NOTIZ. Des Vorsitzes. Für den Ausschuss der Ständigen Vertreter. Nr. Vordokument: Dok.: 9565/15, 14936/15, 14901/15, 14902/15. Nr Komm.dok.

Transkript

1 Brüssel, den 15. Dezember 2015 (OR. En) 15039/15 LIMITE DATAPROTECT 229 JAI 976 MI 786 DIGIT 108 DAPIX 235 FREMP 295 COMIX 663 CODEC 1676 Interinstitutionelles Dossier: 2012/0011 (COD) NOTIZ Des Vorsitzes Für den Ausschuss der Ständigen Vertreter Nr. Vordokument: Dok.: 9565/15, 14936/15, 14901/15, 14902/15 Nr Komm.dok.: 5853/12 Betrifft: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz von Personen bei der Verarbeitung personen Daten und zum freien Datenverkehr (General Data Protection Verordnung) [erste Lesung] - Die Analyse der endgültigen Kompromisstext im Hinblick auf eine Einigung

2 EINFÜHRUNG 1. Die Kommission hat am 25. Januar 2012 ein umfassendes Datenschutzpaket vorgeschlagen bestehend aus: - Oben genannten Vorschlag für eine Datenschutz-Grundverordnung, die dazu bestimmt ist um die 1995 Datenschutzrichtlinie (ehemalige erste Säule) zu ersetzen; 15039/15 VH / np 2 DGD 2C LIMITE DE - Einen Vorschlag für eine Richtlinie über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden für die Zwecke der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen und der freie Datenverkehr, der dazu bestimmt ist, den Data Protection 2008 zu ersetzen Rahmenbeschluss (ehemalige dritte Säule). 2. Das Ziel der Datenschutz-Grundverordnung ist es, Datenschutzrechte stärken Einzelpersonen, erleichtern den freien Verkehr personenbezogener Daten in den digitalen Binnenmarkt und zur Verringerung desverwaltungsaufwands. 3. Das Europäische Parlament hat in erster Lesung über den vorgeschlagenen Datenschutz- Verordnung und die Richtlinie am 12. März 2014 (7427/14). 4. Der Rat einigte sich auf eine allgemeine Ausrichtung (9565/15) auf dem allgemeinen Datenschutz Verordnung am 15. Juni 2015 wodurch der Präsidentschaft ein Verhandlungsmandat zu geben in Trilog mit dem Europäischen Parlament. Der Vorsitz ist der Auffassung, die Arbeit an der Datenschutz-Grundverordnung als eine seiner wichtigsten Prioritäten. Im Einklang mit dem Ziel der der Europäische Rat beabsichtigt der Vorsitz eine Einigung mit dem Europäischen sichern Parlament über die Datenschutzpaket von Ende Die Verordnung wurde intensiv von Experten und JI-Referenten, wenn untersucht Vorbereitung der zehn Trilog mit dem Europäischen Parlament, das seit Juni stattgefunden haben

3 2015 Der Vorsitz hat die von den Delegationen über mögliche Kompromisslösungen sowohl vor und nach jedem Trilog. Die Delegationen haben auch mündlich befragt worden und schriftlich über alle Kapitel der Verordnung im Trilog diskutiert. Weiterhin offene Fragen in Bezug auf die gesamte Datenschutz-Grundverordnung durch die analysiert worden Ausschuss der Ständigen Vertreter am 19. und 26. November 2015, 2 und 9. Dezember /15 VH / np 3 DGD 2C LIMITE DE 6. Im Hinblick auf die damit Annahme einer politischen Einigung über die Allgemeine Datenschutz Verordnung als eine frühe Einigung in zweiter Lesung mit dem Europäischen Parlament, dem Vorsitz unterbreitet den konsolidierten Text des Entwurfs Datenschutz-Grundverordnung um Ausschuss der Ständigen Vertreter als Ergebnis des letzten Trilog. Ange Konto die Gesamtbilanz dieses Kompromisstext, ersucht der Vorsitz der Ständigen Vertreter Ausschusses, um die Kompromisstext von der letzten Trilog resultierende Analyse im Hinblick auf die Vereinbarung. Gesamtkompromiss TEXT 7. Wählen Sie im beigefügten Kompromisstext, wird der Ausschuss der Ständigen Vertreter beachten Sie, dass ein akzeptables Gleichgewicht gefunden werden kann. Auf den letzten noch offenen Fragen, die im Trilog diskutiert wurden, war die folgende Bilanz erreicht. Die Art und Weise, in der Einwilligung ist vom Betroffenen gegeben werden bleibt "eindeutige" für alle Verarbeitung personenbezogener Daten, mit der Klarstellung, dass dies eine "klare affirmative Aktion ", und dass die Zustimmung zu sein hat" explicit "für sensible Daten. Auch das Europäische Parlament Vorschläge der Präsidentschaft angenommen über die Haftung von Steuerungen und Prozessoren. Hinsichtlich der

4 Mitteilung personenbezogener Daten Verletzungen an die Aufsichtsbehörde, dem Kompromissvorschlag diskutiert und weitgehend unterstützt durch Ausschuss der Ständigen Vertreter wurde beibehalten. Die obligatorische Bestellung eines Datenschutzbeauftragten wurde als in streng akzeptabel begrenzten Fällen, ohne dass Vorschriften für Entlassung und weitere Nuancierung in Bezug auf seine / ihre Position und Aufgaben sowie eine Klarstellung zu "Kernaktivitäten" in der Erwägung. Über Bestimmungen über die Geldstrafen, Ansatz mit mehreren Kategorien von Bestimmungen des Rates könnten beibehalten werden, während akzeptable Höchstgehalte wurden als Teil des Gesamtpakets beibehalten. In Bezug auf Bestimmungen über die Verarbeitung personenbezogener Daten zum Zwecke der Archivierung in der öffentlichem Interesse und wissenschaftlichen, statistischen und historischen Zwecken, sie weiter spezifiziert sind die entsprechenden Erwägungsgründe während der Begriff "Forschung" hatte hinzugefügt, um "historische und wissenschaftliche werden Zwecke " /15 VH / np 4 DGD 2C LIMITE DE Auf diese Zwecke, verteidigt der Vorsitz, die notwendigen Elemente, die in identifiziert worden waren Ausschuss der Ständigen Vertreter für ein ausgeglichenes Ergebnis erzielt werden soll. das Vorschläge Vorsitzes konnte weitgehend gehalten werden, auf dem starken Drängen der Europäisches Parlament, eine zusätzliche Sicherheit für die weitere Verarbeitung für diese Zwecke. Schließlich auf die Bedingungen für die von einem Kind erteilte Einwilligung, konvergiert die Mitgesetzgeber auf halten "unter dem Alter von 16 Jahren" als gemeinsame Decke, während die Mitgliedstaaten, niedrigere Altersgrenzen vorzusehen. ANDERE PROBLEME

5 8. Geben Sie auf der folgenden Probleme haben Änderungen, um mit den Bestimmungen auszurichten gemacht an anderer Stelle in der Verordnung: (8), (11), (14a), (25), (25aa), (32), (34), (37), (40), (42a), (45), (47), (48 ), (49), (50), (52), (53), (54a), (55), (56), (57), (58), (58a), (59a), (60), (60b), (63), (63a), (67 ), (71), (83), (88), (96), (97c), (98), (100), (101b), (106), (113), (116), (118), (118b), (120), (124), (125 ) (125aa), (126), (126a), (126c), (127), (132), (134). Artikel 4 (8) 5 (1 (b)), (e) Artikel 6 (1 (a)), (3) Artikel 7 (4) Artikel 8 (1) Artikel 9 (2 (i)) Artikel 14a (1), (4) Artikel 17 (3 (d)) Artikel 19 (2aa) Artikel 35 (2), (4), (7) Artikel 37 (1 (g)) 15039/15 VH / np 5 DGD 2C LIMITE DE Artikel 39 (2a), (4) Artikel 39a (1) Artikel 41 (5) Artikel 49 (2) Artikel 53 (1), (1b), (1b (fa)), (1c), (4) Artikel 62 (Titel) Artikel 64 (5) Artikel 66 (1 (CA0), (CDA), (CDB)

6 Artikel 72 (1) Artikel 79 (2a (m)), (3 neu) (3a neu), (3aa neu) Artikel 80 (3) Artikel 83 (1), (2), (3) Artikel 86 (5) Artikel 89b ABSCHLUSS 9. Mit dem Ziel, das Verabschiedung einer politischen Einigung über die Allgemeine Datenschutz Verordnung, die Präsidentschaft ersucht den Ausschuss der Ständigen Vertreter, die zu analysieren Kompromisstext von der letzten Trilog resultierenden, wie es in der Anlage angezeigt wird, im Hinblick auf die Vereinbarung /15 VH / np 6 ANNEKTIEREN VERORDNUNG (EU) Nr XXX / 2016 DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz von Personen bei der Verarbeitung personenbezogener Daten und der freie Datenverkehr (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR) DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION Gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 davon, Gestützt auf den Vorschlag der Europäischen Kommission, Nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, Gestützt auf die Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses1.

7 Gestützt auf die Stellungnahme des Ausschusses der Regionen 2. Gestützt auf die Stellungnahme des Europäischen Datenschutz Supervisor3. Gemäß dem ordentlichen Gesetzgebungs procedure [XXX] [XXX] [XXX] Standpunkt des Europäischen Parlaments vom 14. März 2014 und Beschluss des Rates vom [XXX] /15 VH / np 7 Während: (1) Der Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten ist ein Grundrecht. Artikel 8 (1) der Charta der Grundrechte der Europäischen Union und Artikel 16 (1) des EG-Vertrags vor, dass jeder das Recht auf den Schutz der personenbezogener Daten, die sie betreffen. (2) Die Grundsätze und Regeln über den Schutz von Personen bei der Verarbeitung ihrer personenbezogenen Daten, unabhängig von der Staatsangehörigkeit oder des Wohnorts der natürlichen Personen, deren Grundrechte und -freiheiten, insbesondere ihr Recht auf den Schutz personenbezogener Daten. Es

8 sollte auf die Realisierung von einem Raum der Freiheit, Sicherheit und des Rechts und eines beitragen Wirtschaftsunion, den wirtschaftlichen und sozialen Fortschritt, die Stärkung und die Konvergenz von die Wirtschaft im Binnenmarkt, und das Wohlbefinden des Einzelnen. (3) Richtlinie 95/46 / EG des Europäischen Parlaments und des Rates soll die Harmonisierung Schutz der Grundrechte und Grundfreiheiten natürlicher Personen in Bezug auf die Verarbeitung Aktivitäten und den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten zu garantieren. (3a) Die Verarbeitung personenbezogener Daten sollte so gestaltet werden, um die Menschheit zu dienen. Das Recht, die Schutz personenbezogener Daten ist kein absolutes Recht; sie muss in Bezug auf die in Betracht gezogen werden ihre Funktion in der Gesellschaft und mit anderen Grundrechte abgewogen werden, in Übereinstimmung mit der Grundsatz der Verhältnismäßigkeit. Diese Verordnung achtet alle Grundrechte und wahrt die in der Charta der Grundrechte der Europäischen Union anerkannten Prinzipien als in den Verträgen verankert, insbesondere das Recht auf Achtung des Privat- und Familienlebens, ihrer Wohnung und zu respektieren Kommunikation, das Recht auf den Schutz personenbezogener Daten, die die Freiheit des Denkens, Gewissens- und Religionsfreiheit, die Freiheit der Meinungsäußerung und Informationsfreiheit, die Freiheit, ein zu leiten Geschäft, das Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht sowie die kulturellen, religiösen und sprachliche Vielfalt /15 VH / np 8 (4) Die wirtschaftliche und soziale Integration von der Funktionsweise des Binnenmarkts hat führte zu einem erheblichen Anstieg der grenzüberschreitenden Ströme. Der Datenaustausch zwischen öffentlichen und private Akteure, einschließlich der Personen, Vereinigungen und Unternehmen in der gesamten Union hat

9 erhöht. Die nationalen Behörden in den Mitgliedstaaten sind aufge durch das Unionsrecht genannt zusammenarbeiten und Daten austauschen, um so in der Lage, ihre Aufgaben zu erfüllen oder durchgeführt werden Aufgaben für eine Behörde in einem anderen Mitgliedstaat. (5) Die rasche technologische Entwicklung und der Globalisierung sind neue Herausforderungen für die gebracht Schutz personenbezogener Daten. Das Ausmaß der gemeinsamen Nutzung von Daten und Sammeln ist gestiegen spektakulär. Technologie ermöglicht es privaten Unternehmen und Behörden, um den Einsatz zu machen personenbezogener Daten in nie gekanntem Ausmaß, um ihre Aktivitäten zu verfolgen. Menschen immer machen persönliche Daten öffentlich zugänglich und weltweit. Technologie hat transformiert sowohl der Wirtschaft und das gesellschaftliche Leben, und sollte den freien Fluss von weiteren Erleichterung Daten innerhalb der Union und der Überführung in Drittländern und internationalen Organisationen, während Sicherstellung eines hohen Niveaus des Schutzes personenbezogener Daten. (6) Diese Entwicklungen erfordern eine starke und kohärentere Datenschutzrahmens in die Union, durch starke Durchsetzung gesichert, da die Bedeutung der Schaffung des Vertrauens, das wird damit der digitalen Wirtschaft, um im gesamten Binnenmarkt zu entwickeln. Einzelpersonen sollten Kontrolle über ihre eigenen persönlichen Daten und rechtliche und praktische Sicherheit für Einzelpersonen, Wirtschafts Betreiber und Behörden sollten verstärkt werden. (6a), dem nach dieser Verordnung für Spezifikationen oder Einschränkungen ihrer Regeln auf die Mitgliedstaaten Recht können die Mitgliedstaaten, soweit es für die Kohärenz und die für die Herstellung der nationalen notwendig Vorschriften verständlicher zu den Personen, an die sie sich beziehen, zu übernehmen Elemente der Verordnung in ihrem jeweiligen nationalen Recht.

10 15039/15 VH / np 9 (7) Die Ziele und Grundsätze der Richtlinie 95/46 / EG vor solide, aber es nicht verhindert hat Fragmentierung in der Art und Weise des Datenschutzes in der gesamten Union umgesetzt, die Rechtsunsicherheit und eine weit verbreitete öffentliche Wahrnehmung, dass es erhebliche Risiken für den Schutz der Einzelpersonen insbesondere mit Online-Aktivität assoziiert. Unterschiede im Schutzniveau die Rechte und Freiheiten der Personen, insbesondere das Recht auf den Schutz personenbezogener Daten, im Hinblick auf die Verarbeitung personenbezogener Daten in den Mitgliedstaaten kann verhindern, dass die freien Verkehr personenbezogener Daten in der gesamten Union. Diese Unterschiede stellen daher kann ein Hindernis für die Ausübung von Erwerbstätigkeiten auf der Ebene der Union, den Wettbewerb verfälschen und behindern Behörden in der Wahrnehmung ihrer Aufgaben im Rahmen des Unionsrechts. Dies Unterschied der Schutzniveaus aufgrund des Vorhandenseins von Unterschieden in der Umsetzung und Anwendung der Richtlinie 95/46 / EG. (8) Um eine konsistente und hohe Schutzniveau des Einzelnen zu gewährleisten und um die zu entfernen Hemmnisse für den Verkehr personenbezogener Daten innerhalb der Union, das Niveau des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten sollten gleichwertige in allem sein Mitgliedsstaaten. Konsistente und homogene Anwendung der Bestimmungen für den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten sollten in der gesamten Union sichergestellt werden. In Bezug auf die Verarbeitung personenbezogener Daten für die die Erfüllung einer rechtlichen Verpflichtung, für die Erfüllung einer Aufgabe, die im öffentlichen

11 Interesse liegt oder in Ausübung öffentlicher Gewalt in den Controller übertragen, sollten die Mitgliedstaaten erlaubt werden, beizubehalten oder einzuführen, die nationalen Bestimmungen, die Anwendung weiter zu spezifizieren die Vorschriften dieser Verordnung. In Verbindung mit der allgemeinen und horizontalen Gesetz über Daten Schutz Umsetzung der Richtlinie 95/46 / EG die Mitgliedstaaten mehrere sektorspezifische Gesetze in Bereichen, die spezifischere Bestimmungen müssen. Diese Verordnung sieht auch eine Marge von Manöver der Mitgliedstaaten, ihre Regeln festlegen, auch für die Verarbeitung sensibler Daten. Insofern geht diese Verordnung nicht Recht der Mitgliedstaaten ausschließen, dass die definiert Umstände der spezifischen Verarbeitungssituationen, einschließlich genauer gesagt die Bestimmung Bedingungen, unter denen Verarbeitung personenbezogener Daten rechtmäßig ist /15 VH / np 10 (9) Ein wirksamer Schutz personenbezogener Daten in der gesamten Union erfordert Stärkung und detailliert die Rechte der betroffenen Personen und der Pflichten der Personen, die zu verarbeiten und zu bestimmen, der Verarbeitung personenbezogener Daten, sondern auch äquivalente Befugnisse zur Überwachung und Gewährleistung die Einhaltung der Regeln für den Schutz personenbezogener Daten und gleichwertige Sanktionen Straftäter in den Mitgliedstaaten. (10) Artikel 16 (2) des Vertrages beauftragt, das Europäische Parlament und den Rat, legte sich die Vorschriften für den Schutz von Personen bei der Verarbeitung von Daten und die Vorschriften über den freien Verkehr personenbezogener Daten. (11) Um eine einheitliche Schutzniveau für den Einzelnen in der gesamten Union und zu gewährleisten, verhindern Divergenzen behindert den freien Datenverkehr im Binnenmarkt, ein

12 Verordnung ist notwendig, um Rechtssicherheit und Transparenz für die Wirtschaftsbeteiligten zu schaffen, einschließlich der Kleinstunternehmen sowie kleine und mittlere Unternehmen und den Einzelnen in all liefern Die Mitgliedstaaten mit dem gleichen Maß an einklagbaren Rechten und Pflichten und Verantwortung für Controller und Prozessoren, die konsequente Überwachung der gewährleisten Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie effektive Zusammenarbeit der Aufsichtsbehörden der verschiedenen Mitgliedstaaten. Die ordnungsgemäße Funktionieren des Binnenmarktes setzt voraus, dass der freie Verkehr personenbezogener Daten innerhalb der Union nicht eingeschränkt oder aus Gründen, die mit dem Schutz der angeschlossen wird, zu verbieten Personen bei der Verarbeitung von Daten. Zur Berücksichtigung der besonderen nehmen Situation der Kleinst-, Klein- und Mittelbetriebe, enthält diese Verordnung eine Reihe von Ausnahmeregelungen. Darüber hinaus können die Organe der Union und Einrichtungen, Mitgliedstaaten und deren Aufsichtsbehörden sind aufgefordert, wegen der besonderen Bedürfnisse von Kleinst- zu nehmen, kleine und mittleren Unternehmen in der Anwendung dieser Verordnung. Der Begriff der Kleinst-, Klein- und mittlere Unternehmen sollten auf Empfehlung der Kommission zu ziehen 2003/361 / EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie kleine und mittlere Unternehmen /15 VH / np 11 (12) Die nach dieser Verordnung gewährte Schutz betrifft natürliche Personen unabhängig von ihrer Nationalität oder Wohnort, in Bezug auf die Verarbeitung personenbezogener Daten. Mit Empfehlungen an die Verarbeitung von Daten, die juristische Personen betreffen insbesondere Unternehmen erlassen

13 als juristische Personen, einschließlich des Namens und der Form der juristischen Person und den Kontaktdetails die juristische Person, sollte der Schutz dieser Verordnung nicht von Personen in Anspruch genommen werden. (13) Der Schutz natürlicher Personen sollte technologieneutral sein und nicht auf dem hängen Techniken verwendet werden; ansonsten würde dies eine ernsthafte Gefahr einer Umgehung erstellen. Der Schutz von Personen sollte die Verarbeitung personenbezogener Daten in automatisierter Form, sowie zur Anwendung manuelle Verarbeitung, wenn die Daten enthalten sind oder gespeichert werden sollen, in Dateien enthalten sein. Dateien oder Gruppen von Dateien sowie ihre Deckblätter, die nicht nach strukturiert sind spezifischen Kriterien sollten nicht in den Anwendungsbereich dieser Verordnung fallen. (14) Diese Verordnung gilt nicht für Fragen des Schutzes der Grundrechte und -freiheiten oder Adresse der freie Fluss von Daten, die Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie beispielsweise Maßnahmen im Bereich der nationalen Sicherheit, noch auf die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten bei der Durchführung von Tätigkeiten im Zusammenhang mit der Gemeinsamen Außen- und Sicherheits Politik der Union /15 VH / np 12 (14a) der Verordnung (EG) 45/2001 gilt für die Verarbeitung personenbezogener Daten durch die Union Organe, Einrichtungen, Ämter und Agenturen. Verordnung (EG) 45/2001 und andere Union Rechts Instrumente für eine solche Verarbeitung personenbezogener Daten sollte den Grundsätzen angepasst werden und Vorschriften dieser Verordnung und im Lichte dieser Verordnung angewendet. Um ein bereitzustellen starke und kohärente Datenschutzrahmens in der Union, die notwendigen Anpassungen der Verordnung (EG) 45/2001 sollte nach der Annahme dieser Verordnung, um zu folgen, um

14 ermöglichen Anwendung zur gleichen Zeit wie diese Verordnung. (15) Diese Verordnung sollte nicht zur Verarbeitung personenbezogener Daten durch eine natürliche Person in der Anwendung Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und damit ohne eine Verbindung mit einem beruflichen oder gewerblichen Tätigkeit. Gebrauchs Aktivitäten umfassen könnte Korrespondenz und das Halten von Adressen oder Social Networking und Online-Aktivitäten im Rahmen von solchen Gebrauchsdurchgeführten Aktivitäten. Dies jedoch Verordnung sollte für Controller oder Prozessoren, die die Mittel zur Verarbeitung liefern gelten personenbezogenen Daten für solche persönlicher oder familiärer Tätigkeiten /15 VH / np 13 (16) Der Schutz von Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden, die für die Zwecke der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich der Wahrung gegen und die Verhütung von Gefahren für die öffentliche Sicherheit und den freien Verkehr dieser Daten unterliegen einer spezifisches Rechtsinstrument auf EU-Ebene. Daher sollte diese Verordnung nicht für die Anwendung Verarbeitungsaktivitäten für diese Zwecke. Allerdings sind die Daten durch öffentliche Stellen im Rahmen verarbeitet diese Verordnung als für die Zwecke der Verhütung, Ermittlung, Feststellung oder verwendet Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen sollten von regiert werden desto spezifischer Rechtsinstrument auf EU-Ebene (Richtlinie XX / YYY). Die Mitgliedstaaten können anvertrauen zuständigen Behörden im Sinne der Richtlinie XX / YYY mit anderen Aufgaben die nicht unbedingt für die Zwecke der Verhütung, durchgeführt werden,

15 Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen, einschließlich die Absicherung gegen und Abwehr von Gefahren für die öffentliche Sicherheit, so dass die Verarbeitung von personenbezogener Daten für andere Zwecke, soweit sie in den Anwendungsbereich des Unionsrechts ist, fallen in den Geltungsbereich dieser Verordnung. Im Hinblick auf die Verarbeitung von persönlichen Daten durch diejenigen Behörden, die für Zwecke im Rahmen der allgemeinen Datenschutz fallen Verordnung können die Mitgliedstaaten verstärkte spezifische Bestimmungen zur Anpassung der Einführung Anwendung der Bestimmungen des Datenschutz-Grundverordnung. Diese Vorschriften können bestimmen, genauer spezifischen Anforderungen für die Verarbeitung personenbezogener Daten durch diejenigen, Behörden, die für andere Zwecke, unter Berücksichtigung der verfassungsmäßigen, Organisations- und Verwaltungsstruktur des betreffenden Mitgliedstaats. Bei der Verarbeitung von personenbezogener Daten durch private Einrichtungen in den Anwendungsbereich dieser Verordnung, die diese Regelung Es sollte die Möglichkeit für die Mitgliedstaaten unter bestimmten Bedingungen, die von zu beschränken liefern Gesetz bestimmte Pflichten und Rechte, wenn eine solche Beschränkung notwendig ist und verhältnismäßige Maßnahme in einer demokratischen Gesellschaft auf bestimmte wichtige Interessen zu wahren einschließlich der öffentlichen Sicherheit und die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen, einschließlich der Wahrung gegen und die Abwehr von Gefahren für die öffentliche Sicherheit. Dies ist im Rahmen beispielsweise relevante der Anti-Geldwäsche oder die Aktivitäten der forensischen Laboratorien /15 VH / np 14

16 (16a) Während diese Verordnung gilt auch für die Aktivitäten der Gerichte und anderer Justizbehörden, Union oder der Mitgliedstaaten Gesetz könnte die Verarbeitungsoperationen und Verarbeitung angeben Verfahren in Bezug auf die Verarbeitung personenbezogener Daten durch die Gerichte und andere Justiz Behörden. Die Zuständigkeit der Aufsichtsbehörden sollten nicht die Verarbeitung der Deckung personenbezogener Daten, wenn Gerichte in Ausübung ihrer Rechtsprechungs Eigenschaft handeln, um die Wahrung Unabhängigkeit der Justiz bei der Ausübung seiner Rechtsprechungsaufgaben, einschließlich der Entscheidungsfindung. Überwachung solcher Datenverarbeitungsoperationen kann auf bestimmte Einrichtungen übertragen werden, innerhalb des Rechtssystems des betreffenden Mitgliedstaats, die insbesondere Steuer Einhaltung sollte mit den Vorschriften dieser Verordnung zu fördern, das Bewusstsein der Justiz ihrer Verpflichtungen im Rahmen dieser Verordnung und befassen sich mit Beschwerden im Zusammenhang mit einer solchen Verarbeitung. (17) Diese Verordnung sollte unbeschadet der Anwendung der Richtlinie 2000/31 / EG des Europäischen Parlaments sein Europäischen Parlaments und des Rates, insbesondere der Bestimmungen über die Haftung der Vermittler Service-Provider in den Artikeln 12 bis 15 der genannten Richtlinie. Dass Richtlinie soll dazu beitragen, das reibungslose Funktionieren des Binnenmarktes durch die Gewährleistung des freien Verkehrs von Informationen Dienstleistungsgesellschaft zwischen den Mitgliedstaaten. (18) (...) (19) Die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung von a Steuerung oder einem Prozessor in der Union sollte in Übereinstimmung damit durchgeführt werden Verordnung, unabhängig davon, ob die Verarbeitung selbst innerhalb der Union stattfindet oder nicht.

17 Gründung setzt die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung. Die Rechtsform einer solchen Regelung, sei es durch eine Zweigniederlassung oder eine Tochtergesellschaft mit eigener Rechts Persönlichkeit ist nicht der entscheidende Faktor in dieser Hinsicht. (20) Um zu gewährleisten, dass Personen nicht der Schutz entzogen, auf die sie Anspruch haben im Rahmen dieser Verordnung, die Verarbeitung personenbezogener Daten der betroffenen Personen, die in der Union durch eine Steuereinheit oder einem Prozessor nicht in der Union sollte von dieser Verordnung werden wo die Verarbeitungstätigkeiten werden auf das Angebot von Waren oder Dienstleistungen, um solche Daten im Zusammenhang wirft unabhängig davon, ob eine Zahlung oder nicht angeschlossen. Um zu bestimmen, ob ein solcher Controller oder Prozessor ist, Güter oder Dienstleistungen für die betroffenen Personen, die in der sind Union, sollte sie prüfen, ob es offensichtlich, dass der Controller erwägt das ist sein Angebot von Dienstleistungen für die betroffenen Personen in einem oder mehreren Mitgliedstaaten in der Union. Während die bloße Zugänglichkeit des Controllers oder der Website eines Vermittlers in der Union oder einer Adresse und anderer Adressdaten oder die Verwendung von einer Sprache in der Regel in der dritten verwendete Land, in dem der Regler eingerichtet ist, unzureichend ist, um diese Absicht zu ermitteln, Faktoren wie beispielsweise die Verwendung einer Sprache oder einer Währung in der Regel in einem oder mehreren Mitgliedstaaten verwendet werden, die Möglichkeit der Bestellung von Waren und Dienstleistungen in diese andere Sprache, und / oder die Nennung Kunden oder Nutzer, die in der Union sind, kann es offensichtlich, dass die Steuereinheit vorgesehen, hergestellt Waren oder Dienstleistungen anbieten, solche Daten zu Themen in der Union. (21) Die Verarbeitung personenbezogener Daten der betroffenen Personen, die in der Union durch eine Steuerung oder Prozessor nicht in der Union sollten ebenfalls zu dieser Verordnung, wenn es

18 zur Überwachung des Verhaltens solcher betroffenen Personen soweit wie ihr Verhalten nimmt bezogenen Orte innerhalb der Europäischen Union. Um zu bestimmen, ob ein Bearbeitungsvorgang kann berücksichtigt, um das Verhalten der betroffenen Personen zu überwachen, sollte es, ob festgestellt werden Personen sind über das Internet einschließlich der möglichen anschließenden Verwendung der Datenverarbeitung verfolgt Techniken, die von Profiling einen individuellen bestehen, vor allem, um Entscheidungen zu treffen über sie oder ihn oder für die Analyse und Vorhersage von seinen persönlichen Vorlieben, Verhaltensweisen und Einstellungen. (22) Wo das nationale Recht eines Mitgliedstaats gilt aufgrund des Völkerrechts, diese Verordnung sollte auch an eine Steuerung nicht in der Union, wie zum Beispiel in einem Mitglied gelten Staat diplomatische Mission oder konsularische Vertretung /15 VH / np 16 (23) Die Grundsätze des Datenschutzes sollten für alle Informationen gelten über eine bestimmte oder bestimmbaren natürlichen Person. Daten, die Pseudonymisierung unterzogen wurde, die sein könnte, auf eine natürliche Person durch die Verwendung von Zusatzinformationen zugeschrieben wird, sollte berücksichtigt werden Informationen über eine bestimmbare natürliche Person. Um festzustellen, ob eine Person bestimmbar ist, Konto sollte alle Mittel mit großer Wahrscheinlichkeit verwendet werden, wie zum Beispiel herauszugreifen genommen werden, entweder durch die Steuerung oder durch eine andere Person, die Person, die unmittelbar oder indirekt identifizieren. Zu prüfen, ob Mittel angemessen sind wahrscheinlich verwendet, um die Person zu identifizieren sein, Konto sollte aller objektiven Faktoren berücksichtigt werden, wie die Kosten von und die Menge an Zeit, die erforderlich zur Identifizierung unter Berücksichtigung sowohl Stand der Technik zum Zeitpunkt der

19 Verarbeitung und technologische Entwicklung. Die Grundsätze des Datenschutzes sollten daher nicht auf anonyme Informationen gelten, ist, dass Informationen, die nicht eine bestimmte Beziehung hat oder bestimmbare natürliche Person oder um Daten anonymisiert in einer Weise, dass die Daten Thema ist nicht oder nicht mehr identifizierbar. Diese Verordnung geht daher nichts an der Verarbeitung solcher anonymen Informationen, einschließlich der für die statistische und Forschungszwecke. (23aa) Diese Verordnung sollte nicht auf Daten von verstorbenen Personen gelten. Die Mitgliedstaaten können vorsehen Regeln für die Verarbeitung von Daten von verstorbenen Personen. (23a) Die Anwendung der Pseudonymisierung zu personenbezogenen Daten können die Risiken für die Daten zu reduzieren betreffenden Themen und Hilfe-Controller und Prozessoren erfüllen ihre Datenschutzverpflichtungen. Die explizite Einführung von "Pseudonymisierung" durch die Artikel dieser Verordnung ist daher nicht dazu gedacht, andere Maßnahmen des Datenschutzes nicht aus. (23b) (...) (23c) Um Anreize für die Anwendung Pseudonymisierung bei der Verarbeitung persönlicher Daten zu erstellen, Maßnahmen der Pseudonymisierung während gleichzeitig die allgemeine Analyse sollte im möglich sein gleichen Controller, wenn der Controller hat technische und organisatorische Maßnahmen notwendig gemacht um zu gewährleisten, für die jeweilige Verarbeitungs, dass die Vorschriften dieser Verordnung sind umgesetzt, und sicherzustellen, dass die zusätzliche Informationen für die Zuordnung der persönlichen Daten ein spezifischen Daten unterliegen separat gehalten. Die Steuerung der Verarbeitung der Daten gelten auch für beziehen autorisierten Personen innerhalb desselben Controllers.

20 15039/15 VH / np 17 (24) Einzelpersonen können mit Online-Kennungen von ihren Geräten, Anwendungen vorgesehen in Verbindung gebracht werden, Werkzeugen und Protokollen, wie zum Beispiel Internet-Protokoll-Adressen, cookie Identifikatoren oder anderen Kennungen wie Radio Frequency Identification Tags. Dies kann Spuren, die, insbesondere, wenn zu verlassen kombiniert mit eindeutigen Kennungen und andere Informationen, die von den Servern empfangen werden, können verwendet werden, Profile der Personen zu erstellen und zu identifizieren. (24c neuen) öffentliche Einrichtungen, denen die Daten werden in die Erfüllung einer rechtlichen Verpflichtung offen die Ausübung ihrer Dienstreise, wie Steuer- und Zollbehörden, Finanz Untersuchungseinheiten, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, für die Regulierung und Überwachung der Wertpapiermärkte verantwortlich ist, kann nicht so angesehen werden, Empfänger, wenn sie empfangen Daten, die notwendig sind für die Durchführung einer bestimmten Anfrage in das allgemeinem Interesse im Einklang mit Union oder einzelstaatlichen Rechtsvorschriften. Die Anträge auf Offenlegung von den Behörden geschickt sollten immer geschrieben werden, mit Gründen versehenen und gelegentliche und sollte die Gesamtheit einer Datei gespeichert oder Blei nichts an, um die Verbindung von Ablagesystemen. das Verarbeitung dieser Daten durch diese Behörden sollten in Übereinstimmung mit dem sein geltenden Datenschutzbestimmungen gemäß den Zwecken der Verarbeitung. (25) Die Zustimmung sollte durch eine klare positive Maßnahmen zur Schaffung eines frei gegeben, spezifische gegeben werden, informiert und eindeutige Angabe der betroffenen Person die uneingeschränkte Zustimmung zu personenbezogenen Daten um ihn oder sie verarbeitet werden, wie etwa durch eine schriftliche, einschließlich elektronischer und mündliche Erklärung.

21 Dies könnte auch Markieren eines Feldes auf einer Internet-Website, die Wahl technischen Einstellungen für die Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder ein Verhalten, das deutlich darauf hinweist, in diesem Zusammenhang der betroffenen Person die Annahme der vorgeschlagenen Verarbeitung ihrer persönlichen Daten. Stille, vor-angekreuzt Boxen oder Untätigkeit sollte daher nicht als Zustimmung. Zustimmung sollte decken alle Verarbeitungstätigkeiten, die für den gleichen Zweck oder Zwecke durchgeführt. Wenn das Verarbeitung hat mehrere Zwecke, Zustimmung sollte für die gesamte Verarbeitung gewährt werden Zwecke. Wird die Einwilligung der betroffenen Person ist nach einer elektronischen Anfrage gegeben werden, die Antrag muss klare, präzise und nicht unnötigerweise negative Auswirkungen auf die Nutzung des Dienstes für sein die sie vorgesehen ist /15 VH / np 18 (25aa), ist es oft nicht möglich, den Zweck der Datenverarbeitung für die wissenschaftliche Forschung vollständige Identifizierung Zwecke zum Zeitpunkt der Datenerfassung. Daher sollten die betroffenen Personen dürfen zu geben ihre einverstanden, dass bestimmte Bereiche der wissenschaftlichen Forschung, wenn sie in Übereinstimmung mit anerkannten ethischen Standards für die wissenschaftliche Forschung. Die betroffenen Personen sollten die Möglichkeit zu geben, ihre Zustimmung nur auf bestimmte Bereiche der Forschung oder Teile von Forschungsprojekten in dem Maße erlaubt die vorgesehenen Zweck. (25a) Genetische Daten als persönliche Daten der genetischen Merkmale eine bestimmt werden Einzel die ererbt oder erworben wurden, wie sie aus der Analyse des Ergebnisses biologische Probe aus dem Individuum in Frage, insbesondere durch chromosomale,

22 Desoxyribonukleinsäure (DNA) oder Ribonukleinsäure (RNA) Analyse oder Analyse anderer Element ermöglicht gleichwertige Informationen zu erhalten. (26) Personenbezogene Daten über Gesundheit sollten alle Daten über den Gesundheitszustand einer Daten schließen Thema, das Informationen in Bezug auf die Vergangenheit zu offenbaren, aktuelle und zukünftige körperliche oder geistige Gesundheitszustand der betroffenen Person; einschließlich Informationen über die in den gesammelten Einzel Verlauf der Anmeldung zu und die Bereitstellung von Gesundheitsleistungen, die unter Nummer Richtlinie 2011/24 / EU für den einzelnen; eine Zahl, ein Symbol oder auf eine zugewiesene Einzel zur eindeutigen Identifizierung des einzelnen zum Zweck des Gesundheitsschutzes; Informationen von abgeleiteten die Prüfung oder Untersuchung eines Körperteils oder körperliche Substanz, einschließlich genetischer Daten und biologische Proben; oder jede Information über z eine Krankheit, einer Behinderung, des Krankheitsrisikos, medizinische Geschichte, klinische Behandlung, oder die eigentliche physiologische oder biomedizinischen Zustand der betroffenen Person unabhängig von ihrer Quelle, wie z.b. von einem Arzt oder anderen medizinischen Fachkraft, ein Krankenhaus, ein medizinisches Gerät oder ein In-vitro-Diagnose durch /15 VH / np 19 (27) Die Hauptniederlassung einer Steuerung in der Union sollte der Ort der zentralen sein Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten werden in einem anderen Betrieb der Steuerung in der Union gemacht. In diesem Fall der Letztere sollten als der Hauptniederlassung zu berücksichtigen. Die Hauptniederlassung einer Steuerung in der Union sollte nach objektiven Kriterien festgestellt werden, und sollte die implizieren, effektive und tatsächliche Ausübung der Verwaltungstätigkeiten der Ermittlung der wichtigsten Entscheidungen, die

23 Zwecke und Mittel der Verarbeitung im Rahmen fester Vereinbarungen. Dieses Kriterium sollte nicht davon abhängen, ob die Verarbeitung personenbezogener Daten wird tatsächlich an dieser Stelle durchgeführt; das Vorhandensein und Nutzung technischer Mittel und Technologien für die Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten nicht an sich dar wie Hauptniederlassung und also nicht die Bestimmung Kriterien für eine Hauptniederlassung. Die Hauptniederlassung der Prozessor sollte der Ort der zentralen Verwaltung in der Union sein, und, wenn es keine zentrale Verwaltung in der Union, der Ort, an dem die Hauptverarbeitungs Aktivitäten finden in der Union. In Fällen, in denen sowohl das Steuergerät und den Prozessor, die zuständige Blei Aufsichtsbehörde sollte die Aufsichtsbehörde des Mitgliedstaats zu bleiben, wo die Controller hat seine Hauptniederlassung, aber die Aufsichtsbehörde des Prozessors sollte als betroffene Aufsichtsbehörde berücksichtigt und zu beteiligen, um die Verfahren der Zusammenarbeit die in dieser Verordnung vorgesehen ist. In jedem Fall ist die Aufsichtsbehörden des Mitgliedstaats, oder Mitgliedstaaten, in denen der Prozessor einen oder mehrere Betriebe sollte nicht sein wie betroffenen Aufsichtsbehörden berücksichtigt werden, wenn der Entscheidungsentwurf betrifft nur die Regler. Wo die Verarbeitung wird von einer Gruppe von Unternehmen, die Hauptgeführt Gründung des herrschenden Unternehmens sollte als der Hauptniederlassung in Betracht gezogen werden der Unternehmensgruppe, sofern die Zwecke und Mittel der Verarbeitung von einem anderen Unternehmen festgelegt /15 VH / np 20 (28) eine Gruppe von Unternehmen sollte einem herrschenden Unternehmen und den von diesem abhängigen decken Unternehmen, wobei die herrschendes Unternehmen sollte das Unternehmen, das kann sein,

24 üben einen beherrschenden Einfluss auf die anderen Unternehmen, mit denen zum Beispiel der Eigentum, finanzieller Beteiligung oder die Regeln, die sie oder die Macht zu regieren persönlicher zu haben, Datenschutzbestimmungen umgesetzt werden. Ein zentrales Unternehmen, das die Verarbeitung steuert personenbezogener Daten im Unternehmen, um es dem Unternehmen assoziiert bildet gemeinsam mit diesen Unternehmen ein Unternehmen die als "Unternehmensgruppe" behandelt werden können. (29) Kinder verdienen besonderen Schutz ihrer personenbezogenen Daten, da sie weniger bewusst Risiken, Folgen, Garantien und ihre Rechte in Bezug auf die Verarbeitung personenbezogener Daten. Dies betrifft insbesondere die Verwendung personenbezogener Daten von Kindern zum Zwecke der Vermarktung oder Erstellen von Persönlichkeit oder Benutzerprofile und die Sammlung von Kinder Daten bei Verwendung von Dienstleistungen direkt an ein Kind geboten. Die Zustimmung der Träger der elterlichen Verantwortung sollte nicht sein notwendig im Rahmen der direkt an ein Kind geboten präventive oder Beratung /15 VH / np 21 (30) Die Verarbeitung personenbezogener Daten sollte rechtmäßig und fair sein. Es sollte transparent für die sein, Personen, dass sie betreffenden personenbezogenen Daten erhoben werden, verwendet wird, konsultiert oder anderweitig verarbeitet und in welchem Umfang die Daten verarbeitet werden oder verarbeitet wird. Das Prinzip der Transparenz erfordert, dass alle Informationen und die Kommunikation in Bezug auf die Verarbeitung von diese Daten sollten leicht zugänglich und leicht zu verstehen, und das klar und deutlich sein, Sprache verwendet. Dies betrifft insbesondere die Information der betroffenen Personen auf die Identität der Controller und die Zwecke der Verarbeitung und weitere Informationen, um sicherzustellen,

25 faire und transparente Verarbeitung in Bezug auf die betroffenen Personen und ihr Recht zu bekommen, wobei Bestätigung und Übermittlung von sie betreffenden personenbezogenen Daten verarbeitet werden. Der Einzelne sollte sich bewusst über die Risiken, Regeln, Garantien und Rechte an die gemacht werden in Bezug Verarbeitung personenbezogener Daten und wie man seine Rechte in Bezug auf die Verarbeitung auszuüben. Insbesondere sollten die spezifischen Zwecke, für die die Daten verarbeitet werden explizit sein und berechtigten und zu der Zeit der Sammlung der Daten bestimmt. Diese Daten sein sollten entsprechen, und beschränkt sich auf das, was für die Zwecke, für die die Daten erforderlich ist, bearbeitet; Dies erfordert insbesondere sicherzustellen, dass der Zeitraum, in dem die Daten gespeichert werden, auf ein Minimum beschränkt. Persönliche Daten nur verarbeitet werden, wenn der Zweck der Verarbeitung vernünftigerweise nicht auf andere Weise erfüllt werden. Um sicherzustellen, daß die Daten werden nicht länger als notwendig aufbewahrt sollten Fristen von der Steuerung für festgelegt werden Löschung oder für eine regelmäßige Überprüfung. Es sind alle angemessenen zu treffen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig sind, korrigiert oder gelöscht werden. Personenbezogene Daten sollten in einem verarbeitet werden Weise, die entsprechende Sicherheit und Vertraulichkeit der persönlichen Daten gewährleistet, auch für unbefugten Zugriff auf oder die Nutzung personenbezogener Daten und den für die verwendete Ausrüstung zu verhindern Verarbeitung /15 VH / np 22 (31) Um für die Verarbeitung rechtmäßig ist, persönliche Daten auf der Grundlage des verarbeitenden mit Einwilligung der betroffenen Person oder auf einer sonstigen legitimen Grundlage, durch Gesetz festgelegt, entweder in

26 dieser Verordnung oder in anderen Unions oder einzelstaatlichen Rechtsvorschriften im Sinne dieser Verordnung, einschließlich der Notwendigkeit, für die Einhaltung der rechtlichen Verpflichtung, auf die sich die Steuerung Gegenstand oder die Notwendigkeit für die Erfüllung eines Vertrags, zu dem die betroffene Person ist Partei oder um Schritte auf Antrag der betroffenen Person vor dem Eintritt in einen Vertrag zu nehmen. (31a) Soweit diese Verordnung bezieht sich auf eine Rechtsgrundlage oder einer Rechtsvorschrift, tut dies nicht unbedingt einen Rechtsakt von einem Parlament verabschiedet, verlangen unbeschadet Anforderungen nach der Verfassungsordnung des jeweiligen Mitgliedstaat, aber wie Rechtsgrundlage oder eine gesetzgeberische Maßnahme sollte klar und deutlich sein und ihre Anwendung vorhersehbaren für diejenigen, die den es wie von der Rechtsprechung des Gerichtshofs der Europäischen erforderlich Union und der Europäische Gerichtshof für Menschenrechte. (32) Findet die Verarbeitung auf Einwilligung der betroffenen Person beruht, sollte der Regler in der Lage zu sein, zeigen, dass die betroffene Person hat ohne die Einwilligung in die Verarbeitung Operation gegeben. Im insbesondere im Rahmen einer schriftlichen Erklärung zu einer anderen Sache, sollten Schutzmaßnahmen sicherzustellen,, dass die betroffene Person ist sich bewusst, dass und in welchem Umfang der Erteilung der Genehmigung. Im Einklang mit Richtlinie 93/13 / EWG des Rates 1 eine Einverständniserklärung von der Steuerung vorformulierten sollte in verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden, mit klar und deutlich Sprache und es sollten keine missbräuchliche Klauseln. Zur Zustimmung der betroffenen Person informiert werden sollte zumindest der Identität der Steuereinheit und den Zweck der Verarbeitung zu beachten denen die persönlichen Daten bestimmt sind; Zustimmung sollte nicht angesehen, als ob der frei-gegeben werden

27 Betroffene hat keine echte und freie Wahl und kann nicht verweigern oder Zustimmung widerrufen ohne Nachteil. (33) (...) 15039/15 VH / np 23 (34) Um diese Zustimmung zu sichern wurde frei gegeben, Zustimmung nicht geben Sie eine gültige Rechtsgrund für die Verarbeitung personenbezogener Daten im Einzelfall, in dem es eine klare Ungleichgewicht zwischen der betroffenen Person und der Steuerung, insbesondere dann, wenn der Controller ein Behörde und das macht es unwahrscheinlich, dass die Einwilligung wurde frei in alle angegebenen Umstände dieser besonderen Situation. Die Zustimmung wird vermutet, nicht frei gegeben werden, wenn es funktioniert nicht erlauben gesonderte Einwilligung an verschiedene Datenverarbeitungsoperationen gegeben, obwohl es sein falls im Einzelfall, oder wenn die Ausführung des Auftrags vorschreiben, einschließlich der Bereitstellung einer Dienstleistung ist abhängig von der Zustimmung erfolgt, obwohl dies nicht für solche notwendig Performance. (35) Die Verarbeitung sollte rechtmäßig gelten, soweit sie im Zusammenhang mit einem Vertrag oder der beabsichtigten erforderlich Abschluss eines Vertrages. (35a) (...) (36) Wo die Verarbeitung erfolgt auf die Erfüllung einer rechtlichen Verpflichtung durchgeführt, zu dem der Controller unterliegt oder in denen die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im durch öffentlichen Interesse liegt oder in Ausübung einer amtlichen Stelle, sollte die Verarbeitung eine Grundlage in haben

28 Unionsrecht oder im nationalen Recht eines Mitgliedstaats. Diese Verordnung ist es nicht erforderlich, dass ein spezifischen Gesetz ist für jede einzelne Verarbeitungs notwendig. Ein Gesetz, das als Grundlage für mehrere Verarbeitungsvorgänge basierend auf einer rechtlichen Verpflichtung, die die Verarbeitung Verantwortliche unterliegt, oder wenn für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in die notwendige Verarbeitung durchgeführt ist Ausübung einer Behörde ausreichend sein. Es sollte auch für die Union oder die Mitglied sein Landesrecht um den Zweck der Verarbeitung zu bestimmen. Darüber hinaus könnte diese Basis die angeben, allgemeinen Bedingungen der Verordnung über die Rechtmäßigkeit der Datenverarbeitung, zu bestimmen, Spezifikationen für die Bestimmung der Steuerung die Art der Daten, die Gegenstand der ARE Verarbeitung werden die betroffenen Personen, die juristischen Personen, denen die Daten mitgeteilt werden können, die Zweck Einschränkungen, die Lagerzeit und andere Maßnahmen, um sicherzustellen, Treu und Glauben Verarbeitung. Es sollte auch für die Union oder einzelstaatlichen Rechtsvorschriften, ob die Bestimmung Steuerung der Durchführung einer Aufgabe im öffentlichen Interesse liegt oder in Ausübung öffentlicher durchgeführt Stelle sollte eine Behörde oder eine andere natürliche oder juristische Person des öffentlichen geregelt Rechts oder des Privatrechts, wie beispielsweise eine Berufsvereinigung, wo Gründen des öffentlichen Interesses, so rechtfertigen, einschließlich der Gesundheit Zwecke, wie die öffentliche Gesundheit und den sozialen Schutz und die Management von Gesundheitsleistungen /15 VH / np 24 (37) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig, wo es notwendig ist, zu betrachten schützt ein Interesse, die für das Leben der betroffenen Person oder einer anderen Person ist.

29 Personenbezogene Daten dürfen nur verarbeitet werden, basierend auf dem vitalen Interesse einer anderen natürlichen Person Prinzip, wo die Verarbeitung kann nicht offensichtlich auf einer anderen Rechtsgrundlage beruhen. Einige Arten der Datenverarbeitung können sowohl ein wichtiges öffentliches Interesse und die lebenswichtigen Interessen zu dienen der betroffenen Person, wie beispielsweise bei der Verarbeitung für humanitäre Zwecke erforderlich ist, einschließlich der für die Überwachung der Epidemie und ihre Ausbreitung oder in Situationen, in der humanitären Notfälle, insbesondere in Situationen, in der natürlichen und vom Menschen verursachten Katastrophen. (38) Die Interessen eines Steuerung einschließlich einer Steuerung, an die die Daten können offenbart ist, oder eines Dritten kann eine Rechtsgrundlage für die Verarbeitung zur Verfügung stellen, sofern die Interessen oder die Grundrechte und Freiheiten der betroffenen Person nicht überschreiben, wobei Berücksichtigung der berechtigten Erwartungen der betroffenen Personen auf der Grundlage der Beziehung der Controller. Berechtigtes Interesse könnte beispielsweise vorliegen, wenn es eine relevante und angemessenes Verhältnis zwischen der betroffenen Person und der Steuerung in Situationen wie der Betroffene, ein Client oder im Dienst des Controllers. Auf jeden Fall die Existenz einer berechtigtes Interesse wäre eine sorgfältige Prüfung benötigen, einschließlich, ob eine betroffene Person kann relativ zu der Zeit und in Zusammenhang mit der Sammlung von Daten, die der Verarbeitung erwartet kann zu diesem Zweck statt. Die Interessen und die Grundrechte der betroffenen Person könnte insbesondere Override das Interesse des für die Verarbeitung Verantwortlichen in denen personenbezogene Daten verarbeitet in Situationen, in denen die betroffenen Personen nicht vernünftigerweise erwarten weitere Verarbeitung. Gegeben, dass es ist der Gesetzgeber durch das Gesetz die Rechtsgrundlage für die öffentliche Hand, um Daten zu verarbeiten, dies

30 Rechtsgrund sollte nicht für die Bearbeitung durch die Behörden bei der Wahrnehmung gelten ihre Aufgaben. Die Verarbeitung der Daten für die Zwecke der Verhinderung von unbedingt erforderlichen Betrug stellt ebenfalls ein berechtigtes Interesse des betroffenen Datensteuerung. Die Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung kann betrachtet werden, wie sie für eine legitime geführt interessieren /15 VH / np 25 (38a) Controller, die Teil einer Gruppe von Unternehmen oder Einrichtung einer Zentralorganisation angeschlossen sind, kann ein berechtigtes Interesse zu personenbezogenen Daten innerhalb der Unternehmensgruppe für die Übertragung haben interne administrative Zwecke, einschließlich der Verarbeitung von Kunden oder Mitarbeiter persönliche Daten. Die allgemeinen Grundsätze für die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe, an ein Unternehmen in einem Drittland befindet, bleiben unberührt. (39) Die Verarbeitung von Daten, soweit dies unbedingt notwendig und angemessen für die Zwecke der Sicherstellung Netz- und Informationssicherheit, dh die Fähigkeit eines Netzes oder Informations System zu widerstehen, zu einem bestimmten Maß an Vertrauen, Störungen und rechtswidrige oder böswillige Aktionen, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespeicherter oder Kompromisse übertragenen Daten und die Sicherheit der dazugehörigen Dienstleistungen angeboten, oder über diese zugänglich Netzwerke und Systeme, durch die öffentliche Hand, Computer Emergency Response Teams - CERTs, Computer Security Incident Response Teams - CSIRTs, Anbieter elektronischer Kommunikationsnetze und -dienste und die von Anbietern von Sicherheitstechnologien und