2017-03-08 11:13:15 +01:00
|
|
|
Artikel 47 - Verbindliche interne Datenschutzvorschriften
|
|
|
|
|
---------------------------------------------------------
|
|
|
|
|
|
2017-03-27 11:03:41 +02:00
|
|
|
1. Die zuständige Aufsichtsbehörde genehmigt gemäß dem
|
|
|
|
|
Kohärenzverfahren nach Artikel 63 verbindliche interne
|
|
|
|
|
Datenschutzvorschriften, sofern diese
|
|
|
|
|
|
|
|
|
|
a. rechtlich bindend sind, für alle betreffenden Mitglieder der
|
|
|
|
|
Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine
|
|
|
|
|
gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen
|
|
|
|
|
Mitgliedern durchgesetzt werden, und dies auch für ihre
|
|
|
|
|
Beschäftigten gilt,
|
|
|
|
|
|
|
|
|
|
b. den betroffenen Personen ausdrücklich durchsetzbare Rechte in
|
|
|
|
|
Bezug auf die Verarbeitung ihrer personenbezogenen Daten
|
|
|
|
|
übertragen und
|
|
|
|
|
|
|
|
|
|
c. die in Absatz 2 festgelegten Anforderungen erfüllen.
|
|
|
|
|
|
|
|
|
|
2. Die verbindlichen internen Datenschutzvorschriften nach Absatz 1
|
|
|
|
|
enthalten mindestens folgende Angaben:
|
|
|
|
|
|
|
|
|
|
a. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von
|
|
|
|
|
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
|
|
|
|
|
und jedes ihrer Mitglieder;
|
|
|
|
|
|
|
|
|
|
b. die betreffenden Datenübermittlungen oder Reihen von
|
|
|
|
|
Datenübermittlungen einschließlich der betreffenden Arten
|
|
|
|
|
personenbezogener Daten, Art und Zweck der Datenverarbeitung,
|
|
|
|
|
Art der betroffenen Personen und das betreffende Drittland
|
|
|
|
|
beziehungsweise die betreffenden Drittländer;
|
|
|
|
|
|
|
|
|
|
c. interne und externe Rechtsverbindlichkeit der betreffenden
|
|
|
|
|
internen Datenschutzvorschriften;
|
|
|
|
|
|
|
|
|
|
d. die Anwendung der allgemeinen Datenschutzgrundsätze,
|
|
|
|
|
insbesondere Zweckbindung, Datenminimierung, begrenzte
|
|
|
|
|
Speicherfristen, Datenqualität, Datenschutz durch
|
|
|
|
|
Technikgestaltung und durch datenschutzfreundliche
|
|
|
|
|
Voreinstellungen, Rechtsgrundlage für die Verarbeitung,
|
|
|
|
|
Verarbeitung besonderer Kategorien von personenbezogenen Daten,
|
|
|
|
|
Maßnahmen zur Sicherstellung der Datensicherheit und
|
|
|
|
|
Anforderungen für die Weiterübermittlung an nicht an diese
|
|
|
|
|
internen Datenschutzvorschriften gebundene Stellen;
|
|
|
|
|
|
|
|
|
|
e. die Rechte der betroffenen Personen in Bezug auf die
|
|
|
|
|
Verarbeitung und die diesen offenstehenden Mittel zur
|
|
|
|
|
Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer
|
|
|
|
|
ausschließlich auf einer automatisierten Verarbeitung —
|
|
|
|
|
einschließlich Profiling — beruhenden Entscheidung nach Artikel
|
|
|
|
|
22 unterworfen zu werden sowie des in Artikel 79 niedergelegten
|
|
|
|
|
Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde
|
|
|
|
|
beziehungsweise auf Einlegung eines Rechtsbehelfs bei den
|
|
|
|
|
zuständigen Gerichten der Mitgliedstaaten und im Falle einer
|
|
|
|
|
Verletzung der verbindlichen internen Datenschutzvorschriften
|
|
|
|
|
Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
|
|
|
|
|
|
|
|
|
|
f. die von dem in einem Mitgliedstaat niedergelassenen
|
|
|
|
|
Verantwortlichen oder Auftragsverarbeiter übernommene Haftung
|
|
|
|
|
für etwaige Verstöße eines nicht in der Union niedergelassenen
|
|
|
|
|
betreffenden Mitglieds der Unternehmensgruppe gegen die
|
|
|
|
|
verbindlichen internen Datenschutzvorschriften; der
|
|
|
|
|
Verantwortliche oder der Auftragsverarbeiter ist nur dann
|
|
|
|
|
teilweise oder vollständig von dieser Haftung befreit, wenn er
|
|
|
|
|
nachweist, dass der Umstand, durch den der Schaden eingetreten
|
|
|
|
|
ist, dem betreffenden Mitglied nicht zur Last gelegt werden
|
|
|
|
|
kann;
|
|
|
|
|
|
|
|
|
|
g. die Art und Weise, wie die betroffenen Personen über die
|
|
|
|
|
Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen
|
|
|
|
|
internen Datenschutzvorschriften und insbesondere über die unter
|
|
|
|
|
den Buchstaben d, e und f dieses Absatzes genannten Aspekte
|
|
|
|
|
informiert werden;
|
|
|
|
|
|
|
|
|
|
h. die Aufgaben jedes gemäß Artikel 37 benannten
|
|
|
|
|
Datenschutzbeauftragten oder jeder anderen Person oder
|
|
|
|
|
Einrichtung, die mit der Überwachung der Einhaltung der
|
|
|
|
|
verbindlichen internen Datenschutzvorschriften in der
|
|
|
|
|
Unternehmensgruppe oder Gruppe von Unternehmen, die eine
|
|
|
|
|
gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der
|
|
|
|
|
Überwachung der Schulungsmaßnahmen und dem Umgang mit
|
|
|
|
|
Beschwerden befasst ist;
|
|
|
|
|
|
|
|
|
|
i. die Beschwerdeverfahren;
|
|
|
|
|
|
|
|
|
|
j. die innerhalb der Unternehmensgruppe oder Gruppe von
|
|
|
|
|
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
|
|
|
|
|
bestehenden Verfahren zur Überprüfung der Einhaltung der
|
|
|
|
|
verbindlichen internen Datenschutzvorschriften. Derartige
|
|
|
|
|
Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur
|
|
|
|
|
Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der
|
|
|
|
|
betroffenen Person. Die Ergebnisse derartiger Überprüfungen
|
|
|
|
|
sollten der in Buchstabe h genannten Person oder Einrichtung
|
|
|
|
|
sowie dem Verwaltungsrat des herrschenden Unternehmens einer
|
|
|
|
|
Unternehmensgruppe oder der Gruppe von Unternehmen, die eine
|
|
|
|
|
gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und
|
|
|
|
|
sollten der zuständigen Aufsichtsbehörde auf Anfrage zur
|
|
|
|
|
Verfügung gestellt werden;
|
|
|
|
|
|
|
|
|
|
k. die Verfahren für die Meldung und Erfassung von Änderungen der
|
|
|
|
|
Vorschriften und ihre Meldung an die Aufsichtsbehörde;
|
|
|
|
|
|
|
|
|
|
l. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde,
|
|
|
|
|
die die Befolgung der Vorschriften durch sämtliche Mitglieder
|
|
|
|
|
der Unternehmensgruppe oder Gruppe von Unternehmen, die eine
|
|
|
|
|
gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten,
|
|
|
|
|
insbesondere durch Offenlegung der Ergebnisse von Überprüfungen
|
|
|
|
|
der unter Buchstabe j genannten Maßnahmen gegenüber der
|
|
|
|
|
Aufsichtsbehörde;
|
|
|
|
|
|
|
|
|
|
m. die Meldeverfahren zur Unterrichtung der zuständigen
|
|
|
|
|
Aufsichtsbehörde über jegliche für ein Mitglied der
|
|
|
|
|
Unternehmensgruppe oder Gruppe von Unternehmen, die eine
|
|
|
|
|
gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland
|
|
|
|
|
geltenden rechtlichen Bestimmungen, die sich nachteilig auf die
|
|
|
|
|
Garantien auswirken könnten, die die verbindlichen internen
|
|
|
|
|
Datenschutzvorschriften bieten, und
|
|
|
|
|
|
|
|
|
|
n. geeignete Datenschutzschulungen für Personal mit ständigem oder
|
|
|
|
|
regelmäßigem Zugang zu personenbezogenen Daten.
|
|
|
|
|
|
|
|
|
|
3. Die Kommission kann das Format und die Verfahren für den
|
|
|
|
|
Informationsaustausch über verbindliche interne
|
|
|
|
|
Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen
|
|
|
|
|
Verantwortlichen, Auftragsverarbeitern und
|
|
|
|
|
Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden
|
|
|
|
|
gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
|
2017-03-08 11:13:15 +01:00
|
|
|
|
|
|
|
|
|
