Datenschutz-Grundverordnung
Inhaltsverzeichnis
Kapitel 1
Allgemeine Bestimmungen
Kapitel 2
Grundsätze
Artikel 5
Grundsätze für die Verarbeitung personenbezogener Daten
Artikel 6
Rechtmäßigkeit der Verarbeitung
Artikel 7
Bedingungen für die Einwilligung
Artikel 8
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
Artikel 9
Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 10
Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Artikel 11
Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Kapitel 3
Rechte der betroffenen Person
Abschnitt 1
Transparenz und Modalitäten
Abschnitt 2
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
Abschnitt 3
Berichtigung und Löschung
Artikel 16
Recht auf Berichtigung
Artikel 17
Recht auf Löschung („Recht auf Vergessenwerden“)
Artikel 18
Recht auf Einschränkung der Verarbeitung
Artikel 19
Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
Artikel 20
Recht auf Datenübertragbarkeit
Abschnitt 4
Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
Abschnitt 5
Beschränkungen
Kapital 4
Verantwortlicher und Auftragsverarbeiter
Abschnitt 1
Allgemeine Pflichten
Artikel 24
Verantwortung des für die Verarbeitung Verantwortlichen
Artikel 25
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Artikel 26
Gemeinsam Verantwortliche
Artikel 27
Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
Artikel 28
Auftragsverarbeiter
Artikel 29
Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
Artikel 30
Verzeichnis von Verarbeitungstätigkeiten
Artikel 31
Zusammenarbeit mit der Aufsichtsbehörde
Abschnitt 2
Sicherheit personenbezogener Daten
Abschnitt 3
Datenschutz-Folgenabschätzung und vorherige Konsultation
Abschnitt 4
Datenschutzbeauftragter
Abschnitt 5
Verhaltensregeln und Zertifizierung
Kapitel 5
Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Artikel 44
Allgemeine Grundsätze der Datenübermittlung
Artikel 45
Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
Artikel 46
Datenübermittlung vorbehaltlich geeigneter Garantien
Artikel 47
Verbindliche interne Datenschutzvorschriften
Artikel 48
Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Artikel 49
Ausnahmen für bestimmte Fälle
Artikel 50
Internationale Zusammenarbeit zum Schutz personenbezogener Daten
Kapitel 6
Unabhängige Aufsichtsbehörden
Kapitel 7
Zusammenarbeit und Kohärenz
Kapitel 8
Rechtsbehelfe, Haftung und Sanktionen
Artikel 77
Recht auf Beschwerde bei einer Aufsichtsbehörde
Artikel 78
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
Artikel 79
Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
Artikel 80
Vertretung von betroffenen Personen
Artikel 81
Aussetzung des Verfahrens
Artikel 82
Haftung und Recht auf Schadenersatz
Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
Artikel 84
Sanktionen
Kapitel 9
Vorschriften für besondere Verarbeitungssituationen
Artikel 85
Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
Artikel 86
Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
Artikel 87
Verarbeitung der nationalen Kennziffer
Artikel 88
Datenverarbeitung im Beschäftigungskontext
Artikel 89
Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
Artikel 90
Geheimhaltungspflichten
Artikel 91
Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
Kapitel 10
Delegierte Rechtsakte und Durchführungsrechtsakte
Kapitel 11
Schlussbestimmungen
Offizielle DSGVO Zusammenfassung
Artikel 35
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
(a)
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
(b)
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
(c)
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
Die Folgenabschätzung enthält zumindest Folgendes:
(a)
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
(b)
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
(c)
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
(d)
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.