten ge­re­gelt sind und eine er­for­der­li­che und ver­hält­nis­mä­ßi­ge Maß­nah­me in einer de­mo­kra­ti­schen Ge­sell­schaft dar­stel­len, bei der die be­rech­tig­ten In­ter­es­sen der be­trof­fe­nen na­tür­li­chen Per­son ge­büh­rend be­rück­sich­tigt wer­den. Der Da­ten­schutz­grund­satz der Ver­ar­bei­tung nach Treu und Glau­ben ist ein an­de­res Kon­zept als das Recht auf ein fai­res Ver­fah­ren im Sinne des Ar­ti­kels 47 der Char­ta und des Ar­ti­kels 6 der Eu­ro­päi­schen Kon­ven­ti­on zum Schut­ze der Men­schen­rech­te und Grund­frei­hei­ten (EMRK). Na­tür­li­che Per­so­nen soll­ten über die Ri­si­ken, Vor­schrif­ten, Ga­ran­tien und Rech­te im Zu­sam­men­hang mit der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten in­for­miert und dar­über auf­ge­klärt wer­den, wie sie ihre dies­be­züg­li­chen Rech­te gel­tend ma­chen kön­nen. Ins­be­son­de­re soll­ten die be­stimm­ten Zwe­cke, zu denen die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, ein­deu­tig und recht­mä­ßig sein und zum Zeit­punkt deren Er­he­bung fest­ste­hen. Die per­so­nen­be­zo­ge­nen Daten soll­ten für die Zwe­cke, zu denen sie ver­ar­bei­tet wer­den, an­ge­mes­sen und er­heb­lich sein. Es soll­te ins­be­son­de­re si­cher­ge­stellt wer­den, dass nicht über­mä­ßi­ge per­so­nen­be­zo­ge­ne Daten er­ho­ben wer­den und sie nicht län­ger auf­be­wahrt wer­den, als dies für den Zweck, zu dem sie ver­ar­bei­tet wer­den, er­for­der­lich ist. Per­so­nen­be­zo­ge­ne Daten soll­ten nur ver­ar­bei­tet wer­den dür­fen, wenn der Zweck der Ver­ar­bei­tung nicht in zu­mut­ba­rer Weise durch an­de­re Mit­tel er­reicht wer­den kann. Um si­cher­zu­stel­len, dass die Daten nicht län­ger als nötig ge­spei­chert wer­den, soll­te der Ver­ant­wort­li­che Fris­ten für ihre Lö­schung oder re­gel­mä­ßi­ge Über­prü­fung vor­se­hen. Die Mit­glied­staa­ten soll­ten ge­eig­ne­te Ga­ran­tien für den Fall fest­le­gen, dass per­so­nen­be­zo­ge­ne Daten für die Ar­chi­vie­rung im öf­fent­li­chen In­ter­es­se und die wis­sen­schaft­li­che, sta­tis­ti­sche oder his­to­ri­sche Ver­wen­dung für län­ge­re Zeit­räu­me ge­spei­chert wer­den.

(27)    Zur Ver­hü­tung, Er­mitt­lung und Ver­fol­gung von Straf­ta­ten müs­sen die zu­stän­di­gen Be­hör­den per­so­nen­be­zo­ge­ne Daten, die im Zu­sam­men­hang mit der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung einer be­stimm­ten Straf­tat er­ho­ben wur­den, auch in einem an­de­ren Kon­text ver­ar­bei­ten kön­nen, um sich ein Bild von den kri­mi­nel­len Hand­lun­gen ma­chen und Ver­bin­dun­gen zwi­schen ver­schie­de­nen auf­ge­deck­ten Straf­ta­ten her­stel­len zu kön­nen.

(28)    Um stets eine si­che­re Ver­ar­bei­tung zu ge­währ­leis­ten und Ver­ar­bei­tun­gen, die gegen diese Richt­li­nie ver­sto­ßen, zu ver­hin­dern, soll­ten per­so­nen­be­zo­ge­ne Daten so ver­ar­bei­tet wer­den, dass ein Maß an Si­cher­heit und Ver­trau­lich­keit ge­ge­ben ist, wozu auch ge­hört, dass Un­be­fug­te kei­nen Zu­gang zu den Daten haben und weder die Daten noch die Ge­rä­te, mit denen diese ver­ar­bei­tet wer­den, be­nut­zen kön­nen, und dass die Ver­ar­bei­tung den Stand der ver­füg­ba­ren Tech­nik, die Kos­ten für ihre Ein­füh­rung im Ver­hält­nis zu den von der Ver­ar­bei­tung aus­ge­hen­den Ri­si­ken und die Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten be­rück­sich­tigt.

(29)    Per­so­nen­be­zo­ge­ne Daten soll­ten für fest­ge­leg­te, ein­deu­ti­ge und recht­mä­ßi­ge Zwe­cke in­ner­halb des An­wen­dungs­be­reichs die­ser Richt­li­nie er­ho­ben und nicht zu Zwe­cken ver­ar­bei­tet wer­den, die nicht mit den Zwe­cken der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, zu ver­ein­ba­ren sind. Wer­den per­so­nen­be­zo­ge­ne Daten von dem­sel­ben oder einem an­de­ren Ver­ant­wort­li­chen für einen an­de­ren in den An­wen­dungs­be­reich die­ser Richt­li­nie fal­len­den Zweck als den, für den sie er­ho­ben wur­den, ver­ar­bei­tet, so soll­te diese Ver­ar­bei­tung er­laubt sein, unter der Be­din­gung, dass diese Ver­ar­bei­tung nach den gel­ten­den Rechts­vor­schrif­ten zu­läs­sig ist und dass sie für die­sen an­de­ren Zweck er­for­der­lich und ver­hält­nis­mä­ßig ist.

(30)    Der Grund­satz der sach­li­chen Rich­tig­keit der Daten soll­te unter Be­rück­sich­ti­gung von Art und Zweck der je­wei­li­gen Ver­ar­bei­tung an­ge­wandt wer­den. Aus­sa­gen, die per­so­nen­be­zo­ge­ne Daten ent­hal­ten, ba­sie­ren ge­ra­de in Ge­richts­ver­fah­ren auf der sub­jek­ti­ven Wahr­neh­mung von na­tür­li­chen Per­so­nen und sind nicht immer nach­prüf­bar. In­fol­ge­des­sen soll­te sich der Grund­satz der sach­li­chen Rich­tig­keit nicht auf die Rich­tig­keit einer Aus­sa­ge be­zie­hen, son­dern le­dig­lich auf die Tat­sa­che, dass eine be­stimm­te Aus­sa­ge ge­macht wor­den ist.

(31)    Bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit geht es na­tur­ge­mäß um be­trof­fe­ne Per­so­nen ver­schie­de­ner Ka­te­go­rien. Daher soll­te ge­ge­be­nen­falls und so weit wie mög­lich klar zwi­schen den per­so­nen­be­zo­ge­nen Daten der ein­zel­nen Ka­te­go­rien be­trof­fe­ner Per­so­nen un­ter­schie­den wer­den wie Ver­däch­ti­ge, ver­ur­teil­te Straf­tä­ter, Opfer und an­de­re Par­tei­en, bei­spiels­wei­se Zeu­gen, Per­so­nen, die über ein­schlä­gi­ge In­for­ma­tio­nen ver­fü­gen, oder Per­so­nen, die mit Ver­däch­ti­gen oder ver­ur­teil­ten Straf­tä­tern in Kon­takt oder in Ver­bin­dung ste­hen. Dies soll­te nicht der An­wen­dung des Rechts auf die Un­schulds­ver­mu­tung, wie es in der Char­ta und in der EMRK ge­währ­leis­tet ist, in der Aus­le­gung durch die Recht­spre­chung des Ge­richts­hofs bzw. des Eu­ro­päi­schen Ge­richts­hofs für Men­schen­rech­te ent­ge­gen­ste­hen.

(32)    Die zu­stän­di­gen Be­hör­den soll­ten dafür sor­gen, dass per­so­nen­be­zo­ge­ne Daten, die un­rich­tig, un­voll­stän­dig oder nicht mehr ak­tu­ell sind, nicht über­mit­telt oder be­reit­ge­stellt wer­den. Um den Schutz na­tür­li­cher Per­so­nen, die Rich­tig­keit, die Voll­stän­dig­keit oder den Ak­tua­li­täts­grad sowie die Zu­ver­läs­sig­keit der über­mit­tel­ten oder be­reit­ge­stell­ten per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten, soll­ten die zu­stän­di­gen Be­hör­den mög­lichst bei allen Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten die er­for­der­li­chen In­for­ma­tio­nen bei­fü­gen.

(33)    Wenn in die­ser Richt­li­nie auf Recht der Mit­glied­staa­ten, eine Rechts­grund­la­ge oder eine Ge­setz­ge­bungs­maß­nah­me Bezug ge­nom­men wird, er­for­dert dies nicht not­wen­di­ger­wei­se einen von einem Par­la­ment an­ge­nom­me­nen Ge­setz­ge­bungs­akt, wobei An­for­de­run­gen gemäß der Ver­fas­sungs­ord­nung des be­tref­fen­den Mit­glied­staats un­be­rührt blei­ben. Recht der Mit­glied­staa­ten, Rechts­grund­la­gen oder Ge­setz­ge­bungs­maß­nah­men soll­ten je­doch klar und prä­zi­se sein und ihre An­wen­dung soll­te für die­je­ni­gen, die ihnen un­ter­lie­gen, vor­her­seh­bar sein, wie in der Recht­spre­chung des Ge­richts­hofs und des Eu­ro­päi­schen Ge­richts­hofs für Men­schen­rech­te ge­for­dert. Im Recht der Mit­glied­staa­ten, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in­ner­halb des An­wen­dungs­be­reichs die­ser Richt­li­nie re­gelt, soll­ten zu­min­dest die Ziele, die zu ver­ar­bei­ten­den per­so­nen­be­zo­ge­nen Daten, die Zwe­cke der Ver­ar­bei­tung sowie Ver­fah­ren zur Wah­rung von In­te­gri­tät und Ver­trau­lich­keit der per­so­nen­be­zo­ge­nen Daten und Ver­fah­ren für ihre Ver­nich­tung an­ge­ge­ben wer­den, um hin­rei­chen­de Ga­ran­tien gegen die Ge­fahr des Miss­brauchs und der Will­kür zu bie­ten.

(34)    Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zu­stän­di­gen Be­hör­den zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder zur Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, soll­te jeden mit Hilfe au­to­ma­ti­sier­ter Ver­fah­ren oder auf an­de­rem Wege aus­ge­führ­ten Vor­gang oder jede sol­che Vor­gangs­rei­he im Zu­sam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Er­he­ben, das Er­fas­sen, die Or­ga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die An­pas­sung oder Ver­än­de­rung, das Aus­le­sen, das Ab­fra­gen, die Ver­wen­dung, den Ab­gleich oder die Ver­knüp­fung, die Ein­schrän­kung der Ver­ar­bei­tung, das Lö­schen oder die Ver­nich­tung ab­de­cken. Ins­be­son­de­re soll­te diese Richt­li­nie An­wen­dung fin­den, wenn per­so­nen­be­zo­ge­ne Daten für die Zwe­cke die­ser Richt­li­nie an einen Emp­fän­ger über­mit­telt wer­den, der nicht die­ser Richt­li­nie un­ter­liegt. Unter einem sol­chen Emp­fän­ger soll­te eine na­tür­li­che oder ju­ris­ti­sche Per­son, Be­hör­de, Ein­rich­tung oder jede an­de­re Stel­le zu ver­ste­hen sein, ge­gen­über der per­so­nen­be­zo­ge­ne Daten von der zu­stän­di­gen Be­hör­de recht­mä­ßig of­fen­ge­legt wer­den. Wur­den per­so­nen­be­zo­ge­ne Daten ur­sprüng­lich von einer zu­stän­di­gen Be­hör­de für einen der Zwe­cke die­ser Richt­li­nie er­ho­ben, so soll­te die Ver­ord­nung (EU) 2016/679 für die Ver­ar­bei­tung die­ser Daten für an­de­re Zwe­cke als die­je­ni­gen die­ser Richt­li­nie gel­ten, wenn eine sol­che Ver­ar­bei­tung nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten zu­läs­sig ist. Ins­be­son­de­re soll­te die Ver­ord­nung (EU) 2016/679 für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten für Zwe­cke gel­ten, die au­ßer­halb des An­wen­dungs­be­reichs die­ser Richt­li­nie lie­gen. Für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch einen Emp­fän­ger, der keine zu­stän­di­ge Be­hör­de im Sinne die­ser Richt­li­nie ist oder nicht als sol­che han­delt und ge­gen­über dem per­so­nen­be­zo­ge­ne Daten von einer zu­stän­di­gen Be­hör­de recht­mä­ßig of­fen­ge­legt wer­den, soll­te die Ver­ord­nung (EU) 2016/679 gel­ten. Bei der Um­set­zung die­ser Richt­li­nie soll­ten die Mit­glied­staa­ten au­ßer­dem, die An­wen­dung der Vor­schrif­ten der Ver­ord­nung (EU) 2016/679 — vor­be­halt­lich der darin ge­nann­ten Be­din­gun­gen — ge­nau­er re­geln kön­nen.

(35)    Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Rah­men die­ser Richt­li­nie soll­te nur dann als recht­mä­ßig gel­ten, wenn sie zur Wahr­neh­mung einer Auf­ga­be er­for­der­lich ist, die eine zu­stän­di­ge Be­hör­de im öf­fent­li­chen In­ter­es­se auf Grund­la­ge des Uni­ons­rechts oder des Rechts der Mit­glied­staa­ten zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, aus­führt. Diese Tä­tig­kei­ten soll­ten sich auf die Wah­rung le­bens­wich­ti­ger In­ter­es­sen der be­trof­fe­nen Per­son er­stre­cken. Bei der Wahr­neh­mung der ihnen als ge­setz­lich be­grün­de­ter In­sti­tu­ti­on über­tra­ge­nen Auf­ga­ben, Straf­ta­ten zu ver­hü­ten, zu er­mit­teln, auf­zu­de­cken und zu ver­fol­gen, kön­nen die zu­stän­di­gen Be­hör­den na­tür­li­che Per­so­nen auf­for­dern oder an­wei­sen, ihren An­ord­nun­gen nach­zu­kom­men. In einem sol­chen Fall soll­te die Ein­wil­li­gung der be­trof­fe­nen Per­son im Sinne der Ver­ord­nung (EU) 2016/679 keine recht­li­che Grund­la­ge für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die zu­stän­di­gen Be­hör­den dar­stel­len. Wird die be­trof­fe­ne Per­son auf­ge­for­dert, einer recht­li­chen Ver­pflich­tung nach­zu­kom­men, so hat sie keine echte Wahl­frei­heit, wes­halb ihre Re­ak­ti­on nicht als frei­wil­lig ab­ge­ge­be­ne Wil­lens­be­kun­dung be­trach­tet wer­den kann. Dies soll­te die Mit­glied­staa­ten nicht daran hin­dern, durch Rechts­vor­schrif­ten vor­zu­se­hen, dass die be­trof­fe­ne Per­son der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten für die Zwe­cke die­ser Richt­li­nie zu­stim­men kann, bei­spiels­wei­se im Falle von DNA-​Tests in straf­recht­li­chen Er­mitt­lun­gen oder zur Über­wa­chung ihres Auf­ent­halts­orts mit­tels elek­tro­ni­scher Fuß­fes­sel zur Straf­voll­stre­ckung.

(36)    Die Mit­glied­staa­ten soll­ten vor­se­hen, dass immer dann, wenn nach dem Uni­ons­recht oder dem Recht der Mit­glied­staa­ten, dem die über­mit­teln­de zu­stän­di­ge Be­hör­de un­ter­liegt, für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten unter be­stimm­ten Um­stän­den be­son­de­re Be­din­gun­gen, etwa zur Ver­wen­dung von Be­ar­bei­tungs­codes, gel­ten, die über­mit­teln­de zu­stän­di­ge Be­hör­de den Emp­fän­ger der per­so­nen­be­zo­ge­nen Daten auf diese Be­din­gun­gen und die Ver­pflich­tung sie ein­zu­hal­ten hin­wei­sen soll­te. Hier­zu könn­te bei­spiels­wei­se das Ver­bot, per­so­nen­be­zo­ge­ne Daten an an­de­re wei­ter zu über­mit­teln, oder das Ver­bot, sie für an­de­re Zwe­cke, als die Zwe­cke zu denen sie an den Emp­fän­ger über­mit­telt wur­den, zu ver­wen­den, oder das Ver­bot, die be­trof­fe­ne Per­son im Falle der Ein­schrän­kung des Rechts auf Un­ter­rich­tung ohne vor­he­ri­ger Ge­neh­mi­gung der über­mit­teln­den zu­stän­di­gen Be­hör­de zu in­for­mie­ren, zäh­len. Diese Pflich­ten gel­ten auch für Über­mitt­lun­gen durch die über­mit­teln­de zu­stän­di­ge Be­hör­de an Emp­fän­ger in Dritt­län­dern oder an in­ter­na­tio­na­le Or­ga­ni­sa­tio­nen. Die Mit­glied­staa­ten soll­ten si­cher­stel­len, dass die über­mit­teln­de zu­stän­di­ge Be­hör­de auf Emp­fän­ger in an­de­ren Mit­glied­staa­ten oder nach Titel V Ka­pi­tel 4 und 5 AEUV er­rich­te­te Ein­rich­tun­gen und sons­ti­ge Stel­len nur sol­che Be­din­gun­gen an­wen­det, die auch für ent­spre­chen­de Da­ten­über­mitt­lun­gen in­ner­halb ihres ei­ge­nen Mit­glied­staats gel­ten.

(37)    Per­so­nen­be­zo­ge­ne Daten, die ihrem Wesen nach hin­sicht­lich der Grund­rech­te und Grund­frei­hei­ten be­son­ders sen­si­bel sind, ver­die­nen einen be­son­de­ren Schutz, da im Zu­sam­men­hang mit ihrer Ver­ar­bei­tung er­heb­li­che Ri­si­ken für die Grund­rech­te und Grund­frei­hei­ten auf­tre­ten kön­nen. Diese per­so­nen­be­zo­ge­nen Daten soll­ten per­so­nen­be­zo­ge­ne Daten um­fas­sen, aus denen die ras­si­sche oder eth­ni­sche Her­kunft her­vor­geht, wobei die Ver­wen­dung des Be­griffs „ras­si­sche Her­kunft“ in die­ser Richt­li­nie nicht be­deu­tet, dass die Union Theo­rien, mit denen ver­sucht wird, die Exis­tenz ver­schie­de­ner mensch­li­cher Ras­sen zu be­le­gen, gut­heißt. Sol­che per­so­nen­be­zo­ge­nen Daten soll­ten nur dann ver­ar­bei­tet wer­den, wenn die Ver­ar­bei­tung vor­be­halt­lich ge­eig­ne­ter Ga­ran­tien für die durch Rechts­vor­schrif­ten fest­ge­leg­ten Rech­te und Frei­hei­ten der be­trof­fe­nen Per­son er­folgt und in durch Rechts­vor­schrif­ten ge­re­gel­ten Fäl­len er­laubt ist oder an­de­ren­falls zur Wah­rung le­bens­wich­ti­ger In­ter­es­sen der be­trof­fe­nen Per­son oder einer an­de­ren Per­son er­for­der­lich ist oder aber sich auf Daten be­zieht, die die be­trof­fe­ne Per­son of­fen­sicht­lich öf­fent­lich ge­macht hat. Zu den ge­eig­ne­ten Ga­ran­tien für die Rech­te und Frei­hei­ten der be­trof­fe­nen Per­son kann bei­spiels­wei­se zäh­len, dass diese Daten nur in Ver­bin­dung mit an­de­ren Daten über die be­trof­fe­ne na­tür­li­che Per­son er­ho­ben wer­den dür­fen, die er­ho­be­nen Daten hin­rei­chend ge­si­chert wer­den müs­sen, der Zu­gang der Mit­ar­bei­ter der zu­stän­di­gen Be­hör­de zu den Daten stren­ger ge­re­gelt und die Über­mitt­lung die­ser Daten ver­bo­ten wird. Die Ver­ar­bei­tung sol­cher Daten soll­te eben­falls durch Rechts­vor­schrif­ten er­laubt sein, wenn die be­trof­fe­ne Per­son der Da­ten­ver­ar­bei­tung, die be­son­ders stark in ihre Pri­vat­sphä­re ein­greift, aus­drück­lich zu­ge­stimmt hat. Die Ein­wil­li­gung der be­trof­fe­nen Per­son al­lein soll­te je­doch noch keine recht­li­che Grund­la­ge für die Ver­ar­bei­tung solch sen­si­bler per­so­nen­be­zo­ge­ner Daten durch die zu­stän­di­gen Be­hör­den lie­fern.

(38)    Die be­trof­fe­ne Per­son soll­te das Recht haben, kei­ner Ent­schei­dung zur Be­wer­tung von sie be­tref­fen­den per­sön­li­chen Aspek­ten un­ter­wor­fen zu wer­den, die aus­schließ­lich auf einer au­to­ma­ti­sier­ten Ver­ar­bei­tung be­ruht und die nach­tei­li­ge recht­li­che Wir­kung für sie ent­fal­tet oder sie in er­heb­li­chem Maße be­ein­träch­tigt. In jedem Fall soll­te eine sol­che Ver­ar­bei­tung mit ge­eig­ne­ten Ga­ran­tien ver­bun­den sein, ein­schließ­lich der spe­zi­fi­schen Un­ter­rich­tung der be­trof­fe­nen Per­son und des Rechts, das Ein­grei­fen einer Per­son zu er­wir­ken, ins­be­son­de­re auf Dar­le­gung des ei­ge­nen Stand­punkts, auf Er­läu­te­rung der nach einer ent­spre­chen­den Be­wer­tung ge­trof­fe­nen Ent­schei­dung oder auf An­fech­tung der Ent­schei­dung. Ein Pro­fi­ling, das zur Folge hat, dass na­tür­li­che Per­so­nen auf­grund von per­so­nen­be­zo­ge­nen Daten dis­kri­mi­niert wer­den, die ihrem Wesen nach hin­sicht­lich der Grund­rech­te und Grund­frei­hei­ten be­son­ders sen­si­bel sind, soll­te gemäß den Be­stim­mun­gen der Ar­ti­kel 21 und 52 der Char­ta ver­bo­ten wer­den.

(39)    Damit die be­trof­fe­ne Per­son ihre Rech­te wahr­neh­men kann, soll­ten alle In­for­ma­tio­nen für sie leicht zu­gäng­lich — auch auf der Web­site des Ver­ant­wort­li­chen — und ver­ständ­lich, also in kla­rer und ein­fa­cher Spra­che ab­ge­fasst sein. Diese In­for­ma­tio­nen soll­ten an die Be­dürf­nis­se von schutz­be­dürf­ti­gen Per­so­nen, wie etwa Kin­dern, an­ge­passt wer­den.

(40)    Es soll­ten Mo­da­li­tä­ten fest­ge­legt wer­den, die einer be­trof­fe­nen Per­son die Aus­übung ihrer Rech­te auf­grund der nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten er­leich­tern, dar­un­ter auch Me­cha­nis­men, die dafür sor­gen, dass sie un­ent­gelt­lich ins­be­son­de­re Zu­gang zu per­so­nen­be­zo­ge­nen Daten und deren Be­rich­ti­gung oder Lö­schung be­an­tra­gen und ge­ge­be­nen­falls er­hal­ten oder von ihrem Wi­der­spruchs­recht Ge­brauch ma­chen kann. Der Ver­ant­wort­li­che soll­te ver­pflich­tet wer­den, den An­trag der be­trof­fe­nen Per­son un­ver­züg­lich zu be­ant­wor­ten, es sei denn, er wen­det Ein­schrän­kun­gen in Bezug auf die Rech­te der be­trof­fe­nen Per­son gemäß die­ser Richt­li­nie an. Bei of­fen­kun­dig un­be­grün­de­ten oder ex­zes­si­ven An­trä­gen, zum Bei­spiel wenn die be­trof­fe­ne Per­son un­ge­bühr­lich und wie­der­holt In­for­ma­tio­nen ver­langt oder wenn die be­trof­fe­ne Per­son ihr Recht auf Un­ter­rich­tung miss­braucht, bei­spiels­wei­se indem sie in ihrem An­trag fal­sche oder ir­re­füh­ren­de An­ga­ben macht, soll­te der Ver­ant­wort­li­che, eine an­ge­mes­se­ne Ge­bühr er­he­ben kön­nen oder sich wei­gern kön­nen, auf­grund des An­trags tätig zu wer­den.

(41)    For­dert der Ver­ant­wort­li­che zu­sätz­li­che In­for­ma­tio­nen an, die zur Be­stä­ti­gung der Iden­ti­tät der be­trof­fe­nen Per­son er­for­der­lich sind, so soll­ten diese In­for­ma­tio­nen nur für die­sen kon­kre­ten Zweck ver­ar­bei­tet wer­den und nicht län­ger ge­spei­chert wer­den, als es für die­sen Zweck not­wen­dig ist.

(42)    Der be­trof­fe­nen Per­son soll­ten zu­min­dest fol­gen­de In­for­ma­tio­nen zur Ver­fü­gung ge­stellt wer­den: die Iden­ti­tät des Ver­ant­wort­li­chen, die Exis­tenz des Ver­ar­bei­tungs­vor­gangs, die Zwe­cke der Ver­ar­bei­tung, das Be­schwer­de­recht und das Be­stehen eines Rechts auf Aus­kunft und Be­rich­ti­gung oder Lö­schung per­so­nen­be­zo­ge­ner Daten und auf Ein­schrän­kung der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen. Dies könn­te auf der Web­site der zu­stän­di­gen Be­hör­de er­fol­gen. Au­ßer­dem soll­te die be­trof­fe­ne Per­son in be­stimm­ten Fäl­len und zur Er­mög­li­chung der Aus­übung ihrer Rech­te über die Rechts­grund­la­ge der Ver­ar­bei­tung und die Spei­cher­frist in­for­miert wer­den, so­weit diese zu­sätz­li­chen In­for­ma­tio­nen unter Be­rück­sich­ti­gung der spe­zi­fi­schen Um­stän­de, unter denen die Daten ver­ar­bei­tet wer­den, not­wen­dig sind, um ge­gen­über der be­trof­fe­nen Per­son eine Ver­ar­bei­tung nach Treu und Glau­ben zu ge­währ­leis­ten.

(43)    Eine na­tür­li­che Per­son soll­te ein Aus­kunfts­recht hin­sicht­lich der sie be­tref­fen­den Daten, die er­ho­ben wor­den sind, be­sit­zen und die­ses Recht pro­blem­los und in an­ge­mes­se­nen Ab­stän­den wahr­neh­men kön­nen, um sich der Ver­ar­bei­tung be­wusst zu sein und deren Recht­mä­ßig­keit über­prü­fen zu kön­nen. Jede be­trof­fe­ne Per­son soll­te daher das Recht haben, zu wis­sen und zu er­fah­ren, zu wel­chen Zwe­cken die Daten ver­ar­bei­tet wer­den, wie lange sie ver­ar­bei­tet wer­den und wer deren Emp­fän­ger, ein­schließ­lich sol­cher in Dritt­län­dern, sind. Ent­hal­ten sol­che Mit­tei­lun­gen In­for­ma­tio­nen über den Ur­sprung der per­so­nen­be­zo­ge­nen Daten, so soll­ten die In­for­ma­tio­nen nicht die Iden­ti­tät na­tür­li­cher Per­so­nen und ins­be­son­de­re keine ver­trau­li­chen Quel­len preis­ge­ben. Damit die­sem Recht ent­spro­chen wird, braucht die be­trof­fe­ne Per­son le­dig­lich im Be­sitz einer voll­stän­di­gen Über­sicht über diese Daten in ver­ständ­li­cher Form zu sein, d. h. in einer Form, die es ihr er­mög­licht, sich die­ser Daten be­wusst zu wer­den und nach­zu­prü­fen, ob sie rich­tig sind und im Ein­klang mit die­ser Richt­li­nie ver­ar­bei­tet wer­den, so dass sie die ihr durch diese Richt­li­nie ver­lie­he­nen Rech­te aus­üben kann. Eine sol­che Über­sicht könn­te in Form einer Kopie der per­so­nen­be­zo­ge­nen Daten, die Ge­gen­stand der Ver­ar­bei­tung sind, be­reit­ge­stellt wer­den.

(44)    Die Mit­glied­staa­ten soll­ten Ge­setz­ge­bungs­maß­nah­men er­las­sen kön­nen, mit denen die Un­ter­rich­tung der be­trof­fe­nen Per­son auf­ge­scho­ben, ein­ge­schränkt oder un­ter­las­sen oder die Aus­kunft über ihre per­so­nen­be­zo­ge­nen Daten ganz oder teil­wei­se in dem Um­fang und so lange ein­ge­schränkt wird, wie dies in einer de­mo­kra­ti­schen Ge­sell­schaft unter ge­büh­ren­der Be­rück­sich­ti­gung der Grund­rech­te und der be­rech­tig­ten In­ter­es­sen der be­trof­fe­nen na­tür­li­chen Per­son eine er­for­der­li­che und ver­hält­nis­mä­ßi­ge Maß­nah­me dar­stellt, um be­hörd­li­che oder ge­richt­li­che Un­ter­su­chun­gen, Er­mitt­lun­gen und Ver­fah­ren nicht zu be­hin­dern, die Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder die Straf­voll­stre­ckung nicht zu ge­fähr­den und um die öf­fent­li­che und die na­tio­na­le Si­cher­heit oder die Rech­te und Frei­hei­ten an­de­rer zu schüt­zen. Der Ver­ant­wort­li­che soll­te im Wege einer kon­kre­ten Ein­zel­fall­prü­fung fest­stel­len, ob das Aus­kunfts­recht teil­wei­se oder voll­stän­dig ein­ge­schränkt wer­den soll­te.

(45)    Eine Ver­wei­ge­rung oder Ein­schrän­kung der Aus­kunft soll­te der be­trof­fe­nen Per­son grund­sätz­lich unter An­ga­be der sach­li­chen oder recht­li­chen Grün­de hier­für schrift­lich mit­ge­teilt wer­den.

(46)    Jede Ein­schrän­kung der Rech­te der be­trof­fe­nen Per­son muss mit der Char­ta und mit der EMRK in der Aus­le­gung durch die Recht­spre­chung des Ge­richts­hofs bzw. des Eu­ro­päi­schen Ge­richts­hofs für Men­schen­rech­te ver­ein­bar sein und ins­be­son­de­re den We­sens­ge­halt die­ser Rech­te und Frei­hei­ten ach­ten.

(47)    Eine na­tür­li­che Per­son soll­te das Recht auf Be­rich­ti­gung sie be­tref­fen­der un­rich­ti­ger per­so­nen­be­zo­ge­ner Daten, ins­be­son­de­re bei Bezug auf Tat­sa­chen, sowie das Recht auf Lö­schung be­sit­zen, wenn die Da­ten­ver­ar­bei­tung gegen diese Richt­li­nie ver­stößt. Das Recht auf Be­rich­ti­gung soll­te al­ler­dings bei­spiels­wei­se nicht den In­halt einer Zeu­gen­aus­sa­ge be­rüh­ren. Eine na­tür­li­che Per­son soll­te auch das Recht auf Ein­schrän­kung der Ver­ar­bei­tung be­sit­zen, wenn sie die Rich­tig­keit per­so­nen­be­zo­ge­ner Daten be­strei­tet und deren Rich­tig­keit oder Un­rich­tig­keit nicht fest­ge­stellt wer­den kann oder wenn die per­so­nen­be­zo­ge­nen Daten für Be­weis­zwe­cke wei­ter auf­be­wahrt wer­den müs­sen. Ins­be­son­de­re soll­te statt der Lö­schung per­so­nen­be­zo­ge­ner Daten die Ver­ar­bei­tung ein­ge­schränkt wer­den, wenn in einem kon­kre­ten Fall be­rech­tig­ter Grund zu der An­nah­me be­steht, dass eine Lö­schung die be­rech­tig­ten In­ter­es­sen der be­trof­fe­nen Per­son be­ein­träch­ti­gen könn­te. In einem sol­chen Fall soll­ten Daten mit Ein­schrän­kungs­mar­kie­rung nur zu dem Zweck ver­ar­bei­tet wer­den, der ihrer Lö­schung ent­ge­gen­stand. Me­tho­den zur Ein­schrän­kung der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten könn­ten unter an­de­rem darin be­stehen, dass aus­ge­wähl­te Daten, bei­spiels­wei­se zu Ar­chi­vie­rungs­zwe­cken, auf ein an­de­res Ver­ar­bei­tungs­sys­tem über­tra­gen oder ge­sperrt wer­den. In au­to­ma­ti­sier­ten Da­tei­sys­te­men soll­te die Ein­schrän­kung der Ver­ar­bei­tung grund­sätz­lich durch tech­ni­sche Mit­tel er­fol­gen. Auf die Tat­sa­che, dass die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten be­schränkt wurde, soll­te in dem Sys­tem un­miss­ver­ständ­lich hin­ge­wie­sen wer­den. Ent­spre­chen­de Be­rich­ti­gun­gen oder Lö­schun­gen per­so­nen­be­zo­ge­ner Daten oder Ein­schrän­kun­gen der Ver­ar­bei­tung soll­ten den Emp­fän­gern, ge­gen­über dem die per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt wur­den, und den zu­stän­di­gen Be­hör­den, von denen die un­rich­ti­gen Daten stam­men, mit­ge­teilt wer­den. Der Ver­ant­wort­li­che soll­te auch von jeg­li­cher Wei­ter­ver­brei­tung die­ser Daten Ab­stand neh­men.

(48)    Ver­wei­gert ein Ver­ant­wort­li­cher einer be­trof­fe­nen Per­son ihr Recht auf Un­ter­rich­tung, Aus­kunft, Be­rich­ti­gung oder Lö­schung per­so­nen­be­zo­ge­ner Daten oder Ein­schrän­kung der Ver­ar­bei­tung, so soll­te die be­trof­fe­ne Per­son die na­tio­na­le Auf­sichts­be­hör­de er­su­chen kön­nen, die Recht­mä­ßig­keit der Ver­ar­bei­tung zu über­prü­fen. Die be­trof­fe­ne Per­son soll­te über die­ses Recht un­ter­rich­tet wer­den. Han­delt die Auf­sichts­be­hör­de im Namen der be­trof­fe­nen Per­son, so soll­te sie die be­trof­fe­ne Per­son zu­min­dest dar­über in­for­mie­ren, dass alle er­for­der­li­chen Prü­fun­gen oder Über­prü­fun­gen durch­ge­führt wur­den. Die Auf­sichts­be­hör­de soll­te die be­trof­fe­ne Per­son zudem über ihr Recht auf ge­richt­li­chen Rechts­be­helf in Kennt­nis set­zen.

(49)    Wer­den per­so­nen­be­zo­ge­ne Daten im Zu­sam­men­hang mit straf­recht­li­chen Er­mitt­lun­gen und Ge­richts­ver­fah­ren in Straf­sa­chen ver­ar­bei­tet, so soll­ten die Mit­glied­staa­ten vor­se­hen kön­nen, dass die Aus­übung des Rechts auf Un­ter­rich­tung, Aus­kunft, Be­rich­ti­gung oder Lö­schung per­so­nen­be­zo­ge­ner Daten oder Ein­schrän­kung der Ver­ar­bei­tung nach Maß­ga­be des ein­zel­staat­li­chen Straf­ver­fah­rens­rechts er­folgt.

(50)    Die Ver­ant­wor­tung und Haf­tung des Ver­ant­wort­li­chen für jed­we­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, die durch ihn oder in sei­nem Namen er­folgt, soll­te ge­re­gelt wer­den. Ins­be­son­de­re soll­te der Ver­ant­wort­li­che ge­eig­ne­te und wirk­sa­me Maß­nah­men tref­fen müs­sen und nach­wei­sen kön­nen, dass die Ver­ar­bei­tungs­tä­tig­kei­ten im Ein­klang mit die­ser Richt­li­nie ste­hen. Dabei soll­te er die Art, den Um­fang, die Um­stän­de und die Zwe­cke der Ver­ar­bei­tung und das Ri­si­ko für die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen be­rück­sich­ti­gen. Im Rah­men der von ihm er­grif­fe­nen Maß­nah­men soll­te der Ver­ant­wort­li­che auch spe­zi­fi­sche Ga­ran­tien für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von schutz­be­dürf­ti­gen na­tür­li­chen Per­so­nen, wie etwa Kin­dern, aus­ar­bei­ten und im­ple­men­tie­ren.

(51)    Ri­si­ken für die Rech­te und Frei­hei­ten der na­tür­li­chen Per­so­nen — mit un­ter­schied­li­cher Ein­tritts­wahr­schein­lich­keit und Schwe­re — kön­nen aus einer Da­ten­ver­ar­bei­tung her­vor­ge­hen, die zu einem phy­si­schen, ma­te­ri­el­len oder im­ma­te­ri­el­len Scha­den füh­ren könn­te, ins­be­son­de­re wenn die Ver­ar­bei­tung zu einer Dis­kri­mi­nie­rung, einem Iden­ti­täts­dieb­stahl oder -​betrug, einem fi­nan­zi­el­len Ver­lust, einer Ruf­schä­di­gung, einem Ver­lust der Ver­trau­lich­keit von dem Be­rufs­ge­heim­nis un­ter­lie­gen­den Daten, der un­be­fug­ten Um­kehr der Pseud­ony­mi­sie­rung oder an­de­ren er­heb­li­chen wirt­schaft­li­chen oder ge­sell­schaft­li­chen Nach­tei­len füh­ren kann, wenn die be­trof­fe­nen Per­so­nen um ihre Rech­te und Frei­hei­ten ge­bracht oder daran ge­hin­dert wer­den, die sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten zu kon­trol­lie­ren, wenn per­so­nen­be­zo­ge­ne Daten, aus denen die ras­si­sche oder eth­ni­sche Her­kunft, po­li­ti­sche Mei­nun­gen, die Re­li­gi­on oder welt­an­schau­li­che Über­zeu­gun­gen oder die Zu­ge­hö­rig­keit zu einer Ge­werk­schaft her­vor­ge­hen, wenn ge­ne­ti­sche Daten oder bio­me­tri­sche Daten zur ein­deu­ti­gen Iden­ti­fi­zie­rung einer Per­son oder Daten über die Ge­sund­heit oder Daten über das Se­xu­al­le­ben und se­xu­el­le Ori­en­tie­rung oder über straf­recht­li­che Ver­ur­tei­lun­gen und Straf­ta­ten oder damit zu­sam­men­hän­gen­de Si­che­rungs­maß­re­geln ver­ar­bei­tet wer­den, wenn per­sön­li­che Aspek­te be­wer­tet wer­den, ins­be­son­de­re wenn Aspek­te, die die Ar­beits­leis­tung, wirt­schaft­li­che Lage, Ge­sund­heit, per­sön­li­che Vor­lie­ben oder In­ter­es­sen, die Zu­ver­läs­sig­keit oder das Ver­hal­ten, den Auf­ent­halts­ort oder Orts­wech­sel be­tref­fen, ana­ly­siert und pro­gnos­ti­ziert wer­den, um ein per­sön­li­ches Pro­fil zu er­stel­len oder zu nut­zen, wenn per­so­nen­be­zo­ge­ne Daten schutz­be­dürf­ti­ger na­tür­li­cher Per­so­nen, ins­be­son­de­re Daten von Kin­dern, ver­ar­bei­tet wer­den oder wenn die Ver­ar­bei­tung eine große Menge per­so­nen­be­zo­ge­ner Daten und eine große An­zahl von Per­so­nen be­trifft.

(52)    Ein­tritts­wahr­schein­lich­keit und Schwe­re des Ri­si­kos soll­ten nach der Art, dem Um­fang, den Um­stän­den und den Zwe­cken der Ver­ar­bei­tung be­stimmt wer­den. Das Ri­si­ko soll­te an­hand einer ob­jek­ti­ven Be­wer­tung be­ur­teilt wer­den, bei der fest­ge­stellt wird, ob die Da­ten­ver­ar­bei­tung ein hohes Ri­si­ko birgt. Ein hohes Ri­si­ko ist ein be­son­de­res Ri­si­ko der Be­ein­träch­ti­gung der Rech­te und Frei­hei­ten der be­trof­fe­nen Per­so­nen.

(53)    Zum Schutz der in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten be­stehen­den Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen ist es er­for­der­lich, dass ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men ge­trof­fen wer­den, damit die An­for­de­run­gen die­ser Richt­li­nie er­füllt wer­den. Die Um­set­zung die­ser Maß­nah­men soll­te nicht aus­schließ­lich von wirt­schaft­li­chen Er­wä­gun­gen ab­hän­gig ge­macht wer­den. Um die Ein­hal­tung die­ser Richt­li­nie nach­wei­sen zu kön­nen, soll­te der Ver­ant­wort­li­che in­ter­ne Stra­te­gien fest­le­gen und Maß­nah­men er­grei­fen, die ins­be­son­de­re den Grund­sät­zen des Da­ten­schut­zes durch Tech­nik­ge­stal­tung und durch da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen Ge­nü­ge tun. Hat der Ver­ant­wort­li­che eine Datenschutz-​Folgenabschätzung gemäß die­ser Richt­li­nie vor­ge­nom­men, soll­ten die ent­spre­chen­den Er­geb­nis­se bei der Ent­wick­lung die­ser Maß­nah­men und Ver­fah­ren be­rück­sich­tigt wer­den. Die Maß­nah­men könn­ten u. a. aus einer mög­lichst frü­hen Pseud­ony­mi­sie­rung be­stehen. Ge­ra­de durch die Pseud­ony­mi­sie­rung für die Zwe­cke die­ser Richt­li­nie könn­te der freie Ver­kehr per­so­nen­be­zo­ge­ner Daten im Raum der Frei­heit, der Si­cher­heit und des Rechts er­leich­tert wer­den.

(54)    Zum Schutz der Rech­te und Frei­hei­ten der be­trof­fe­nen Per­so­nen sowie be­züg­lich der Ver­ant­wor­tung und Haf­tung der Ver­ant­wort­li­chen und der Auf­trags­ver­ar­bei­ter be­darf es — auch mit Blick auf die Überwachungs-​ und sons­ti­gen Maß­nah­men von Auf­sichts­be­hör­den — einer kla­ren Zu­tei­lung der Ver­ant­wort­lich­kei­ten gemäß die­ser Richt­li­nie, ein­schließ­lich der Fälle, in denen ein Ver­ant­wort­li­cher die Ver­ar­bei­tungs­zwe­cke und -​mittel ge­mein­sam mit an­de­ren Ver­ant­wort­li­chen fest­legt oder ein Ver­ar­bei­tungs­vor­gang im Auf­trag eines Ver­ant­wort­li­chen durch­ge­führt wird.

(55)    Die Durch­füh­rung einer Ver­ar­bei­tung durch einen Auf­trags­ver­ar­bei­ter soll­te auf der Grund­la­ge eines Rechts­in­stru­ments ein­schließ­lich eines Ver­trags er­fol­gen, der den Auf­trags­ver­ar­bei­ter an den Ver­ant­wort­li­chen bin­det und in dem ins­be­son­de­re vor­ge­se­hen ist, dass der Auf­trags­ver­ar­bei­ter nur auf Wei­sung des Ver­ant­wort­li­chen han­deln soll­te. Der Auf­trags­ver­ar­bei­ter soll­te den Grund­satz des Da­ten­schut­zes durch Tech­nik­ge­stal­tung und durch da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen be­rück­sich­ti­gen.

(56)    Zum Nach­weis der Ein­hal­tung die­ser Richt­li­nie soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ein Ver­zeich­nis aller Ka­te­go­rien von Tä­tig­kei­ten, die sei­ner Zu­stän­dig­keit un­ter­lie­gen, füh­ren. Jeder Ver­ant­wort­li­che und jeder Auf­trags­ver­ar­bei­ter soll­te ver­pflich­tet sein, mit der Auf­sichts­be­hör­de zu­sam­men­zu­ar­bei­ten und die­ser auf An­fra­ge die­ses Ver­zeich­nis vor­zu­le­gen, damit die be­tref­fen­den Ver­ar­bei­tungs­vor­gän­ge an­hand die­ses Ver­zeich­nis­ses kon­trol­liert wer­den kön­nen. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter, der per­so­nen­be­zo­ge­ne Daten in nicht au­to­ma­ti­sier­ten Ver­ar­bei­tungs­sys­te­men ver­ar­bei­tet, soll­te über wirk­sa­me Me­tho­den zum Nach­weis der Recht­mä­ßig­keit der Ver­ar­bei­tung, zur Er­mög­li­chung der Ei­gen­über­wa­chung und zur Si­cher­stel­lung der In­te­gri­tät und Si­cher­heit der Daten, wie etwa Pro­to­kol­le oder an­de­re For­men von Ver­zeich­nis­sen, ver­fü­gen.

(57)    In au­to­ma­ti­sier­ten Ver­ar­bei­tungs­sys­te­men wer­den zu­min­dest über fol­gen­de Ver­ar­bei­tungs­vor­gän­ge Pro­to­kol­le ge­führt: Er­he­bung, Ver­än­de­rung, Ab­fra­ge, Of­fen­le­gung ein­schließ­lich Über­mitt­lun­gen, Kom­bi­na­ti­on oder Lö­schung. Die Iden­ti­fi­zie­rung der Per­son, die per­so­nen­be­zo­ge­ne Daten ab­ge­fragt oder of­fen­ge­legt hat, soll­te pro­to­kol­liert wer­den und aus die­ser Iden­ti­fi­zie­rung sollt sich die Be­grün­dung für die Ver­ar­bei­tungs­vor­gän­ge ab­lei­ten las­sen. Die Pro­to­kol­le soll­ten aus­schließ­lich zum Zwe­cke der Über­prü­fung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung, der Ei­gen­über­wa­chung, der Si­cher­stel­lung der In­te­gri­tät und Si­cher­heit der Daten sowie für Straf­ver­fah­ren ver­wen­det wer­den. Die Ei­gen­über­wa­chung um­fasst auch in­ter­ne Dis­zi­pli­nar­ver­fah­ren der zu­stän­di­gen Be­hör­den.

(58)    Eine Datenschutz-​Folgenabschätzung, die sich ins­be­son­de­re mit den Maß­nah­men, Ga­ran­tien und Ver­fah­ren be­fasst, die ge­plant sind den Schutz per­so­nen­be­zo­ge­ner Daten zu ge­währ­leis­ten und die die Ein­hal­tung der Be­stim­mun­gen die­ser Richt­li­nie nach­wei­sen sol­len, soll­te durch den Ver­ant­wort­li­chen durch­ge­führt wer­den, wenn die Ver­ar­bei­tungs­vor­gän­ge auf­grund ihres We­sens, ihres Um­fangs oder ihrer Zwe­cke vor­aus­sicht­lich ein hohes Ri­si­ko für die Rech­te und Frei­hei­ten der be­trof­fe­nen Per­so­nen zur Folge haben. Datenschutz-​Folgenabschätzungen soll­ten auf maß­geb­li­che Sys­te­me und Ver­fah­ren im Rah­men von Ver­ar­bei­tungs­vor­gän­gen ab­stel­len, nicht je­doch auf Ein­zel­fäl­le.

(59)    Um einen wirk­sa­men Schutz der Rech­te und Frei­hei­ten der be­trof­fe­nen Per­so­nen zu ge­währ­leis­ten, soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter in be­stimm­ten Fäl­len vor der Ver­ar­bei­tung die Auf­sichts­be­hör­de kon­sul­tie­ren.

(60)    Zur Auf­recht­erhal­tung der Si­cher­heit und zur Vor­beu­gung gegen eine gegen diese Richt­li­nie ver­sto­ßen­de Ver­ar­bei­tung soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter die mit der Ver­ar­bei­tung ver­bun­de­nen Ri­si­ken er­mit­teln und Maß­nah­men zu ihrer Ein­däm­mung, wie etwa eine Ver­schlüs­se­lung, tref­fen. Sol­che Maß­nah­men soll­ten unter Be­rück­sich­ti­gung des Stands der Tech­nik und der Im­ple­men­tie­rungs­kos­ten ein Schutz­ni­veau — auch hin­sicht­lich der Ver­trau­lich­keit — ge­währ­leis­ten, das dem von der Ver­ar­bei­tung aus­ge­hen­den Ri­si­ko und der Art der zu schüt­zen­den per­so­nen­be­zo­ge­nen Daten an­ge­mes­sen ist. Bei der Be­wer­tung der Da­ten­si­cher­heits­ri­si­ken soll­ten die mit der Da­ten­ver­ar­bei­tung ver­bun­de­nen Ri­si­ken be­rück­sich­tigt wer­den, wie etwa Ver­nich­tung, Ver­lust oder Ver­än­de­rung, ob un­be­ab­sich­tigt oder un­recht­mä­ßig, oder un­be­fug­te Of­fen­le­gung von oder un­be­fug­ter Zu­gang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, ge­spei­chert oder auf sons­ti­ge Weise ver­ar­bei­tet wur­den, ins­be­son­de­re wenn dies zu einem phy­si­schen, ma­te­ri­el­len oder im­ma­te­ri­el­len Scha­den füh­ren könn­te. Der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter soll­ten si­cher­stel­len, dass per­so­nen­be­zo­ge­ne Daten nicht durch Un­be­fug­te ver­ar­bei­tet wer­den.

(61)    Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten kann — wenn nicht recht­zei­tig und an­ge­mes­sen re­agiert wird — einen phy­si­schen, ma­te­ri­el­len oder im­ma­te­ri­el­len Scha­den für na­tür­li­che Per­so­nen nach sich zie­hen, wie etwa Ver­lust der Kon­trol­le über ihre per­so­nen­be­zo­ge­nen Daten oder Ein­schrän­kung ihrer Rech­te, Dis­kri­mi­nie­rung, Iden­ti­täts­dieb­stahl oder -​betrug, fi­nan­zi­el­le Ver­lus­te, un­be­fug­te Auf­he­bung der Pseud­ony­mi­sie­rung, Ruf­schä­di­gung, Ver­lust der Ver­trau­lich­keit von dem Be­rufs­ge­heim­nis un­ter­lie­gen­den per­so­nen­be­zo­ge­nen Daten oder an­de­re er­heb­li­che wirt­schaft­li­che oder ge­sell­schaft­li­che Nach­tei­le für die be­trof­fe­ne na­tür­li­che Per­son. Des­halb soll­te der Ver­ant­wort­li­che, so­bald ihm eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten be­kannt wird, die Auf­sichts­be­hör­de von der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten un­ver­züg­lich und, falls mög­lich, bin­nen höchs­tens 72 Stun­den nach­dem ihm die Ver­let­zung be­kannt wurde, un­ter­rich­ten, es sei denn der Ver­ant­wort­li­che kann im Ein­klang mit dem Grund­satz der Re­chen­schafts­pflicht nach­wei­sen, dass die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich nicht zu einem Ri­si­ko für die per­sön­li­chen Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen führt. Falls diese Be­nach­rich­ti­gung nicht bin­nen 72 Stun­den er­fol­gen kann, soll­ten in ihr die Grün­de für die Ver­zö­ge­rung an­ge­ge­ben wer­den müs­sen, und die In­for­ma­tio­nen kön­nen schritt­wei­se ohne un­an­ge­mes­se­ne wei­te­re Ver­zö­ge­rung be­reit­ge­stellt wer­den.

(62)    Na­tür­li­che Per­so­nen, soll­ten un­ver­züg­lich be­nach­rich­tigt wer­den, wenn die Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten vor­aus­sicht­lich zu einem hohen Ri­si­ko für die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen führt, damit sie die er­for­der­li­chen Vor­keh­run­gen tref­fen kön­nen. Die Be­nach­rich­ti­gung soll­te eine Be­schrei­bung der Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten sowie an die be­trof­fe­ne na­tür­li­che Per­son ge­rich­te­te Emp­feh­lun­gen zur Min­de­rung et­wa­iger nach­tei­li­ger Aus­wir­kun­gen die­ser Ver­let­zung ent­hal­ten. Die Be­nach­rich­ti­gung der be­trof­fe­nen Per­son soll­te stets so rasch wie nach all­ge­mei­nem Er­mes­sen mög­lich, in enger Ab­spra­che mit der Auf­sichts­be­hör­de und nach Maß­ga­be der von die­ser oder von an­de­ren zu­stän­di­gen Be­hör­den er­teil­ten Wei­sun­gen er­fol­gen. Um bei­spiels­wei­se das Ri­si­ko eines un­mit­tel­ba­ren Scha­dens min­dern zu kön­nen, müss­te die be­trof­fe­ne Per­son so­fort be­nach­rich­tigt wer­den, wo­hin­ge­gen eine län­ge­re Be­nach­rich­ti­gungs­frist ge­recht­fer­tigt sein kann, wenn es darum geht, ge­eig­ne­te Maß­nah­men gegen fort­lau­fen­de oder ähn­li­che Ver­let­zun­gen des Schut­zes von Daten zu tref­fen. In Aus­nah­me­fäl­len könn­te die Be­nach­rich­ti­gung der von einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten be­trof­fe­nen na­tür­li­chen Per­son un­ter­blei­ben, wenn ein Auf­schub oder eine Ein­schrän­kung die­ser Be­nach­rich­ti­gung nicht aus­reicht, um be­hörd­li­che oder ge­richt­li­che Un­ter­su­chun­gen, Er­mitt­lun­gen und Ver­fah­ren nicht zu be­hin­dern, die Ver­hü­tung, Auf­de­ckung, Er­mitt­lung oder Ver­fol­gung von Straf­ta­ten oder die Straf­voll­stre­ckung nicht zu ge­fähr­den und um die öf­fent­li­che und die na­tio­na­le Si­cher­heit oder die Rech­te und Frei­hei­ten an­de­rer zu schüt­zen.

(63)    Der Ver­ant­wort­li­che soll­te eine Per­son be­nen­nen, die ihn dabei un­ter­stützt, die in­ter­ne Ein­hal­tung der nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten zu über­wa­chen, es sei denn, ein Mit­glied­staat be­schließt eine Aus­nah­me­re­ge­lung für Ge­rich­te und an­de­re un­ab­hän­gi­ge Jus­tiz­be­hör­den im Rah­men ihrer jus­tizi­el­len Tä­tig­keit. Bei die­ser Per­son kann es sich um ein Mit­glied des vor­han­de­nen Per­so­nals des Ver­ant­wort­li­chen han­deln, das eine be­son­de­re Schu­lung auf dem Ge­biet der Da­ten­schutz­vor­schrif­ten und der Da­ten­schutz­pra­xis er­hal­ten hat, um ein­schlä­gi­ges Fach­wis­sen in die­sem Be­reich zu er­wer­ben. Der Grad des er­for­der­li­chen Fach­wis­sens soll­te sich ins­be­son­de­re nach der Art der durch­ge­führ­ten Da­ten­ver­ar­bei­tung und des er­for­der­li­chen Schut­zes für die von dem Ver­ant­wort­li­chen ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten rich­ten. Die be­tref­fen­de Per­son kann ihre Auf­ga­be auf Teilzeit-​ oder Voll­zeit­ba­sis wahr­neh­men. Meh­re­re Ver­ant­wort­li­che kön­nen unter Be­rück­sich­ti­gung ihrer Or­ga­ni­sa­ti­ons­struk­tur und ihrer Größe ge­mein­sam einen Da­ten­schutz­be­auf­trag­ten be­stel­len, zum Bei­spiel im Falle einer ge­mein­sa­men Nut­zung von Res­sour­cen in zen­tra­len Stel­len. Die be­tref­fen­de Per­son kann auch für ver­schie­de­ne Po­si­tio­nen in­ner­halb der Struk­tur der je­weils Ver­ant­wort­li­chen be­nannt wer­den. Sie soll­te den Ver­ant­wort­li­chen und die Be­schäf­tig­ten, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, un­ter­stüt­zen, indem sie diese Per­so­nen über die Ein­hal­tung ihrer je­wei­li­gen Da­ten­schutz­pflich­ten un­ter­rich­tet und berät. Diese Da­ten­schutz­be­auf­trag­ten soll­ten ihren Auf­trag und ihre Auf­ga­ben auf un­ab­hän­gi­ge Weise gemäß dem Recht der Mit­glied­staa­ten wahr­neh­men kön­nen.

(64)    Die Mit­glied­staa­ten soll­ten dafür sor­gen, dass Daten nur dann an ein Dritt­land oder eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on über­mit­telt wer­den, wenn dies für die Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder für die Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit, not­wen­dig ist und es sich bei dem Ver­ant­wort­li­chen in dem Dritt­land oder in der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on um eine zu­stän­di­ge Be­hör­de im Sinne die­ser Richt­li­nie han­delt. Eine Über­mitt­lung soll­te nur durch zu­stän­di­ge Be­hör­den vor­ge­nom­men wer­den, die als Ver­ant­wort­li­che agie­ren, es sei denn, Auf­trags­ver­ar­bei­ter wer­den aus­drück­lich be­auf­tragt, im Namen der Ver­ant­wort­li­chen Über­mitt­lun­gen vor­zu­neh­men. Der­ar­ti­ge Über­mitt­lun­gen kön­nen er­fol­gen, wenn die Kom­mis­si­on be­schlos­sen hat, dass das be­tref­fen­de Dritt­land oder die be­tref­fen­de in­ter­na­tio­na­le Or­ga­ni­sa­ti­on ein an­ge­mes­se­nes Schutz­ni­veau ge­währ­leis­tet, oder wenn ge­eig­ne­te Ga­ran­tien be­stehen oder wenn Aus­nah­men für be­stimm­te Fälle gel­ten. Das durch diese Richt­li­nie uni­ons­weit ge­währ­leis­te­te Schutz­ni­veau für na­tür­li­che Per­so­nen soll­te bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten aus der Union an Ver­ant­wort­li­che, Auf­trags­ver­ar­bei­ter oder an­de­re Emp­fän­ger in Dritt­län­dern oder an in­ter­na­tio­na­le Or­ga­ni­sa­tio­nen nicht un­ter­gra­ben wer­den, und zwar auch dann nicht, wenn aus dem Dritt­land oder von der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten an Ver­ant­wort­li­che oder Auf­trags­ver­ar­bei­ter in dem­sel­ben oder einem an­de­ren Dritt­land oder an die­sel­be oder eine an­de­re in­ter­na­tio­na­le Or­ga­ni­sa­ti­on wei­ter­über­mit­telt wer­den.

(65)    Wer­den per­so­nen­be­zo­ge­ne Daten von einem Mit­glied­staat an Dritt­län­der oder in­ter­na­tio­na­le Or­ga­ni­sa­tio­nen über­mit­telt, so soll­te die Über­mitt­lung grund­sätz­lich erst dann er­fol­gen, wenn der Mit­glied­staat, von dem die Daten stam­men, die Über­mitt­lung ge­neh­migt hat. Im In­ter­es­se einer wirk­sa­men Zu­sam­men­ar­beit bei der Ver­hü­tung, Er­mitt­lung und Auf­de­ckung von Straf­ta­ten ist es er­for­der­lich, dass im Falle einer Ge­fahr für die öf­fent­li­che Si­cher­heit eines Mit­glied­staats oder eines Dritt­lan­des oder für die we­sent­li­chen In­ter­es­sen eines Mit­glied­staats, die so un­ver­mit­telt ein­tritt, dass es un­mög­lich ist, recht­zei­tig eine vor­he­ri­ge Ge­neh­mi­gung ein­zu­ho­len, die zu­stän­di­ge Be­hör­de die maß­geb­li­chen per­so­nen­be­zo­ge­nen Daten ohne vor­he­ri­ge Ge­neh­mi­gung an das be­tref­fen­de Dritt­land oder die be­tref­fen­de in­ter­na­tio­na­le Or­ga­ni­sa­ti­on über­mit­teln kön­nen soll­te. Die Mit­glied­staa­ten soll­ten vor­se­hen, dass Dritt­län­dern oder in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen et­wa­ige be­son­de­re Be­din­gun­gen für die Über­mitt­lung mit­ge­teilt wer­den. Die Wei­ter­über­mitt­lung per­so­nen­be­zo­ge­ner Daten soll­te der vor­he­ri­gen Ge­neh­mi­gung durch die zu­stän­di­ge Be­hör­de be­dür­fen, die die ur­sprüng­li­che Über­mitt­lung durch­ge­führt hat. Bei der Ent­schei­dung über einen An­trag auf die Ge­neh­mi­gung einer Wei­ter­über­mitt­lung soll­te die zu­stän­di­ge Be­hör­de, die die ur­sprüng­li­che Über­mitt­lung durch­ge­führt hat, alle maß­geb­li­chen Fak­to­ren ge­büh­rend be­rück­sich­ti­gen, ein­schließ­lich der Schwe­re der Straf­tat, der spe­zi­fi­schen Auf­la­gen und des Zwecks der ur­sprüng­li­chen Da­ten­über­mitt­lung, der Art und der Be­din­gun­gen der Straf­voll­stre­ckung sowie des Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten in dem Dritt­land oder der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on, an das bzw. die per­so­nen­be­zo­ge­ne Daten wei­ter­über­mit­telt wer­den sol­len. Die zu­stän­di­ge Be­hör­de, die die ur­sprüng­li­che Über­mitt­lung durch­ge­führt hat, soll­te die Wei­ter­über­mitt­lung auch an be­son­de­re Be­din­gun­gen knüp­fen kön­nen. Diese be­son­de­ren Be­din­gun­gen kön­nen zum Bei­spiel in Be­ar­bei­tungs­codes dar­ge­legt wer­den.

(66)    Die Kom­mis­si­on soll­te mit Wir­kung für die ge­sam­te Union be­schlie­ßen kön­nen, dass be­stimm­te Dritt­län­der, ein Ge­biet oder ein oder meh­re­re spe­zi­fi­sche Sek­to­ren in einem Dritt­land oder eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on ein an­ge­mes­se­nes Da­ten­schutz­ni­veau bie­ten, und auf diese Weise in Bezug auf die Dritt­län­der und in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen, die für fähig ge­hal­ten wer­den, ein sol­ches Schutz­ni­veau zu bie­ten, in der ge­sam­ten Union Rechts­si­cher­heit schaf­fen und eine ein­heit­li­che Rechts­an­wen­dung si­cher­stel­len. In der­ar­ti­gen Fäl­len soll­ten per­so­nen­be­zo­ge­ne Daten ohne be­son­de­re Ge­neh­mi­gung an diese Län­der über­mit­telt wer­den kön­nen, es sei denn, dass ein an­de­rer Mit­glied­staat, von dem die Daten stam­men, die Über­mitt­lung zu ge­neh­mi­gen hat.

(67)    In Über­ein­stim­mung mit den Grund­wer­ten der Union, zu denen ins­be­son­de­re der Schutz der Men­schen­rech­te zählt, soll­te die Kom­mis­si­on bei der Be­wer­tung des Dritt­lan­des oder eines Ge­biets oder eines be­stimm­ten Sek­tors in einem Dritt­land be­rück­sich­ti­gen, in­wie­weit in einem be­stimm­ten Dritt­land die Rechts­staat­lich­keit ge­wahrt ist, der Rechts­weg ge­währ­leis­tet ist und die in­ter­na­tio­na­len Men­schen­rechts­nor­men und -​standards ein­ge­hal­ten wer­den und wel­che all­ge­mei­nen und sek­tor­spe­zi­fi­schen Vor­schrif­ten, wozu auch die Vor­schrif­ten über die öf­fent­li­che Si­cher­heit, die Lan­des­ver­tei­di­gung, die na­tio­na­le Si­cher­heit und öf­fent­li­che Ord­nung sowie das Straf­recht zäh­len, dort gel­ten. Die An­nah­me eines An­ge­mes­sen­heits­be­schlus­ses in Bezug auf ein Ge­biet oder einen be­stimm­ten Sek­tor in einem Dritt­land soll­te unter Be­rück­sich­ti­gung ein­deu­ti­ger und ob­jek­ti­ver Kri­te­ri­en wie be­stimm­ter Ver­ar­bei­tungs­vor­gän­ge und des An­wen­dungs­be­reichs an­wend­ba­rer Rechts­nor­men und gel­ten­der Rechts­vor­schrif­ten in dem Dritt­land er­fol­gen. Das Dritt­land soll­te Ga­ran­tien für ein an­ge­mes­se­nes Schutz­ni­veau bie­ten, das im We­sent­li­chen dem in­ner­halb der Union ge­währ­leis­te­ten Schutz­ni­veau der Sache nach gleich­wer­tig ist, ins­be­son­de­re in Fäl­len, in denen Daten in einem oder meh­re­ren spe­zi­fi­schen Sek­to­ren ver­ar­bei­tet wer­den. Das Dritt­land soll­te ins­be­son­de­re eine wirk­sa­me un­ab­hän­gi­ge Über­wa­chung des Da­ten­schut­zes ge­währ­leis­ten und Me­cha­nis­men für eine Zu­sam­men­ar­beit mit den Da­ten­schutz­be­hör­den der Mit­glied­staa­ten vor­se­hen, und den be­trof­fe­nen Per­so­nen soll­ten wirk­sa­me und durch­setz­ba­re Rech­te sowie wirk­sa­me be­hörd­li­che und ge­richt­li­che Rechts­be­hel­fe ein­ge­räumt wer­den.

(68)    Die Kom­mis­si­on soll­te neben den in­ter­na­tio­na­len Ver­pflich­tun­gen, die das Dritt­land oder die in­ter­na­tio­na­le Or­ga­ni­sa­ti­on ein­ge­gan­gen ist, auch die Ver­pflich­tun­gen, die sich aus der Teil­nah­me des Dritt­lan­des oder der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on an mul­ti­la­te­ra­len oder re­gio­na­len Sys­te­men ins­be­son­de­re im Hin­blick auf den Schutz per­so­nen­be­zo­ge­ner Daten er­ge­ben, sowie die Um­set­zung die­ser Ver­pflich­tun­gen be­rück­sich­ti­gen. Ins­be­son­de­re soll­te der Bei­tritt des Dritt­lan­des zum Über­ein­kom­men des Eu­ro­pa­ra­tes vom 28. Ja­nu­ar 1981 zum Schutz des Men­schen bei der au­to­ma­ti­schen Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und dem da­zu­ge­hö­ri­gen Zu­satz­pro­to­koll be­rück­sich­tigt wer­den. Die Kom­mis­si­on soll­te den durch die Ver­ord­nung (EU) 2016/679 ein­ge­setz­ten Eu­ro­päi­schen Da­ten­schutz­aus­schuss (im Fol­gen­den „Aus­schuss“) kon­sul­tie­ren, wenn sie das Schutz­ni­veau in Dritt­län­dern oder in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen be­wer­tet. Die Kom­mis­si­on soll­te fer­ner alle maß­geb­li­chen An­ge­mes­sen­heits­be­schlüs­se be­rück­sich­ti­gen, die sie nach Ar­ti­kel 45 der Ver­ord­nung (EU) 2016/679 an­ge­nom­men hat.

(69)    Die Kom­mis­si­on soll­te die Wirk­sam­keit von Fest­stel­lun­gen zum Schutz­ni­veau in einem Dritt­land, einem Ge­biet oder einem spe­zi­fi­schen Sek­tor in einem Dritt­land oder einer in­ter­na­tio­na­len Or­ga­ni­sa­ti­on über­wa­chen. In ihren An­ge­mes­sen­heits­be­schlüs­sen soll­te die Kom­mis­si­on einen Me­cha­nis­mus für die re­gel­mä­ßi­ge Über­prü­fung ihrer Wir­kungs­wei­se vor­se­hen. Diese re­gel­mä­ßi­ge Über­prü­fung soll­te in Kon­sul­ta­ti­on mit dem be­tref­fen­den Dritt­land oder der be­tref­fen­den in­ter­na­tio­na­len Or­ga­ni­sa­ti­on er­fol­gen und allen maß­geb­li­chen Ent­wick­lun­gen in dem Dritt­land oder der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on Rech­nung tra­gen.

(70)    Die Kom­mis­si­on soll­te auch fest­stel­len kön­nen, dass ein Dritt­land, ein Ge­biet oder ein spe­zi­fi­scher Sek­tor in einem Dritt­land oder eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on kein an­ge­mes­se­nes Da­ten­schutz­ni­veau mehr bie­tet. Die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an die­ses Dritt­land oder an diese in­ter­na­tio­na­le Or­ga­ni­sa­ti­on soll­te dar­auf­hin ver­bo­ten wer­den, es sei denn, die An­for­de­run­gen die­ser Richt­li­nie in Bezug auf Da­ten­über­mitt­lung vor­be­halt­lich ge­eig­ne­ter Ga­ran­tien und Aus­nah­men für be­stimm­te Fälle wer­den er­füllt. Es soll­ten Ver­fah­ren für Kon­sul­ta­tio­nen zwi­schen der Kom­mis­si­on und den be­tref­fen­den Dritt­län­dern oder in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen vor­ge­se­hen wer­den. Die Kom­mis­si­on soll­te dem Dritt­land oder der in­ter­na­tio­na­len Or­ga­ni­sa­ti­on früh­zei­tig die Grün­de mit­tei­len und Kon­sul­ta­tio­nen auf­neh­men, um Ab­hil­fe für die Si­tua­ti­on zu schaf­fen.

(71)    Da­ten­über­mitt­lun­gen, die nicht auf der Grund­la­ge eines An­ge­mes­sen­heits­be­schlus­ses er­fol­gen, soll­ten nur dann zu­läs­sig sein, wenn in einem rechts­ver­bind­li­chen In­stru­ment ge­eig­ne­te Ga­ran­tien fest­ge­legt sind, die den Schutz per­so­nen­be­zo­ge­ner Daten ge­währ­leis­ten, oder wenn der Ver­ant­wort­li­che alle Um­stän­de be­ur­teilt hat, die bei der Da­ten­über­mitt­lung eine Rolle spie­len, und auf der Grund­la­ge die­ser Be­ur­tei­lung zu der Auf­fas­sung ge­langt ist, dass ge­eig­ne­te Ga­ran­tien zum Schutz per­so­nen­be­zo­ge­ner Daten be­stehen. Sol­che rechts­ver­bind­li­chen In­stru­men­te könn­ten bei­spiels­wei­se rechts­ver­bind­li­che bi­la­te­ra­le Ab­kom­men sein, die von den Mit­glied­staa­ten ge­schlos­sen und in ihre Rechts­ord­nung über­nom­men wur­den und von ihren be­trof­fe­nen Per­so­nen durch­ge­setzt wer­den kön­nen und die si­cher­stel­len, dass die Da­ten­schutz­vor­schrif­ten und die Rech­te der be­trof­fe­nen Per­so­nen ein­schließ­lich ihres Rechts auf wirk­sa­me ver­wal­tungs­recht­li­che und ge­richt­li­che Rechts­be­hel­fe be­ach­tet wer­den. Der Ver­ant­wort­li­che soll­te Ko­ope­ra­ti­ons­ver­ein­ba­run­gen zwi­schen Eu­ro­pol oder Eu­ro­just und Dritt­län­dern be­rück­sich­ti­gen kön­nen, die den Aus­tausch per­so­nen­be­zo­ge­ner Daten er­mög­li­chen, wenn er alle Um­stän­de im Zu­sam­men­hang mit der Da­ten­über­mitt­lung be­ur­teilt. Der Ver­ant­wort­li­che soll­te au­ßer­dem be­rück­sich­ti­gen kön­nen, dass die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten Ge­heim­hal­tungs­pflich­ten und dem Grund­satz der Spe­zia­li­tät un­ter­liegt, damit ge­währ­leis­tet wird, dass die Daten nicht zu an­de­ren Zwe­cken als zu den Zwe­cken, zu denen sie über­mit­telt wur­den, ver­ar­bei­tet wer­den. Dar­über hin­aus soll­te der Ver­ant­wort­li­che be­rück­sich­ti­gen, dass die per­so­nen­be­zo­ge­nen Daten nicht ver­wen­det wer­den, um die To­des­stra­fe oder eine Form der grau­sa­men und un­mensch­li­chen Be­hand­lung zu be­an­tra­gen, zu ver­hän­gen oder zu voll­stre­cken. Diese Be­din­gun­gen könn­ten zwar als ge­eig­ne­te Ga­ran­tien an­ge­se­hen wer­den, die die Da­ten­über­mitt­lung zu­las­sen, je­doch soll­te der Ver­ant­wort­li­che zu­sätz­li­che Ga­ran­tien ver­lan­gen kön­nen.

(72)    Sind weder ein An­ge­mes­sen­heits­be­schluss noch ge­eig­ne­te Ga­ran­tien vor­han­den, so soll­te eine Über­mitt­lung oder eine Ka­te­go­rie von Über­mitt­lun­gen nur in be­stimm­ten Fäl­len er­fol­gen kön­nen, in denen dies er­for­der­lich ist: zur Wah­rung we­sent­li­cher In­ter­es­sen der be­trof­fe­nen oder einer an­de­ren Per­son; zum Schutz be­rech­tig­ter In­ter­es­sen der be­trof­fe­nen Per­son, wenn dies nach dem Recht des Mit­glied­staats, aus dem die per­so­nen­be­zo­ge­nen Daten über­mit­telt wer­den, vor­ge­se­hen ist; zur Ab­wehr einer un­mit­tel­ba­ren, ernst­haf­ten Ge­fahr für die öf­fent­li­che Si­cher­heit eines Mit­glied­staats oder eines Dritt­lan­des; in einem Ein­zel­fall zum Zwe­cke der Ver­hü­tung, Er­mitt­lung, Auf­de­ckung oder Ver­fol­gung von Straf­ta­ten oder der Straf­voll­stre­ckung, ein­schließ­lich des Schut­zes vor und der Ab­wehr von Ge­fah­ren für die öf­fent­li­che Si­cher­heit; oder in einem Ein­zel­fall zur Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechts­an­sprü­chen. Diese Aus­nah­men soll­ten re­strik­tiv aus­ge­legt wer­den, häu­fi­ge, um­fas­sen­de und struk­tu­rel­le Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten sowie Da­ten­über­mitt­lun­gen in gro­ßem Um­fang aus­schlie­ßen und daher auf un­be­dingt not­wen­di­ge Daten be­schränkt sein. Der­ar­ti­ge Über­mitt­lun­gen soll­ten do­ku­men­tiert wer­den, und die ent­spre­chen­de Do­ku­men­ta­ti­on soll­te der Auf­sichts­be­hör­de auf An­fra­ge zur Ver­fü­gung ge­stellt wer­den, damit diese die Recht­mä­ßig­keit der Über­mitt­lung über­prü­fen kann.

(73)    Die zu­stän­di­gen Be­hör­den der Mit­glied­staa­ten wen­den die gel­ten­den bi­la­te­ra­len oder mul­ti­la­te­ra­len in­ter­na­tio­na­len Über­ein­künf­te, die mit Dritt­län­dern auf den Ge­bie­ten der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit ge­schlos­sen wur­den, für den Aus­tausch maß­geb­li­cher In­for­ma­tio­nen an, um ihnen zu er­mög­li­chen, die ihnen recht­lich zu­ge­wie­se­nen Auf­ga­ben wahr­zu­neh­men. Grund­sätz­lich er­folgt dies über die im be­tref­fen­den Dritt­land für die Zwe­cke die­ser Richt­li­nie zu­stän­di­gen Be­hör­den oder zu­min­dest in Zu­sam­men­ar­beit mit die­sen Be­hör­den des Dritt­lan­des, mit­un­ter auch dann, wenn keine bi­la­te­ra­le oder mul­ti­la­te­ra­le in­ter­na­tio­na­le Über­ein­kunft exis­tiert. In spe­zi­el­len Ein­zel­fäl­len kön­nen die re­gu­lä­ren Ver­fah­ren, die eine Kon­takt­auf­nah­me mit die­ser Be­hör­de in dem be­tref­fen­den Dritt­land vor­schrei­ben, wir­kungs­los oder un­ge­eig­net sein, ins­be­son­de­re weil die Über­mitt­lung nicht recht­zei­tig durch­ge­führt wer­den konn­te oder weil diese Be­hör­de in dem be­tref­fen­den Dritt­land die Rechts­staat­lich­keit oder die in­ter­na­tio­na­len Men­schen­rechts­be­stim­mun­gen nicht ach­tet, so dass die zu­stän­di­gen Be­hör­den der Mit­glied­staa­ten be­schlie­ßen kön­nen, die per­so­nen­be­zo­ge­nen Daten di­rekt an in Dritt­län­dern nie­der­ge­las­se­ne Emp­fän­ger zu über­mit­teln. Dies kann der Fall sein, wenn es drin­gend ge­bo­ten ist, per­so­nen­be­zo­ge­ne Daten zu über­mit­teln, um das Leben einer Per­son zu schüt­zen, die Ge­fahr läuft, Opfer einer Straf­tat zu wer­den, oder um die un­mit­tel­bar be­vor­ste­hen­de Be­ge­hung einer Straf­tat, ein­schließ­lich einer ter­ro­ris­ti­schen Straf­tat, zu ver­hin­dern. Auch wenn eine sol­che Über­mitt­lung zwi­schen zu­stän­di­gen Be­hör­den und in Dritt­län­dern nie­der­ge­las­se­nen Emp­fän­gern nur in spe­zi­el­len Ein­zel­fäl­len er­fol­gen soll­te, soll­te diese Richt­li­nie die Vor­aus­set­zun­gen für die Re­ge­lung sol­cher Fälle vor­se­hen. Diese Be­stim­mun­gen soll­ten nicht als Aus­nah­men von gel­ten­den bi­la­te­ra­len oder mul­ti­la­te­ra­len in­ter­na­tio­na­len Über­ein­künf­ten auf den Ge­bie­ten der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit be­trach­tet wer­den. Diese Vor­schrif­ten soll­ten zu­sätz­lich zu den sons­ti­gen Vor­schrif­ten die­ser Richt­li­nie gel­ten, ins­be­son­de­re den Vor­schrif­ten über die Recht­mä­ßig­keit der Ver­ar­bei­tung und Ka­pi­tel V.

(74)    Wenn per­so­nen­be­zo­ge­ne Daten in ein an­de­res Land über­mit­telt wer­den, kann dies dazu füh­ren, dass na­tür­li­che Per­so­nen we­ni­ger Mög­lich­kei­ten haben, ihre Da­ten­schutz­rech­te wahr­zu­neh­men und sich gegen eine un­recht­mä­ßi­ge Nut­zung oder Of­fen­le­gung die­ser Daten zu schüt­zen. Eben­so kann es vor­kom­men, dass Auf­sichts­be­hör­den Be­schwer­den nicht nach­ge­hen oder Un­ter­su­chun­gen nicht durch­füh­ren kön­nen, die einen Bezug zu Tä­tig­kei­ten au­ßer­halb der Gren­zen ihres Mit­glied­staats haben. Ihre Be­mü­hun­gen um grenz­über­grei­fen­de Zu­sam­men­ar­beit kön­nen auch durch un­zu­rei­chen­de Präventiv-​ und Ab­hil­fe­be­fug­nis­se und durch wi­der­sprüch­li­che Rechts­ord­nun­gen be­hin­dert wer­den. Die Zu­sam­men­ar­beit zwi­schen den Da­ten­schutz­auf­sichts­be­hör­den muss daher ge­för­dert wer­den, um ihnen den In­for­ma­ti­ons­aus­tausch mit Auf­sichts­be­hör­den in an­de­ren Län­dern zu er­leich­tern.

(75)    Die Ein­rich­tung von Auf­sichts­be­hör­den in den Mit­glied­staa­ten, die ihre Auf­ga­ben völ­lig un­ab­hän­gig er­fül­len kön­nen, ist ein we­sent­li­cher Be­stand­teil des Schut­zes na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Die Auf­sichts­be­hör­den soll­ten die An­wen­dung der nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten über­wa­chen und zu ihrer ein­heit­li­chen An­wen­dung in der ge­sam­ten Union bei­tra­gen, um na­tür­li­che Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu schüt­zen. Zu die­sem Zweck be­darf es der Zu­sam­men­ar­beit der Auf­sichts­be­hör­den un­ter­ein­an­der und mit der Kom­mis­si­on.

(76)    Die Mit­glied­staa­ten kön­nen einer be­reits gemäß der Ver­ord­nung (EU) 2016/679 er­rich­te­ten Auf­sichts­be­hör­de die Ver­ant­wor­tung für die Auf­ga­ben über­tra­gen, die von den nach die­ser Richt­li­nie ein­zu­rich­ten­den na­tio­na­len Auf­sichts­be­hör­den aus­zu­füh­ren sind.

(77)    Die Mit­glied­staa­ten soll­ten mehr als eine Auf­sichts­be­hör­de ein­rich­ten kön­nen, wenn dies ihrer ver­fas­sungs­mä­ßi­gen, or­ga­ni­sa­to­ri­schen und ad­mi­nis­tra­ti­ven Struk­tur ent­spricht. Jede Auf­sichts­be­hör­de soll­te mit Fi­nanz­mit­teln, Per­so­nal, Räum­lich­kei­ten und einer In­fra­struk­tur aus­ge­stat­tet wer­den, wie sie für die wirk­sa­me Wahr­neh­mung ihrer Auf­ga­ben, auch der Auf­ga­ben im Zu­sam­men­hang mit der Amts­hil­fe und Zu­sam­men­ar­beit mit an­de­ren Auf­sichts­be­hör­den in der ge­sam­ten Union, not­wen­dig sind. Jede Auf­sichts­be­hör­de soll­te über ei­ge­ne, öf­fent­li­che, jähr­li­che Haus­halts­plä­ne ver­fü­gen, die Teil des ge­sam­ten Staats­haus­halts oder na­tio­na­len Haus­halts sein kön­nen.

(78)    Die Auf­sichts­be­hör­den soll­ten un­ab­hän­gi­gen Kontroll-​ oder Über­wa­chungs­me­cha­nis­men hin­sicht­lich ihrer Aus­ga­ben un­ter­lie­gen, so­fern diese Fi­nanz­kon­trol­le ihre Un­ab­hän­gig­keit nicht be­rührt.

(79)    Die all­ge­mei­nen An­for­de­run­gen an das Mit­glied oder die Mit­glie­der der Auf­sichts­be­hör­de soll­ten durch Recht der Mit­glied­staa­ten ge­re­gelt wer­den und ins­be­son­de­re vor­se­hen, dass diese Mit­glie­der ent­we­der vom Par­la­ment oder von der Re­gie­rung oder dem Staats­ober­haupt des be­tref­fen­den Mit­glied­staats auf Vor­schlag der Re­gie­rung oder eines Re­gie­rungs­mit­glieds oder des Par­la­ments oder des­sen Kam­mer oder von einer un­ab­hän­gi­gen Stel­le er­nannt wer­den, die nach dem Recht des Mit­glied­staats mit der Er­nen­nung im Wege eines trans­pa­ren­ten Ver­fah­rens be­traut wird. Um die Un­ab­hän­gig­keit der Auf­sichts­be­hör­de zu ge­währ­leis­ten, soll­ten ihre Mit­glie­der in­te­ger han­deln, von allen mit den Auf­ga­ben ihres Amts nicht zu ver­ein­ba­ren­den Hand­lun­gen ab­se­hen und wäh­rend ihrer Amts­zeit keine an­de­re mit ihrem Amt nicht zu ver­ein­ba­ren­de ent­gelt­li­che oder un­ent­gelt­li­che Tä­tig­keit aus­üben. Um die Un­ab­hän­gig­keit der Auf­sichts­be­hör­de zu ge­währ­leis­ten, soll­te ihr Per­so­nal von der Auf­sichts­be­hör­de selbst aus­ge­wählt wer­den; dabei kann eine un­ab­hän­gi­ge, nach dem Recht des Mit­glied­staats be­trau­te Stel­le ein­ge­schal­tet wer­den.

(80)    Ob­gleich diese Richt­li­nie auch für die Tä­tig­keit der na­tio­na­len Ge­rich­te und an­de­rer Jus­tiz­be­hör­den gilt, soll­te sich die Zu­stän­dig­keit der Auf­sichts­be­hör­den nicht auf die von Ge­rich­ten im Rah­men ihrer jus­tizi­el­len Tä­tig­keit vor­ge­nom­me­nen Da­ten­ver­ar­bei­tun­gen er­stre­cken, damit die Un­ab­hän­gig­keit der Rich­ter bei der Aus­übung ihrer rich­ter­li­chen Auf­ga­ben ge­wahrt bleibt. Diese Aus­nah­me soll­te al­ler­dings be­grenzt wer­den auf jus­tizi­el­le Tä­tig­kei­ten in Ge­richts­sa­chen und sich nicht auf an­de­re Tä­tig­kei­ten be­zie­hen, mit denen Rich­ter nach dem Recht der Mit­glied­staa­ten be­traut wer­den kön­nen. Die Mit­glied­staa­ten soll­ten au­ßer­dem vor­se­hen kön­nen, dass sich die Zu­stän­dig­keit der Auf­sichts­be­hör­de nicht auf die Über­wa­chung der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten er­streckt, die durch an­de­re un­ab­hän­gi­ge Jus­tiz­be­hör­den im Rah­men ihrer jus­tizi­el­len Tä­tig­keit, bei­spiels­wei­se Staats­an­walt­schaf­ten, er­folgt. Die Ein­hal­tung der Vor­schrif­ten die­ser Richt­li­nie durch die Ge­rich­te und an­de­re un­ab­hän­gi­ge Jus­tiz­be­hör­den un­ter­liegt in jedem Fall stets der un­ab­hän­gi­gen Über­wa­chung gemäß Ar­ti­kel 8 Ab­satz 3 der Char­ta.

(81)    Jede Auf­sichts­be­hör­de soll­te sich mit Be­schwer­den von be­trof­fe­nen Per­so­nen be­fas­sen und die An­ge­le­gen­heit un­ter­su­chen oder an die zu­stän­di­ge Auf­sichts­be­hör­de über­mit­teln. Die auf eine Be­schwer­de fol­gen­de Un­ter­su­chung soll­te vor­be­halt­lich einer ge­richt­li­chen Über­prü­fung so weit gehen, wie dies im Ein­zel­fall an­ge­mes­sen ist. Die Auf­sichts­be­hör­de soll­te die be­trof­fe­ne Per­son in­ner­halb eines an­ge­mes­se­nen Zeit­raums über den Stand und die Er­geb­nis­se der Be­schwer­de un­ter­rich­ten. Soll­ten wei­te­re Un­ter­su­chun­gen oder die Ab­stim­mung mit einer an­de­ren Auf­sichts­be­hör­de er­for­der­lich sein, so soll­te die be­trof­fe­ne Per­son über den Zwi­schen­stand in­for­miert wer­den.

(82)    Um die wirk­sa­me, zu­ver­läs­si­ge und ein­heit­li­che Über­wa­chung der Ein­hal­tung und Durch­set­zung die­ser Richt­li­nie in der ge­sam­ten Union gemäß dem AEUV in der Aus­le­gung durch den Ge­richts­hof si­cher­zu­stel­len, soll­ten die Auf­sichts­be­hör­den in jedem Mit­glied­staat die­sel­ben Auf­ga­ben und wirk­sa­men Be­fug­nis­se haben, dar­un­ter Un­ter­su­chungs­be­fug­nis­se, Ab­hil­fe­be­fug­nis­se und be­ra­ten­de Be­fug­nis­se, die not­wen­di­ge In­stru­men­te zur Er­fül­lung ihrer Auf­ga­ben dar­stel­len. Ihre Be­fug­nis­se dür­fen je­doch weder die spe­zi­el­len Vor­schrif­ten für Straf­ver­fah­ren, ein­schließ­lich der Er­mitt­lung und Ver­fol­gung von Straf­ta­ten, noch die Un­ab­hän­gig­keit der Ge­rich­te be­rüh­ren. Un­be­scha­det der Be­fug­nis­se der Straf­ver­fol­gungs­be­hör­den nach dem Recht der Mit­glied­staa­ten soll­ten die Auf­sichts­be­hör­den au­ßer­dem die Be­fug­nis haben, Ver­stö­ße gegen diese Richt­li­nie den Jus­tiz­be­hör­den zur Kennt­nis zu brin­gen oder Ge­richts­ver­fah­ren an­zu­stren­gen. Die Be­fug­nis­se der Auf­sichts­be­hör­den soll­ten in Über­ein­stim­mung mit den ge­eig­ne­ten Ver­fah­rens­ga­ran­tien nach dem Uni­ons­recht und dem Recht der Mit­glied­staa­ten un­par­tei­isch, ge­recht und in­ner­halb einer an­ge­mes­se­nen Frist aus­ge­übt wer­den. Ins­be­son­de­re soll­te jede Maß­nah­me im Hin­blick auf die Ge­währ­leis­tung der Ein­hal­tung die­ser Richt­li­nie ge­eig­net, er­for­der­lich und ver­hält­nis­mä­ßig sein, wobei die Um­stän­de des je­wei­li­gen Ein­zel­falls zu be­rück­sich­ti­gen sind, das Recht einer jeden Per­son, ge­hört zu wer­den, bevor eine in­di­vi­du­el­le Maß­nah­me ge­trof­fen wird, die nach­tei­li­ge Aus­wir­kun­gen auf die be­trof­fe­ne Per­son hätte, zu ach­ten ist und über­flüs­si­ge Kos­ten und über­mä­ßi­ge Un­an­nehm­lich­kei­ten für sie zu ver­mei­den sind. Un­ter­su­chungs­be­fug­nis­se im Hin­blick auf den Zu­gang zu Räum­lich­kei­ten soll­ten im Ein­klang mit be­son­de­ren An­for­de­run­gen im Recht der Mit­glied­staa­ten aus­ge­übt wer­den, wie etwa dem Er­for­der­nis einer vor­he­ri­gen rich­ter­li­chen Ge­neh­mi­gung. Der Er­lass eines rechts­ver­bind­li­chen Be­schlus­ses soll­te in dem Mit­glied­staat der Auf­sichts­be­hör­de, die den Be­schluss er­las­sen hat, einer ge­richt­li­chen Über­prü­fung un­ter­lie­gen.

(83)    Die Auf­sichts­be­hör­den soll­ten sich ge­gen­sei­tig bei der Er­fül­lung ihrer Auf­ga­ben un­ter­stüt­zen und ein­an­der Amts­hil­fe leis­ten, damit eine ein­heit­li­che An­wen­dung und Durch­set­zung der nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten ge­währ­leis­tet ist.

(84)    Der Aus­schuss soll­te zur ein­heit­li­chen An­wen­dung die­ser Richt­li­nie in der Union bei­tra­gen, ein­schließ­lich der Be­ra­tung der Kom­mis­si­on und der För­de­rung der Zu­sam­men­ar­beit der Auf­sichts­be­hör­den in der Union.

(85)    Jede be­trof­fe­ne Per­son soll­te das Recht haben, bei einer ein­zi­gen Auf­sichts­be­hör­de eine Be­schwer­de ein­zu­rei­chen und gemäß Ar­ti­kel 47 der Char­ta einen wirk­sa­men ge­richt­li­chen Rechts­be­helf ein­zu­le­gen, wenn sie sich in ihren Rech­ten auf­grund von nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten ver­letzt sieht oder wenn die Auf­sichts­be­hör­de auf eine Be­schwer­de hin nicht tätig wird, eine Be­schwer­de teil­wei­se oder ganz ab­weist oder ab­lehnt oder nicht tätig wird, ob­wohl dies zum Schutz der Rech­te der be­trof­fe­nen Per­son not­wen­dig ist. Die auf eine Be­schwer­de fol­gen­de Un­ter­su­chung soll­te vor­be­halt­lich ge­richt­li­cher Über­prü­fung so weit gehen, wie dies im Ein­zel­fall an­ge­mes­sen ist. Die zu­stän­di­ge Auf­sichts­be­hör­de soll­te die be­trof­fe­ne Per­son in­ner­halb eines an­ge­mes­se­nen Zeit­raums über den Stand und die Er­geb­nis­se der Be­schwer­de un­ter­rich­ten. Soll­ten wei­te­re Un­ter­su­chun­gen oder die Ab­stim­mung mit einer an­de­ren Auf­sichts­be­hör­de er­for­der­lich sein, so soll­te die be­trof­fe­ne Per­son über den Zwi­schen­stand in­for­miert wer­den. Jede Auf­sichts­be­hör­de soll­te Maß­nah­men zur Er­leich­te­rung der Ein­rei­chung von Be­schwer­den tref­fen, wie etwa die Be­reit­stel­lung eines Be­schwer­de­for­mu­lars, das auch elek­tro­nisch aus­ge­füllt wer­den kann, ohne dass an­de­re Kom­mu­ni­ka­ti­ons­mit­tel aus­ge­schlos­sen wer­den.

(86)    Jede na­tür­li­che oder ju­ris­ti­sche Per­son soll­te das Recht auf einen wirk­sa­men ge­richt­li­chen Rechts­be­helf bei dem zu­stän­di­gen ein­zel­staat­li­chen Ge­richt gegen einen Be­schluss einer Auf­sichts­be­hör­de haben, der ge­gen­über die­ser Per­son Rechts­wir­kun­gen ent­fal­tet. Ein der­ar­ti­ger Be­schluss be­trifft ins­be­son­de­re die Aus­übung von Untersuchungs-​, Abhilfe-​ und Ge­neh­mi­gungs­be­fug­nis­sen durch die Auf­sichts­be­hör­de oder die Ab­leh­nung oder Ab­wei­sung von Be­schwer­den. Die­ses Recht um­fasst je­doch nicht an­de­re — recht­lich nicht bin­den­de — Maß­nah­men der Auf­sichts­be­hör­den wie von ihr ab­ge­ge­be­ne Stel­lung­nah­men oder Emp­feh­lun­gen. Ver­fah­ren gegen eine Auf­sichts­be­hör­de soll­ten bei den Ge­rich­ten des Mit­glied­staats an­ge­strengt wer­den, in dem die Auf­sichts­be­hör­de ihren Sitz hat, und soll­ten im Ein­klang mit dem Recht die­ses Mit­glied­staats durch­ge­führt wer­den. Diese Ge­rich­te soll­ten eine un­ein­ge­schränk­te Zu­stän­dig­keit be­sit­zen, was die Zu­stän­dig­keit, sämt­li­che für den an­hän­gi­gen Rechts­streit maß­geb­li­chen Sach- und Rechts­fra­gen zu prü­fen, ein­schließt.

(87)    Be­trof­fe­ne Per­so­nen, die sich in ihren Rech­ten gemäß die­ser Richt­li­nie ver­letzt sehen, soll­ten das Recht haben, Ein­rich­tun­gen, die sich den Schutz der Rech­te und In­ter­es­sen der be­trof­fe­nen Per­so­nen im Be­reich des Schut­zes ihrer per­so­nen­be­zo­ge­nen Daten zum Ziel ge­setzt haben und die nach dem Recht eines Mit­glied­staats ge­grün­det sind, zu be­auf­tra­gen, in ihrem Namen eine Be­schwer­de bei einer Auf­sichts­be­hör­de ein­zu­rei­chen und einen ge­richt­li­chen Rechts­be­helf ein­zu­le­gen. Das Recht be­trof­fe­ner Per­so­nen auf Ver­tre­tung soll­te das Ver­fah­rens­recht der Mit­glied­staa­ten un­be­rührt las­sen, nach dem eine ob­li­ga­to­ri­sche Ver­tre­tung be­trof­fe­ner Per­so­nen durch einen Rechts­an­walt im Sinne der Richt­li­nie 77/249/EWG des Rates vor na­tio­na­len Ge­rich­ten er­for­der­lich sein kann.

(88)    Schä­den, die einer Per­son auf­grund einer Ver­ar­bei­tung ent­ste­hen, die gegen nach die­ser Richt­li­nie er­las­se­ne Vor­schrif­ten ver­stößt, soll­ten von dem Ver­ant­wort­li­chen oder einer an­de­ren nach dem Recht der Mit­glied­staa­ten zu­stän­di­gen Be­hör­de er­setzt wer­den. Der Be­griff des Scha­dens soll­te im Lich­te der Recht­spre­chung des Ge­richts­hofs weit und auf eine Art und Weise aus­ge­legt wer­den, die den Zie­len die­ser Richt­li­nie in vol­lem Um­fang ent­spricht. Dies gilt un­be­scha­det von Scha­den­er­satz­for­de­run­gen auf­grund von Ver­stö­ßen gegen an­de­re Vor­schrif­ten des Uni­ons­rechts oder des Rechts der Mit­glied­staa­ten. Wird auf eine Ver­ar­bei­tung Bezug ge­nom­men, die un­recht­mä­ßig ist oder nicht im Ein­klang mit den nach die­ser Richt­li­nie er­las­se­nen Vor­schrif­ten steht, so gilt dies auch für Ver­ar­bei­tun­gen, die gegen gemäß die­ser Richt­li­nie er­las­se­ne Durch­füh­rungs­rechts­ak­te ver­sto­ßen. Die be­trof­fe­nen Per­so­nen soll­ten einen voll­stän­di­gen und wirk­sa­men Scha­den­er­satz für den er­lit­te­nen Scha­den er­hal­ten.

(89)    Gegen jede na­tür­li­che oder ju­ris­ti­sche — pri­va­tem oder öf­fent­li­chem Recht un­ter­lie­gen­de — Per­son, die gegen diese Richt­li­nie ver­stößt, soll­ten Sank­tio­nen ver­hängt wer­den. Die Mit­glied­staa­ten soll­ten dafür sor­gen, dass die Sank­tio­nen wirk­sam, ver­hält­nis­mä­ßig und ab­schre­ckend sind, und alle Maß­nah­men zur An­wen­dung der Sank­tio­nen tref­fen.

(90)    Um ein­heit­li­che Be­din­gun­gen für die An­wen­dung die­ser Richt­li­nie si­cher­zu­stel­len, soll­ten der Kom­mis­si­on Durch­füh­rungs­be­fug­nis­se in Bezug auf Fol­gen­des über­tra­gen wer­den: die An­ge­mes­sen­heit des Da­ten­schutz­ni­veaus in einem Dritt­land, in einem Ge­biet oder einem spe­zi­fi­schen Sek­tor in einem Dritt­land oder in einer in­ter­na­tio­na­len Or­ga­ni­sa­ti­on, das For­mat und die Ver­fah­ren für Amts­hil­fe und die Vor­keh­run­gen für den elek­tro­ni­schen In­for­ma­ti­ons­aus­tausch zwi­schen Auf­sichts­be­hör­den und zwi­schen Auf­sichts­be­hör­den und dem Aus­schuss. Diese Be­fug­nis­se soll­ten nach Maß­ga­be der Ver­ord­nung (EU) Nr. 182/2011 des Eu­ro­päi­schen Par­la­ments und des Rates aus­ge­übt wer­den.

(91)    Durch­füh­rungs­rechts­ak­te über die An­ge­mes­sen­heit des Da­ten­schutz­ni­veaus in einem Dritt­land, in einem Ge­biet oder einem spe­zi­fi­schen Sek­tor in einem Dritt­land oder in einer in­ter­na­tio­na­len Or­ga­ni­sa­ti­on, über das For­mat und die Ver­fah­ren für Amts­hil­fe und die Vor­keh­run­gen für den elek­tro­ni­schen In­for­ma­ti­ons­aus­tausch zwi­schen Auf­sichts­be­hör­den und zwi­schen Auf­sichts­be­hör­den und dem Aus­schuss soll­ten im Wege des Prüf­ver­fah­rens fest­ge­legt wer­den, da es sich um Rechts­ak­te von all­ge­mei­ner Trag­wei­te han­delt.

(92)    Die Kom­mis­si­on soll­te in hin­rei­chend be­grün­de­ten Fäl­len äu­ßers­ter Dring­lich­keit, die ein Dritt­land, ein Ge­biet oder einen spe­zi­fi­schen Sek­tor in einem Dritt­land oder eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on be­tref­fen, die kein an­ge­mes­se­nes Schutz­ni­veau mehr ge­währ­leis­ten, so­fort gel­ten­de Durch­füh­rungs­rechts­ak­te er­las­sen.

(93)    Da die Ziele die­ser Richt­li­nie, näm­lich die Grund­rech­te und Grund­frei­hei­ten na­tür­li­cher Per­so­nen und ins­be­son­de­re deren Recht auf Schutz ihrer per­so­nen­be­zo­ge­nen Daten und den un­ge­hin­der­ten Aus­tausch per­so­nen­be­zo­ge­ner Daten im Ver­kehr zwi­schen den zu­stän­di­gen Be­hör­den in­ner­halb der Union zu ge­währ­leis­ten, von den Mit­glied­staa­ten nicht aus­rei­chend ver­wirk­licht wer­den kön­nen, son­dern viel­mehr wegen des Um­fangs oder der Wir­kun­gen der Maß­nah­me auf Uni­ons­ebe­ne bes­ser zu ver­wirk­li­chen sind, kann die Union im Ein­klang mit dem in Ar­ti­kel 5 EUV ver­an­ker­ten Sub­si­dia­ri­täts­prin­zip tätig wer­den. Ent­spre­chend dem in dem­sel­ben Ar­ti­kel ge­nann­ten Grund­satz der Ver­hält­nis­mä­ßig­keit geht diese Richt­li­nie nicht über das für die Ver­wirk­li­chung die­ser Ziele er­for­der­li­che Maß hin­aus.

(94)    Be­son­de­re Be­stim­mun­gen, die in vor Er­lass die­ser Richt­li­nie im Be­reich der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen und der po­li­zei­li­chen Zu­sam­men­ar­beit er­las­se­nen Rechts­ak­ten der Union ent­hal­ten sind, die die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Ver­kehr der Mit­glied­staa­ten un­ter­ein­an­der sowie den Zu­gang der von den Mit­glied­staa­ten be­stimm­ten Be­hör­den zu den gemäß den Ver­trä­gen er­rich­te­ten In­for­ma­ti­ons­sys­te­men im An­wen­dungs­be­reich die­ser Richt­li­nie re­geln, soll­ten un­be­rührt blei­ben, bei­spiels­wei­se die be­son­de­ren Be­stim­mun­gen be­tref­fend den Schutz per­so­nen­be­zo­ge­ner Daten gemäß dem Be­schluss 2008/615/JI des Rates oder Ar­ti­kel 23 des Über­ein­kom­mens über die Rechts­hil­fe in Straf­sa­chen zwi­schen den Mit­glied­staa­ten der Eu­ro­päi­schen Union. Da Ar­ti­kel 8 der Char­ta und Ar­ti­kel 16 AEUV vor­schrei­ben, dass das Grund­recht auf Schutz per­so­nen­be­zo­ge­ner Daten in der Union ein­heit­lich an­ge­wen­det wer­den soll­te, soll­te die Kom­mis­si­on das Ver­hält­nis zwi­schen die­ser Richt­li­nie und den vor ihrem Er­lass an­ge­nom­me­nen Rechts­ak­ten, die die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Ver­kehr der Mit­glied­staa­ten un­ter­ein­an­der oder den Zu­gang der von den Mit­glied­staa­ten be­stimm­ten Be­hör­den zu den gemäß den Ver­trä­gen er­rich­te­ten In­for­ma­ti­ons­sys­te­men re­geln, dar­auf­hin prü­fen, in­wie­weit die be­son­de­ren Be­stim­mun­gen die­ser Rechts­ak­te an diese Richt­li­nie an­ge­passt wer­den müs­sen. Die Kom­mis­si­on soll­te ge­ge­be­nen­falls Vor­schlä­ge zur Ge­währ­leis­tung ein­heit­li­cher Rechts­vor­schrif­ten in Bezug auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten un­ter­brei­ten.

(95)    Zur Ge­währ­leis­tung eines um­fas­sen­den und ein­heit­li­chen Schut­zes per­so­nen­be­zo­ge­ner Daten in der Union soll­ten in­ter­na­tio­na­le Über­ein­künf­te, die von den Mit­glied­staa­ten vor In­kraft­tre­ten die­ser Richt­li­nie ge­schlos­sen wur­den und die im Ein­klang mit dem maß­geb­li­chen vor In­kraft­tre­ten die­ser Richt­li­nie gel­ten­den Uni­ons­recht ste­hen, in Kraft blei­ben, bis sie ge­än­dert, er­setzt oder ge­kün­digt wer­den.

(96)    Die Mit­glied­staa­ten soll­ten ge­hal­ten sein, diese Richt­li­nie in­ner­halb von höchs­tens zwei Jah­ren nach ihrem In­kraft­tre­ten um­zu­set­zen. Ver­ar­bei­tun­gen, die zu die­sem Zeit­punkt be­reits be­gon­nen haben, soll­ten in­ner­halb von zwei Jah­ren nach dem In­kraft­tre­ten die­ser Richt­li­nie mit ihr in Ein­klang ge­bracht wer­den. Ste­hen die Ver­ar­bei­tun­gen je­doch im Ein­klang mit dem vor In­kraft­tre­ten die­ser Richt­li­nie gel­ten­den Uni­ons­recht, so soll­ten die An­for­de­run­gen der vor­lie­gen­den Richt­li­nie be­tref­fend die vor­he­ri­ge Kon­sul­ta­ti­on der Auf­sichts­be­hör­de nicht für Ver­ar­bei­tungs­vor­gän­ge gel­ten, die be­reits vor die­sem Zeit­punkt be­gon­nen wur­den, da diese An­for­de­run­gen na­tur­ge­mäß vor der Ver­ar­bei­tung er­füllt sein müs­sen. Neh­men Mit­glied­staa­ten die län­ge­re Um­set­zungs­frist, die sie­ben Jahre nach dem In­kraft­tre­ten die­ser Richt­li­nie endet, in An­spruch, um den Pro­to­kol­lie­rungs­pflich­ten für vor dem In­kraft­tre­ten die­ser Richt­li­nie ein­ge­rich­te­te au­to­ma­ti­sier­te Ver­ar­bei­tungs­sys­te­me nach­zu­kom­men, so soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter über wirk­sa­me Me­tho­den zum Nach­weis der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung, zur Er­mög­li­chung der Ei­gen­über­wa­chung und zur Si­cher­stel­lung der In­te­gri­tät und Si­cher­heit der Daten, wie etwa Pro­to­kol­le oder an­de­re For­men von Ver­zeich­nis­sen, ver­fü­gen.

(97)    Diese Richt­li­nie lässt die Vor­schrif­ten zur Be­kämp­fung des se­xu­el­len Miss­brauchs und der se­xu­el­len Aus­beu­tung von Kin­dern sowie der Kin­der­por­no­gra­fie nach Maß­ga­be der Richt­li­nie 2011/93/EU des Eu­ro­päi­schen Par­la­ments und des Rates un­be­rührt.

(98)    Der Rah­men­be­schluss 2008/977/JI soll­te daher auf­ge­ho­ben wer­den.

(99)    Nach Ar­ti­kel 6a des dem EUV und dem AEUV bei­gefüg­ten Pro­to­kolls Nr. 21 über die Po­si­ti­on des Ver­ei­nig­ten Kö­nig­reichs und Ir­lands hin­sicht­lich des Raums der Frei­heit, der Si­cher­heit und des Rechts sind die Be­stim­mun­gen die­ser Richt­li­nie über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Mit­glied­staa­ten im Rah­men der Aus­übung von Tä­tig­kei­ten, die in den An­wen­dungs­be­reich des Drit­ten Teils Titel V Ka­pi­tel 4 und 5 AEUV fal­len, für das Ver­ei­nig­te Kö­nig­reich und Ir­land nicht bin­dend, wenn das Ver­ei­nig­te Kö­nig­reich und Ir­land nicht durch die Vor­schrif­ten ge­bun­den sind, die For­men der jus­tizi­el­len Zu­sam­men­ar­beit in Straf­sa­chen oder der po­li­zei­li­chen Zu­sam­men­ar­beit re­geln, in deren Rah­men die auf der Grund­la­ge des Ar­ti­kels 16 AEUV fest­ge­leg­ten Vor­schrif­ten ein­ge­hal­ten wer­den müs­sen.

(100)    Nach den Ar­ti­keln 2 und 2a des dem EUV und dem AEUV bei­gefüg­ten Pro­to­kolls Nr. 22 über die Po­si­ti­on Dä­ne­marks ist Dä­ne­mark durch die Be­stim­mun­gen die­ser Richt­li­nie, die sich auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch die Mit­glied­staa­ten im Rah­men der Aus­übung von Tä­tig­kei­ten be­zie­hen, die in den An­wen­dungs­be­reich des Drit­ten Teils Titel V Ka­pi­tel 4 und 5 AEUV fal­len, weder ge­bun­den noch zu ihrer An­wen­dung ver­pflich­tet. Da diese Richt­li­nie den Schengen-​Besitzstand gemäß dem Drit­ten Teil Titel V AEUV er­gänzt, be­schließt Dä­ne­mark gemäß Ar­ti­kel 4 des ge­nann­ten Pro­to­kolls in­ner­halb von sechs Mo­na­ten nach Er­lass die­ser Richt­li­nie, ob es sie in na­tio­na­les Recht um­setzt.

(101)    Für Is­land und Nor­we­gen stellt diese Richt­li­nie eine Wei­ter­ent­wick­lung von Be­stim­mun­gen des Schengen-​ Be­sitz­stands im Sinne des Über­ein­kom­mens zwi­schen dem Rat der Eu­ro­päi­schen Union sowie der Re­pu­blik Is­land und dem Kö­nig­reich Nor­we­gen über die As­so­zi­ie­rung der bei­den letzt­ge­nann­ten Staa­ten bei der Um­set­zung, An­wen­dung und Ent­wick­lung des Schengen-​Besitzstands dar.

(102)    Für die Schweiz stellt diese Richt­li­nie eine Wei­ter­ent­wick­lung von Be­stim­mun­gen des Schengen-​Besitzstands im Sinne des Ab­kom­mens zwi­schen der Eu­ro­päi­schen Union, der Eu­ro­päi­schen Ge­mein­schaft und der Schwei­ze­ri­schen Eid­ge­nos­sen­schaft über die As­so­zi­ie­rung die­ses Staa­tes bei der Um­set­zung, An­wen­dung und Ent­wick­lung des Schengen-​Besitzstands dar.

(103)    Für Lich­ten­stein stellt diese Richt­li­nie eine Wei­ter­ent­wick­lung von Be­stim­mun­gen des Schengen-​Besitzstands im Sinne des Pro­to­kolls zwi­schen der Eu­ro­päi­schen Union, der Eu­ro­päi­schen Ge­mein­schaft, der Schwei­ze­ri­schen Eid­ge­nos­sen­schaft und dem Fürs­ten­tum Liech­ten­stein über den Bei­tritt des Fürs­ten­tums Liech­ten­stein zu dem Ab­kom­men zwi­schen der Eu­ro­päi­schen Union, der Eu­ro­päi­schen Ge­mein­schaft und der Schwei­ze­ri­schen Eid­ge­nos­sen­schaft über die As­so­zi­ie­rung der Schwei­ze­ri­schen Eid­ge­nos­sen­schaft bei der Um­set­zung, An­wen­dung und Ent­wick­lung des Schengen-​Besitzstands dar.

(104)    Diese Richt­li­nie steht im Ein­klang mit den Grund­rech­ten und Grund­sät­zen, die mit der Char­ta an­er­kannt wur­den und im AEUV ver­an­kert sind, ins­be­son­de­re mit dem Recht auf Ach­tung des Privat-​ und Fa­mi­li­en­le­bens, dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten sowie dem Recht auf einen wirk­sa­men Rechts­be­helf und ein fai­res Ver­fah­ren. Die Ein­schrän­kun­gen die­ser Rech­te ste­hen im Ein­klang mit Ar­ti­kel 52 Ab­satz 1 der Char­ta, da sie er­for­der­lich sind, um den von der Union an­er­kann­ten dem Ge­mein­wohl die­nen­den Ziel­set­zun­gen oder den Er­for­der­nis­sen des Schut­zes der Rech­te und der Frei­hei­ten an­de­rer zu ent­spre­chen.

(105)    Gemäß der Ge­mein­sa­men Po­li­ti­schen Er­klä­rung der Mit­glied­staa­ten und der Kom­mis­si­on vom 28. Sep­tem­ber 2011 zu er­läu­tern­den Do­ku­men­ten haben sich die Mit­glied­staa­ten ver­pflich­tet, in be­grün­de­ten Fäl­len zu­sätz­lich zur Mit­tei­lung ihrer Um­set­zungs­maß­nah­men ein oder meh­re­re Do­ku­men­te zu über­mit­teln, in denen der Zu­sam­men­hang zwi­schen den Be­stand­tei­len einer Richt­li­nie und den ent­spre­chen­den Tei­len ein­zel­staat­li­cher Um­set­zungs­maß­nah­men er­läu­tert wird. In Bezug auf diese Richt­li­nie hält der Ge­setz­ge­ber die Über­mitt­lung der­ar­ti­ger Do­ku­men­te für ge­recht­fer­tigt.

(106)    Der Eu­ro­päi­sche Da­ten­schutz­be­auf­trag­te wurde gemäß Ar­ti­kel 28 Ab­satz 2 der Ver­ord­nung (EG) Nr. 45/2001 kon­sul­tiert und hat seine Stel­lung­nah­me am 7. März 2012 ab­ge­ge­ben.

(107)    Diese Richt­li­nie soll­te die Mit­glied­staa­ten nicht daran hin­dern, die Be­stim­mun­gen über die Aus­übung der Rech­te der be­trof­fe­nen Per­so­nen auf Un­ter­rich­tung, Aus­kunft und Be­rich­ti­gung oder Lö­schung per­so­nen­be­zo­ge­ner Daten und Be­schrän­kung der Ver­ar­bei­tung im Rah­men eines Straf­ver­fah­rens sowie mög­li­che Be­schrän­kun­gen die­ser Rech­te in ihr ein­zel­staat­li­ches Straf­ver­fah­rens­recht um­zu­set­zen —


HABEN FOL­GEN­DE RICHT­LI­NIE ER­LAS­SEN:

In­halt          Ar­ti­kel 1