Text:

RICHTLINIE 95/46/EG DES EUROPAEISCHEN PARLAMENTS UND DES RATES
vom 24. Oktober 1995
zum Schutz natuerlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

DAS EUROPAEISCHE PARLAMENT UND DER RAT DER EUROPAEISCHEN UNION -
gestuetzt auf den Vertrag zur Gruendung der Europaeischen Gemeinschaft, insbesondere auf Artikel 100a,
auf Vorschlag der Kommission (1),
nach Stellungnahme des Wirtschafts- und Sozialausschusses (2),
gemaess dem Verfahren des Artikels 189b des Vertrags (3),
in Erwaegung nachstehender Gruende:
(1) Die Ziele der Gemeinschaft, wie sie in dem durch den Vertrag ueber die Europaeische Union geaenderten Vertrag festgelegt sind, bestehen darin, einen immer engeren Zusammenschluss der europaeischen Voelker zu schaffen, engere Beziehungen zwischen den in der Gemeinschaft zusammengeschlossenen Staaten herzustellen, durch gemeinsames Handeln den wirtschaftlichen und sozialen Fortschritt zu sichern, indem die Europa trennenden Schranken beseitigt werden, die staendige Besserung der Lebensbedingungen ihrer Voelker zu foerdern, Frieden und Freiheit zu wahren und zu festigen und fuer die Demokratie einzutreten und sich dabei auf die in den Verfassungen und Gesetzen der Mitgliedstaaten sowie in der Europaeischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten anerkannten Grundrechte zu stuetzen.
(2) Die Datenverarbeitungssysteme stehen im Dienste des Menschen; sie haben, ungeachtet der Staatsangehoerigkeit oder des Wohnorts der natuerlichen Personen, deren Grundrechte und -freiheiten und insbesondere deren Privatsphaere zu achten und zum wirtschaftlichen und sozialen Fortschritt, zur Entwicklung des Handels sowie zum Wohlergehen der Menschen beizutragen.
(3) Fuer die Errichtung und das Funktionieren des Binnenmarktes, der gemaess Artikel 7a des Vertrags den freien Verkehr von Waren, Personen, Dienstleistungen und Kapital gewaehrleisten soll, ist es nicht nur erforderlich, dass personenbezogene Daten von einem Mitgliedstaat in einen anderen Mitgliedstaat uebermittelt werden koennen, sondern auch, dass die Grundrechte der Personen gewahrt werden.
(4) Immer haeufiger werden personenbezogene Daten in der Gemeinschaft in den verschiedenen Bereichen wirtschaftlicher und sozialer Taetigkeiten verarbeitet. Die Fortschritte der Informationstechnik erleichtern die Verarbeitung und den Austausch dieser Daten betraechtlich.
(5) Die wirtschaftliche und soziale Integration, die sich aus der Errichtung und dem Funktionieren des Binnenmarktes im Sinne von Artikel 7a des Vertrags ergibt, wird notwendigerweise zu einer spuerbaren Zunahme der grenzueberschreitenden Stroeme personenbezogener Daten zwischen allen am wirtschaftlichen und sozialen Leben der Mitgliedstaaten Beteiligten im oeffentlichen wie im privaten Bereich fuehren. Der Austausch personenbezogener Daten zwischen in verschiedenen Mitgliedstaaten niedergelassenen Unternehmen wird zunehmen. Die Verwaltungen der Mitgliedstaaten sind aufgrund des Gemeinschaftsrechts gehalten, zusammenzuarbeiten und untereinander personenbezogene Daten auszutauschen, um im Rahmen des Raums ohne Grenzen, wie er durch den Binnenmarkt hergestellt wird, ihren Auftrag erfuellen oder Aufgaben anstelle der Behoerden eines anderen Mitgliedstaats durchfuehren zu koennen.
(6) Die verstaerkte wissenschaftliche und technische Zusammenarbeit sowie die koordinierte Einfuehrung neuer Telekommunikationsnetze in der Gemeinschaft erfordern und erleichtern den grenzueberschreitenden Verkehr personenbezogener Daten.
(7) Das unterschiedliche Niveau des Schutzes der Rechte und Freiheiten von Personen, insbesondere der Privatsphaere, bei der Verarbeitung personenbezogener Daten in den Mitgliedstaaten kann die UEbermittlung dieser Daten aus dem Gebiet eines Mitgliedstaats in das Gebiet eines anderen Mitgliedstaats verhindern. Dieses unterschiedliche Schutzniveau kann somit ein Hemmnis fuer die Ausuebung einer Reihe von Wirtschaftstaetigkeiten auf Gemeinschaftsebene darstellen, den Wettbewerb verfaelschen und die Erfuellung des Auftrags der im Anwendungsbereich des Gemeinschaftsrechts taetigen Behoerden verhindern. Dieses unterschiedliche Schutzniveau ergibt sich aus der Verschiedenartigkeit der einzelstaatlichen Rechts- und Verwaltungsvorschriften.
(8) Zur Beseitigung der Hemmnisse fuer den Verkehr personenbezogener Daten ist ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlaesslich. Insbesondere unter Beruecksichtigung der grossen Unterschiede, die gegenwaertig zwischen den einschlaegigen einzelstaatlichen Rechtsvorschriften bestehen, und der Notwendigkeit, die Rechtsvorschriften der Mitgliedstaaten zu koordinieren, damit der grenzueberschreitende Fluss personenbezogener Daten kohaerent und in UEbereinstimmung mit dem Ziel des Binnenmarktes im Sinne des Artikels 7a des Vertrags geregelt wird, laesst sich dieses fuer den Binnenmarkt grundlegende Ziel nicht allein durch das Vorgehen der Mitgliedstaaten verwirklichen. Deshalb ist eine Massnahme der Gemeinschaft zur Angleichung der Rechtsvorschriften erforderlich.
(9) Die Mitgliedstaaten duerfen aufgrund des gleichwertigen Schutzes, der sich aus der Angleichung der einzelstaatlichen Rechtsvorschriften ergibt, den freien Verkehr personenbezogener Daten zwischen ihnen nicht mehr aus Gruenden behindern, die den Schutz der Rechte und Freiheiten natuerlicher Personen und insbesondere das Recht auf die Privatsphaere betreffen. Die Mitgliedstaaten besitzen einen Spielraum, der im Rahmen der Durchfuehrung der Richtlinie von den Wirtschafts- und Sozialpartnern genutzt werden kann. Sie koennen somit in ihrem einzelstaatlichen Recht allgemeine Bedingungen fuer die Rechtmaessigkeit der Verarbeitung festlegen. Hierbei streben sie eine Verbesserung des gegenwaertig durch ihre Rechtsvorschriften gewaehrten Schutzes an. Innerhalb dieses Spielraums koennen unter Beachtung des Gemeinschaftsrechts Unterschiede bei der Durchfuehrung der Richtlinie auftreten, was Auswirkungen fuer den Datenverkehr sowohl innerhalb eines Mitgliedstaats als auch in der Gemeinschaft haben kann.
(10) Gegenstand der einzelstaatlichen Rechtsvorschriften ueber die Verarbeitung personenbezogener Daten ist die Gewaehrleistung der Achtung der Grundrechte und -freiheiten, insbesondere des auch in Artikel 8 der Europaeischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten und in den allgemeinen Grundsaetzen des Gemeinschaftsrechts anerkannten Rechts auf die Privatsphaere. Die Angleichung dieser Rechtsvorschriften darf deshalb nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes fuehren, sondern muss im Gegenteil darauf abzielen, in der Gemeinschaft ein hohes Schutzniveau sicherzustellen.
(11) Die in dieser Richtlinie enthaltenen Grundsaetze zum Schutz der Rechte und Freiheiten der Personen, insbesondere der Achtung der Privatsphaere, konkretisieren und erweitern die in dem UEbereinkommen des Europarats vom 28. Januar 1981 zum Schutze der Personen bei der automatischen Verarbeitung personenbezogener Daten enthaltenen Grundsaetze.
(12) Die Schutzprinzipien muessen fuer alle Verarbeitungen personenbezogener Daten gelten, sobald die Taetigkeiten des fuer die Verarbeitung Verantwortlichen in den Anwendungsbereich des Gemeinschaftsrechts fallen. Auszunehmen ist die Datenverarbeitung, die von einer natuerlichen Person in Ausuebung ausschliesslich persoenlicher oder familiaerer Taetigkeiten - wie zum Beispiel Schriftverkehr oder Fuehrung von Anschriftenverzeichnissen - vorgenommen wird
(13) Die in den Titeln V und VI des Vertrags ueber die Europaeische Union genannten Taetigkeiten, die die oeffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates oder die Taetigkeiten des Staates im Bereich des Strafrechts betreffen, fallen unbeschadet der Verpflichtungen der Mitgliedstaaten gemaess Artikel 56 Absatz 2 sowie gemaess den Artikeln 57 und 100a des Vertrags zur Gruendung der Europaeischen Gemeinschaft nicht in den Anwendungsbereich des Gemeinschaftsrechts. Die Verarbeitung personenbezogener Daten, die zum Schutz des wirtschaftlichen Wohls des Staates erforderlich ist, faellt nicht unter diese Richtlinie, wenn sie mit Fragen der Sicherheit des Staates zusammenhaengt.
(14) In Anbetracht der Bedeutung der gegenwaertigen Entwicklung im Zusammenhang mit der Informationsgesellschaft bezueglich Techniken der Erfassung, UEbermittlung, Veraenderung, Speicherung, Aufbewahrung oder Weitergabe von personenbezogenen Ton- und Bilddaten muss diese Richtlinie auch auf die Verarbeitung dieser Daten Anwendung finden.
(15) Die Verarbeitung solcher Daten wird von dieser Richtlinie nur erfasst, wenn sie automatisiert erfolgt oder wenn die Daten, auf die sich die Verarbeitung bezieht, in Dateien enthalten oder fuer solche bestimmt sind, die nach bestimmten personenbezogenen Kriterien strukturiert sind, um einen leichten Zugriff auf die Daten zu ermoeglichen.
(16) Die Verarbeitung von Ton- und Bilddaten, wie bei der Videoueberwachung, faellt nicht unter diese Richtlinie, wenn sie fuer Zwecke der oeffentlichen Sicherheit, der Landesverteidigung, der Sicherheit des Staates oder der Taetigkeiten des Staates im Bereich des Strafrechts oder anderen Taetigkeiten erfolgt, die nicht unter das Gemeinschaftsrecht fallen.
(17) Bezueglich der Verarbeitung von Ton- und Bilddaten fuer journalistische, literarische oder kuenstlerische Zwecke, insbesondere im audiovisuellen Bereich, finden die Grundsaetze dieser Richtlinie gemaess Artikel 9 eingeschraenkt Anwendung.
(18) Um zu vermeiden, dass einer Person der gemaess dieser Richtlinie gewaehrleistete Schutz vorenthalten wird, muessen auf jede in der Gemeinschaft erfolgte Verarbeitung personenbezogener Daten die Rechtsvorschriften eines Mitgliedstaats angewandt werden. Es ist angebracht, auf die Verarbeitung, die von einer Person, die dem in dem Mitgliedstaat niedergelassenen fuer die Verarbeitung Verantwortlichen unterstellt ist, vorgenommen werden, die Rechtsvorschriften dieses Staates anzuwenden.
(19) Eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats setzt die effektive und tatsaechliche Ausuebung einer Taetigkeit mittels einer festen Einrichtung voraus. Die Rechtsform einer solchen Niederlassung, die eine Agentur oder eine Zweigstelle sein kann, ist in dieser Hinsicht nicht massgeblich. Wenn der Verantwortliche im Hoheitsgebiet mehrerer Mitgliedstaaten niedergelassen ist, insbesondere mit einer Filiale, muss er vor allem zu Vermeidung von Umgehungen sicherstellen, dass jede dieser Niederlassungen die Verpflichtungen einhaelt, die im jeweiligen einzelstaatlichen Recht vorgesehen sind, das auf ihre jeweiligen Taetigkeiten anwendbar ist.
(20) Die Niederlassung des fuer die Verarbeitung Verantwortlichen in einem Drittland darf dem Schutz der Personen gemaess dieser Richtlinie nicht entgegenstehen. In diesem Fall sind die Verarbeitungen dem Recht des Mitgliedstaats zu unterwerfen, in dem sich die fuer die betreffenden Verarbeitungen verwendeten Mittel befinden, und Vorkehrungen zu treffen, um sicherzustellen, dass die in dieser Richtlinie vorgesehenen Richte und Pflichten tatsaechlich eingehalten werden.
(21) Diese Richtlinie beruehrt nicht die im Strafrecht geltenden Territorialitaetsregeln.
(22) Die Mitgliedstaaten koennen in ihren Rechtsvorschriften oder bei der Durchfuehrung der Vorschriften zur Umsetzung dieser Richtlinie die allgemeinen Bedingungen praezisieren, unter denen die Verarbeitungen rechtmaessig sind. Insbesondere nach Artikel 5 in Verbindung mit den Artikeln 7 und 8 koennen die Mitgliedstaaten neben den allgemeinen Regeln besondere Bedingungen fuer die Datenverarbeitung in spezifischen Bereichen und fuer die verschiedenen Datenkategorien gemaess Artikel 8 vorsehen.
(23) Die Mitgliedstaaten koennen den Schutz von Personen sowohl durch ein allgemeines Gesetz zum Schutz von Personen bei der Verarbeitung personenbezogener Daten als auch durch gesetzliche Regelungen fuer bestimmte Bereiche, wie zum Beispiel die statistischen AEmter, sicherstellen.
(24) Diese Richtlinie beruehrt nicht die Rechtsvorschriften zum Schutz juristischer Personen bei der Verarbeitung von Daten, die sich auf sie beziehen.
(25) Die Schutzprinzipien finden zum einen ihren Niederschlag in den Pflichten, die den Personen, Behoerden, Unternehmen, Geschaeftsstellen oder anderen fuer die Verarbeitung verantwortlichen Stellen obliegen; diese Pflichten betreffen insbesondere die Datenqualitaet, die technische Sicherheit, die Meldung bei der Kontrollstelle und die Voraussetzungen, unter denen eine Verarbeitung vorgenommen werden kann. Zum anderen kommen sie zum Ausdruck in den Rechten der Personen, deren Daten Gegenstand von Verarbeitungen sind, ueber diese informiert zu werden, Zugang zu den Daten zu erhalten, ihre Berichtigung verlangen bzw. unter gewissen Voraussetzungen Widerspruch gegen die Verarbeitung einlegen zu koennen.
(26) Die Schutzprinzipien muessen fuer alle Informationen ueber eine bestimmte oder bestimmbare Person gelten. Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel beruecksichtigt werden, die vernuenftigerweise entweder von dem Verantwortlichen fuer die Verarbeitung oder von einem Dritten eingesetzt werden koennten, um die betreffende Person zu bestimmen. Die Schutzprinzipien finden keine Anwendung auf Daten, die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist. Die Verhaltensregeln im Sinne des Artikels 27 koennen ein nuetzliches Instrument sein, mit dem angegeben wird, wie sich die Daten in einer Form anonymisieren und aufbewahren lassen, die die Identifizierung der betroffenen Person unmoeglich macht.
(27) Datenschutz muss sowohl fuer automatisierte als auch fuer nicht automatisierte Verarbeitungen gelten. In der Tat darf der Schutz nicht von den verwendeten Techniken abhaengen, da andernfalls ernsthafte Risiken der Umgehung entstehen wuerden. Bei manuellen Verarbeitungen erfasst diese Richtlinie lediglich Dateien, nicht jedoch unstrukturierte Akten. Insbesondere muss der Inhalt einer Datei nach bestimmten personenbezogenen Kriterien strukturiert sein, die einen leichten Zugriff auf die Daten ermoeglichen. Nach der Definition in Artikel 2 Buchstabe c) koennen die Mitgliedstaaten die Kriterien zur Bestimmung der Elemente einer strukturierten Sammlung personenbezogener Daten sowie die verschiedenen Kriterien zur Regelung des Zugriffs zu einer solchen Sammlung festlegen. Akten und Aktensammlungen sowie ihre Deckblaetter, die nicht nach bestimmten Kriterien strukturiert sind, fallen unter keinen Umstaenden in den Anwendungsbereich dieser Richtlinie.
(28) Die Verarbeitung personenbezogener Daten muss gegenueber den betroffenen Personen nach Treu und Glauben erfolgen. Sie hat den angestrebten Zweck zu entsprechen, dafuer erheblich zu sein und nicht darueber hinauszugehen. Die Zwecke muessen eindeutig und rechtmaessig sein und bei der Datenerhebung festgelegt werden. Die Zweckbestimmungen der Weiterverarbeitung nach der Erhebung duerfen nicht mit den urspruenglich festgelegten Zwecken unvereinbar sein.
(29) Die Weiterverarbeitung personenbezogener Daten fuer historische, statistische oder wissenschaftliche Zwecke ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, wenn der Mitgliedstaat geeignete Garantien vorsieht. Diese Garantien muessen insbesondere ausschliessen, dass die Daten fuer Massnahmen oder Entscheidungen gegenueber einzelnen Betroffenen verwendet werden.
(30) Die Verarbeitung personenbezogener Daten ist nur dann rechtmaessig, wenn sie auf der Einwilligung der betroffenen Person beruht oder notwendig ist im Hinblick auf den Abschluss oder die Erfuellung eines fuer die betroffene Person bindenden Vertrags, zur Erfuellung einer gesetzlichen Verpflichtung, zur Wahrnehmung einer Aufgabe im oeffentlichen Interesse, in Ausuebung hoheitlicher Gewalt oder wenn sie im Interesse einer anderen Person erforderlich ist, vorausgesetzt, dass die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht ueberwiegen. Um den Ausgleich der in Frage stehenden Interessen unter Gewaehrleistung eines effektiven Wettbewerbs sicherzustellen, koennen die Mitgliedstaaten insbesondere die Bedingungen naeher bestimmen, unter denen personenbezogene Daten bei rechtmaessigen Taetigkeiten im Rahmen laufender Geschaefte von Unternehmen und anderen Einrichtungen an Dritte weitergegeben werden koennen. Ebenso koennen sie die Bedingungen festlegen, unter denen personenbezogene Daten an Dritte zum Zweck der kommerziellen Werbung oder der Werbung von Wohltaetigkeitsverbaenden oder anderen Vereinigungen oder Stiftungen, z. B. mit politischer Ausrichtung, weitergegeben werden koennen, und zwar unter Beruecksichtigung der Bestimmungen dieser Richtlinie, nach denen betroffene Personen ohne Angabe von Gruenden und ohne Kosten Widerspruch gegen die Verarbeitung von Daten, die sie betreffen, erheben koennen.
(31) Die Verarbeitung personenbezogener Daten ist ebenfalls als rechtmaessig anzusehen, wenn sie erfolgt, um ein fuer das Leben der betroffenen Person wesentliches Interesse zu schuetzen.
(32) Es ist nach einzelstaatlichem Recht festzulegen, ob es sich bei dem fuer die Verarbeitung Verantwortlichen, der mit der Wahrnehmung einer Aufgabe betraut wurde, die im oeffentlichen Interesse liegt oder in Ausuebung hoheitlicher Gewalt erfolgt, um eine Behoerde oder um eine andere unter das oeffentliche Recht oder das Privatrecht fallende Person, wie beispielsweise eine Berufsvereinigung, handeln soll.
(33) Daten, die aufgrund ihrer Art geeignet sind, die Grundfreiheiten oder die Privatsphaere zu beeintraechtigen, duerfen nicht ohne ausdrueckliche Einwilligung der betroffenen Person verarbeitet werden. Ausnahmen von diesem Verbot muessen ausdruecklich vorgesehen werden bei spezifischen Notwendigkeiten, insbesondere wenn die Verarbeitung dieser Daten fuer gewisse auf das Gesundheitswesen bezogene Zwecke von Personen vorgenommen wird, die nach dem einzelstaatlichen Recht dem Berufsgeheimnis unterliegen, oder wenn die Verarbeitung fuer berechtigte Taetigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, deren Ziel es ist, die Ausuebung von Grundfreiheiten zu ermoeglichen.
(34) Die Mitgliedstaaten koennen, wenn dies durch ein wichtiges oeffentliches Interesse gerechtfertigt ist, Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien vorsehen in Bereichen wie dem oeffentlichen Gesundheitswesen und der sozialen Sicherheit - insbesondere hinsichtlich der Sicherung von Qualitaet und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen -, der wissenschaftlichen Forschung und der oeffentlichen Statistik. Die Mitgliedstaaten muessen jedoch geeignete besondere Garantien zum Schutz der Grundrechte und der Privatsphaere von Personen vorsehen.
(35) Die Verarbeitung personenbezogener Daten durch staatliche Stellen fuer verfassungsrechtlich oder im Voelkerrecht niedergelegte Zwecke von staatlich anerkannten Religionsgesellschaften erfolgt ebenfalls im Hinblick auf ein wichtiges oeffentliches Interesse.
(36) Wenn es in bestimmten Mitgliedstaaten zum Funktionieren des demokratischen Systems gehoert, dass die politischen Parteien im Zusammenhang mit Wahlen Daten ueber die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gruenden eines wichtigen oeffentlichen Interesses zugelassen werden, sofern angemessene Garantien vorgesehen werden.
(37) Fuer die Verarbeitung personenbezogener Daten zu journalistischen, literarischen oder kuenstlerischen Zwecken, insbesondere im audiovisuellen Bereich, sind Ausnahmen von bestimmten Vorschriften dieser Richtlinie vorzusehen, soweit sie erforderlich sind, um die Grundrechte der Person mit der Freiheit der Meinungsaeusserung und insbesondere der Freiheit, Informationen zu erhalten oder weiterzugeben, die insbesondere in Artikel 10 der Europaeischen Konvention zum Schutze der Menschenrechte und der Grundfreiheiten garantiert ist, in Einklang zu bringen. Es obliegt deshalb den Mitgliedstaaten, unter Abwaegung der Grundrechte Ausnahmen und Einschraenkungen festzulegen, die bei den allgemeinen Massnahmen zur Rechtmaessigkeit der Verarbeitung von Daten, bei den Massnahmen zur UEbermittlung der Daten in Drittlaender sowie hinsichtlich der Zustaendigkeiten der Kontrollstellen erforderlich sind, ohne dass jedoch Ausnahmen bei den Massnahmen zur Gewaehrleistung der Sicherheit der Verarbeitung vorzusehen sind. Ferner sollte mindestens die in diesem Bereich zustaendige Kontrollstelle bestimmte nachtraegliche Zustaendigkeiten erhalten, beispielsweise zur regelmaessigen Veroeffentlichung eines Berichts oder zur Befassung der Justizbehoerden.
(38) Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemaess und umfassend ueber die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.
(39) Bestimmte Verarbeitungen betreffen Daten, die der Verantwortliche nicht unmittelbar bei der betroffenen Person erhoben hat. Des weiteren koennen Daten rechtmaessig an Dritte weitergegeben werden, auch wenn die Weitergabe bei der Erhebung der Daten bei der betroffenen Person nicht vorgesehen war. In diesen Faellen muss die betroffene Person zum Zeitpunkt der Speicherung der Daten oder spaetestens bei der erstmaligen Weitergabe der Daten an Dritte unterrichtet werden.
(40) Diese Verpflichtung eruebrigt sich jedoch, wenn die betroffene Person bereits unterrichtet ist. Sie besteht auch nicht, wenn die Speicherung oder Weitergabe durch Gesetz ausdruecklich vorgesehen ist oder wenn die Unterrichtung der betroffenen Person unmoeglich ist oder unverhaeltnismaessigen Aufwand erfordert, was bei Verarbeitungen fuer historische, statistische oder wissenschaftliche Zwecke der Fall sein kann. Diesbezueglich koennen die Zahl der betroffenen Personen, das Alter der Daten und etwaige Ausgleichsmassnahmen in Betracht gezogen werden.
(41) Jede Person muss ein Auskunftsrecht hinsichtlich der sie betreffenden Daten, die Gegenstand einer Verarbeitung sind, haben, damit sie sich insbesondere von der Richtigkeit dieser Daten und der Zulaessigkeit ihrer Verarbeitung ueberzeugen kann. Aus denselben Gruenden muss jede Person ausserdem das Recht auf Auskunft ueber den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne des Artikels 15 Absatz 1, besitzen. Dieses Recht darf weder das Geschaeftsgeheimnis noch das Recht an geistigem Eigentum, insbesondere das Urheberrecht zum Schutz von Software, beruehren. Dies darf allerdings nicht dazu fuehren, dass der betroffenen Person jegliche Auskunft verweigert wird.
(42) Die Mitgliedstaaten koennen die Auskunfts- und Informationsrechte im Interesse der betroffenen Person oder zum Schutz der Rechte und Freiheiten Dritter einschraenken. Zum Beispiel koennen sie vorsehen, dass Auskunft ueber medizinische Daten nur ueber aerztliches Personal erhalten werden kann.
(43) Die Mitgliedstaaten koennen Beschraenkungen des Auskunfts- und Informationsrechts sowie bestimmter Pflichten des fuer die Verarbeitung Verantwortlichen vorsehen, soweit dies beispielsweise fuer die Sicherheit des Staates, die Landesverteidigung, die oeffentliche Sicherheit, fuer zwingende wirtschaftliche oder finanzielle Interessen eines Mitgliedstaats oder der Union oder fuer die Ermittlung und Verfolgung von Straftaten oder von Verstoessen gegen Standesregeln bei reglementierten Berufen erforderlich ist. Als Ausnahmen und Beschraenkungen sind Kontroll-, UEberwachungs- und Ordnungsfunktionen zu nennen, die in den drei letztgenannten Bereichen in bezug auf oeffentliche Sicherheit, wirtschaftliches oder finanzielles Interesse und Strafverfolgung erforderlich sind. Die Erwaehnung der Aufgaben in diesen drei Bereichen laesst die Zulaessigkeit von Ausnahmen und Einschraenkungen aus Gruenden der Sicherheit des Staates und der Landesverteidigung unberuehrt.
(44) Die Mitgliedstaaten koennen aufgrund gemeinschaftlicher Vorschriften gehalten sein, von den das Auskunftsrecht, die Information der Personen und die Qualitaet der Daten betreffenden Bestimmungen dieser Richtlinie abzuweichen, um bestimmte der obengenannten Zweckbestimmungen zu schuetzen.
(45) Auch wenn die Daten Gegenstand einer rechtmaessigen Verarbeitung aufgrund eines oeffentlichen Interesses, der Ausuebung hoheitlicher Gewalt oder der Interessen eines einzelnen sein koennen, sollte doch jede betroffene Person das Recht besitzen, aus ueberwiegenden, schutzwuerdigen, sich aus ihrer besonderen Situation ergebenden Gruenden Widerspruch dagegen einzulegen, dass die sie betreffenden Daten verarbeitet werden. Die Mitgliedstaaten koennen allerdings innerstaatliche Bestimmungen vorsehen, die dem entgegenstehen.
(46) Fuer den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten muessen geeignete technische und organisatorische Massnahmen getroffen werden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewaehrleisten und somit jede unrechtmaessige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafuer Sorge zu tragen, dass der fuer die Verarbeitung Verantwortliche diese Massnahmen einhaelt. Diese Massnahmen muessen unter Beruecksichtigung des Standes der Technik und der bei ihrer Durchfuehrung entstehenden Kosten ein Schutzniveau gewaehrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schuetzenden Daten angemessen ist.
(47) Wird eine Nachricht, die personenbezogene Daten enthaelt, ueber Telekommunikationsdienste oder durch elektronische Post uebermittelt, deren einziger Zweck darin besteht, Nachrichten dieser Art zu uebermitteln, so gilt in der Regel die Person, von der die Nachricht stammt, und nicht die Person, die den UEbermittlungsdienst anbietet, als Verantwortlicher fuer die Verarbeitung der in der Nachricht enthaltenen personenbezogenen Daten. Jedoch gelten die Personen, die diese Dienste anbieten, in der Regel als Verantwortliche fuer die Verarbeitung der personenbezogenen Daten, die zusaetzlich fuer den Betrieb des Dienstes erforderlich sind.
(48) Die Meldeverfahren dienen der Offenlegung der Zweckbestimmungen der Verarbeitungen sowie ihrer wichtigsten Merkmale mit dem Zweck der UEberpruefung ihrer Vereinbarkeit mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
(49) Um unangemessene Verwaltungsformalitaeten zu vermeiden, koennen die Mitgliedstaaten bei Verarbeitungen, bei denen eine Beeintraechtigung der Rechte und Freiheiten der Betroffenen nicht zu erwarten ist, von der Meldepflicht absehen oder sie vereinfachen, vorausgesetzt, dass diese Verarbeitungen den Bestimmungen entsprechen, mit denen der Mitgliedstaat die Grenzen solcher Verarbeitungen festgelegt hat. Eine Befreiung oder eine Vereinfachung kann ebenso vorgesehen werden, wenn ein vom fuer die Verarbeitung Verantwortlichen benannter Datenschutzbeauftragter sicherstellt, dass eine Beeintraechtigung der Rechte und Freiheiten der Betroffenen durch die Verarbeitung nicht zu erwarten ist. Ein solcher Beauftragter, ob Angestellter des fuer die Verarbeitung Verantwortlichen oder externer Beauftragter, muss seine Aufgaben in vollstaendiger Unabhaengigkeit ausueben koennen.
(50) Die Befreiung oder Vereinfachung kann vorgesehen werden fuer Verarbeitungen, deren einziger Zweck das Fuehren eines Registers ist, das gemaess einzelstaatlichem Recht zur Information der OEffentlichkeit bestimmt ist und entweder der gesamten OEffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen koennen, zur Einsichtnahme offensteht.
(51) Die Vereinfachung oder Befreiung von der Meldepflicht entbindet jedoch den fuer die Verarbeitung Verantwortlichen von keiner der anderen sich aus dieser Richtlinie ergebenen Verpflichtungen.
(52) In diesem Zusammenhang ist die nachtraegliche Kontrolle durch die zustaendigen Stellen im allgemeinen als ausreichende Massnahme anzusehen.
(53) Bestimmte Verarbeitungen koennen jedoch aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung - wie beispielsweise derjenigen, betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschliessen - oder aufgrund der besonderen Verwendung einer neuen Technologie besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. Es obliegt den Mitgliedstaaten, derartige Risiken in ihren Rechtsvorschriften aufzufuehren, wenn sie dies wuenschen.
(54) Bei allen in der Gesellschaft durchgefuehrten Verarbeitungen sollte die Zahl der Verarbeitungen mit solchen besonderen Risiken sehr beschraenkt sein. Die Mitgliedstaaten muessen fuer diese Verarbeitungen vorsehen, dass vor ihrer Durchfuehrung eine Vorabpruefung durch die Kontrollstelle oder in Zusammenarbeit mit ihr durch den Datenschutzbeauftragten vorgenommen wird. Als Ergebnis dieser Vorabpruefung kann die Kontrollstelle gemaess einzelstaatlichem Recht eine Stellungnahme abgeben oder die Verarbeitung genehmigen. Diese Pruefung kann auch bei der Ausarbeitung einer gesetzgeberischen Massnahme des nationalen Parlaments oder einer auf eine solche gesetzgeberische Massnahme gestuetzten Massnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt.
(55) Fuer den Fall der Missachtung der Rechte der betroffenen Personen durch den fuer die Verarbeitung Verantwortlichen ist im nationalen Recht eine gerichtliche UEberpruefungsmoeglichkeit vorzusehen. Moegliche Schaeden, die den Personen aufgrund einer unzulaessigen Verarbeitung entstehen, sind von dem fuer die Verarbeitung Verantwortlichen zu ersetzen, der von seiner Haftung befreit werden kann, wenn er nachweist, dass der Schaden ihm nicht angelastet werden kann, insbesondere weil ein Fehlverhalten der betroffenen Person oder ein Fall hoeherer Gewalt vorliegt. Unabhaengig davon, ob es sich um eine Person des Privatrechts oder des oeffentlichen Rechts handelt, muessen Sanktionen jede Person treffen, die die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht einhaelt.
(56) Grenzueberschreitender Verkehr von personenbezogenen Daten ist fuer die Entwicklung des internationalen Handels notwendig. Der in der Gemeinschaft durch diese Richtlinie gewaehrte Schutz von Personen steht der UEbermittlung personenbezogener Daten in Drittlaender, die ein angemessenes Schutzniveau aufweisen, nicht entgegen. Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, ist unter Beruecksichtigung aller Umstaende im Hinblick auf eine UEbermittlung oder eine Kategorie von UEbermittlungen zu beurteilen.
(57) Bietet hingegen ein Drittland kein angemessenes Schutzniveau, so ist die UEbermittlung personenbezogener Daten in dieses Land zu untersagen.
(58) Ausnahmen von diesem Verbot sind unter bestimmten Voraussetzungen vorzusehen, wenn die betroffene Person ihre Einwilligung erteilt hat oder die UEbermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines wichtigen oeffentlichen Interesses erforderlich ist, wie zum Beispiel bei internationalem Datenaustausch zwischen Steuer- oder Zollverwaltungen oder zwischen Diensten, die fuer Angelegenheiten der sozialen Sicherheit zustaendig sind. Ebenso kann eine UEbermittlung aus einem gesetzlich vorgesehenen Register erfolgen, das der oeffentlichen Einsichtnahme oder der Einsichtnahme durch Personen mit berechtigtem Interesse dient. In diesem Fall sollte eine solche UEbermittlung nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten umfassen. Ist ein Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, so sollte die UEbermittlung nur auf Antrag dieser Person oder nur dann erfolgen, wenn diese Person die Adressaten der UEbermittlung sind.
(59) Besondere Massnahmen koennen getroffen werden, um das unzureichende Schutzniveau in einem Drittland auszugleichen, wenn der fuer die Verarbeitung Verantwortliche geeignete Sicherheiten nachweist. Ausserdem sind Verfahren fuer die Verhandlungen zwischen der Gemeinschaft und den betreffenden Drittlaendern vorzusehen.
(60) UEbermittlungen in Drittstaaten duerfen auf jeden Fall nur unter voller Einhaltung der Rechtsvorschriften erfolgen, die die Mitgliedstaaten gemaess dieser Richtlinie, insbesondere gemaess Artikel 8, erlassen haben.
(61) Die Mitgliedstaaten und die Kommission muessen in ihren jeweiligen Zustaendigkeitsbereichen die betroffenen Wirtschaftskreise ermutigen, Verhaltensregeln auszuarbeiten, um unter Beruecksichtigung der Besonderheiten der Verarbeitung in bestimmten Bereichen die Durchfuehrung dieser Richtlinie im Einklang mit den hierfuer vorgesehenen einzelstaatlichen Bestimmungen zu foerdern.
(62) Die Einrichtung unabhaengiger Kontrollstellen in den Mitgliedstaaten ist ein wesentliches Element des Schutzes der Personen bei der Verarbeitung personenbezogener Daten.
(63) Diese Stellen sind mit den notwendigen Mitteln fuer die Erfuellung dieser Aufgabe auszustatten, d. h. Untersuchungs- und Einwirkungsbefugnissen, insbesondere bei Beschwerden, sowie Klagerecht. Die Kontrollstellen haben zur Transparenz der Verarbeitungen in dem Mitgliedstaat beizutragen, dem sie unterstehen.
(64) Die Behoerden der verschiedenen Mitgliedstaaten werden einander bei der Wahrnehmung ihrer Aufgaben unterstuetzen muessen, um sicherzustellen, dass die Schutzregeln in der ganzen Europaeischen Union beachtet werden.
(65) Auf Gemeinschaftsebene ist eine Arbeitsgruppe fuer den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten einzusetzen, die ihre Aufgaben in voelliger Unabhaengigkeit wahrzunehmen hat. Unter Beruecksichtigung dieses besonderen Charakters hat sie die Kommission zu beraten und insbesondere zur einheitlichen Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften beizutragen.
(66) Fuer die UEbermittlung von Daten in Drittlaendern ist es zur Anwendung dieser Richtlinie erforderlich, der Kommission Durchfuehrungsbefugnisse zu uebertragen und ein Verfahren gemaess den Bestimmungen des Beschlusses 87/373/EWG des Rates (1) festzulegen.
(67) Am 20. Dezember 1994 wurde zwischen dem Europaeischen Parlament, dem Rat und der Kommission ein Modus vivendi betreffend die Massnahmen zur Durchfuehrung der nach dem Verfahren des Artikels 189b des EG-Vertrag erlassenen Rechtsakte vereinbart.
(68) Die in dieser Richtlinie enthaltenen Grundsaetze des Schutzes der Rechte und Freiheiten der Personen und insbesondere der Achtung der Privatsphaere bei der Verarbeitung personenbezogener Daten koennen - besonders fuer bestimmte Bereiche - durch spezifische Regeln ergaenzt oder praezisiert werden, die mit diesen Grundsaetzen in Einklang stehen.
(69) Den Mitgliedstaaten sollte eine Frist von laengstens drei Jahren ab Inkrafttreten ihrer Vorschriften zur Umsetzung dieser Richtlinie eingeraeumt werden, damit sie die neuen einzelstaatlichen Vorschriften fortschreitend auf alle bereits laufenden Verarbeitungen anwenden koennen. Um eine kosteneffiziente Durchfuehrung dieser Vorschriften zu erleichtern, wird den Mitgliedstaaten eine weitere Frist von zwoelf Jahren nach Annahme dieser Richtlinie eingeraeumt, um die Anpassung bestehender manueller Dateien an bestimmte Vorschriften dieser Richtlinie sicherzustellen. Werden in solchen Dateien enthaltene Daten waehrend dieser erweiterten Umsetzungsfrist manuell verarbeitet, so sollten die Dateien zum Zeitpunkt der Verarbeitung mit diesen Vorschriften in Einklang gebracht werden.
(70) Die betroffene Person braucht nicht erneut ihre Einwilligung zu geben, damit der Verantwortliche nach Inkrafttreten der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie eine Verarbeitung sensibler Daten fortfuehren kann, die fuer die Erfuellung eines in freier Willenserklaerung geschlossenen Vertrags erforderlich ist und vor Inkrafttreten der genannten Vorschriften mitgeteilt wurde.
(71) Diese Richtlinie steht den gesetzlichen Regelungen eines Mitgliedstaats im Bereich der geschaeftsmaessigen Werbung gegenueber in seinem Hoheitsgebiet ansaessigen Verbrauchern nicht entgegen, sofern sich diese gesetzlichen Regelungen nicht auf den Schutz der Person bei der Verarbeitung personenbezogener Daten beziehen.
(72) Diese Richtlinie erlaubt bei der Umsetzung der mit ihr festgelegten Grundsaetze die Beruecksichtigung des Grundsatzes des oeffentlichen Zugangs zu amtlichen Dokumenten -
HABEN FOLGENDE RICHTLINIE ERLASSEN:


KAPITEL I ALLGEMEINE BESTIMMUNGEN

Artikel 1
Gegenstand der Richtlinie
(1) Die Mitgliedstaaten gewaehrleisten nach den Bestimmungen dieser Richtlinie den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphaere natuerlicher Personen bei der Verarbeitung personenbezogener Daten.
(2) Die Mitgliedstaaten beschraenken oder untersagen nicht den freien Verkehr personenbezogener Daten zwischen Mitgliedstaaten aus Gruenden des gemaess Absatz 1 gewaehrleisteten Schutzes.

Zurück zur Hauptseite

Artikel 2
Begriffsbestimmungen
Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) "personenbezogene Daten" alle Informationen ueber eine bestimmte oder bestimmbare natuerliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitaet sind;
b) "Verarbeitung personenbezogener Daten" ("Verarbeitung") jeden mit oder ohne Hilfe automatisierter Verfahren ausgefuehrten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veraenderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch UEbermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknuepfung sowie das Sperren, Loeschen oder Vernichten;
c) "Datei mit personenbezogenen Daten" ("Datei") jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugaenglich sind, gleichgueltig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geographischen Gesichtspunkten aufgeteilt gefuehrt wird;
d) "fuer die Verarbeitung Verantwortlicher" die natuerliche oder juristische Person, Behoerde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen ueber die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so koennen der fuer die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien fuer seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;
e) "Auftragsverarbeiter" die natuerliche oder juristische Person, Behoerde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des fuer die Verarbeitung Verantwortlichen verarbeitet;
f) "Dritter" die natuerliche oder juristische Person, Behoerde, Einrichtung oder jede andere Stelle, ausser der betroffenen Person, dem fuer die Verarbeitung Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des fuer die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters befugt sind, die Daten zu verarbeiten;
g) "Empfaenger" die natuerliche oder juristische Person, Behoerde, Einrichtung oder jede andere Stelle, die Daten erhaelt, gleichgueltig, ob es sich bei ihr um einen Dritten handelt oder nicht. Behoerden, die im Rahmen eines einzelnen Untersuchungsauftrags moeglicherweise Daten erhalten, gelten jedoch nicht als Empfaenger;
h) "Einwilligung der betroffenen Person" jede Willensbekundung, die ohne Zwang, fuer den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.

Artikel 3
Anwendungsbereich
(1) Diese Richtlinie gilt fuer die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie fuer die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.
(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,
- die fuer die Ausuebung von Taetigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Taetigkeiten gemaess den Titeln V und VI des Vertrags ueber die Europaeische Union, und auf keinen Fall auf Verarbeitungen betreffend die oeffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschliesslich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates beruehrt) und die Taetigkeiten des Staates im strafrechtlichen Bereich;
- die von einer natuerlichen Person zur Ausuebung ausschliesslich persoenlicher oder familiaerer Taetigkeiten vorgenommen wird.

Artikel 4
Anwendbares einzelstaatliches Recht
(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlaesst, auf alle Verarbeitungen personenbezogener Daten an,
a) die im Rahmen der Taetigkeiten einer Niederlassung ausgefuehrt werden, die der fuer die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Massnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhaelt;
b) die von einem fuer die Verarbeitung Verantwortlichen ausgefuehrt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemaess dem internationalen oeffentlichen Recht Anwendung findet;
c) die von einem fuer die Verarbeitung Verantwortlichen ausgefuehrt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurueckgreift, die im Hoheitsgebiet des betreffenden Mitgliedstaats belegen sind, es sei denn, dass diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europaeischen Gemeinschaft verwendet werden.
(2) In dem in Absatz 1 Buchstabe c) genannten Fall hat der fuer die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedstaats ansaessigen Vertreter zu benennen, unbeschadet der Moeglichkeit eines Vorgehens gegen den fuer die Verarbeitung Verantwortlichen selbst.

KAPITEL II ALLGEMEINE BEDINGUNGEN FUER DIE RECHTMAESSIGKEIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

Artikel 5
Die Mitgliedstaaten bestimmen nach Massgabe dieses Kapitels die Voraussetzungen naeher, unter denen die Verarbeitung personenbezogener Daten rechtmaessig ist.
ABSCHNITT I
GRUNDSAETZE IN BEZUG AUF DIE QUALITAET DER DATEN

Artikel 6
(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten
a) nach Treu und Glauben und auf rechtmaessige Weise verarbeitet werden;
b) fuer festgelegte eindeutige und rechtmaessige Zwecke erhoben und nicht in einer mit diesen Zweckbestimmungen nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;
c) den Zwecken entsprechen, fuer die sie erhoben und/oder weiterverarbeitet werden, dafuer erheblich sind und nicht darueber hinausgehen;
d) sachlich richtig und, wenn noetig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Massnahmen zu treffen, damit im Hinblick auf die Zwecke, fuer die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollstaendige Daten geloescht oder berichtigt werden;
e) nicht laenger, als es fuer die Realisierung der Zwecke, fuer die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermoeglicht. Die Mitgliedstaaten sehen geeignete Garantien fuer personenbezogene Daten vor, die ueber die vorgenannte Dauer hinaus fuer historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden.
(2) Der fuer die Verarbeitung Verantwortliche hat fuer die Einhaltung des Absatzes 1 zu sorgen.
ABSCHNITT II
GRUNDSAETZE IN BEZUG AUF DIE ZULAESSIGKEIT DER VERARBEITUNG VON DATEN

Artikel 7
Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfuellt ist:
a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;
b) die Verarbeitung ist erforderlich fuer die Erfuellung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder fuer die Durchfuehrung vorvertraglicher Massnahmen, die auf Antrag der betroffenen Person erfolgen;
c) die Verarbeitung ist fuer die Erfuellung einer rechtlichen Verpflichtung erforderlich, der der fuer die Verarbeitung Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich fuer die Wahrung lebenswichtiger Interessen der betroffenen Person;
e) die Verarbeitung ist erforderlich fuer die Wahrnehmung einer Aufgabe, die im oeffentlichen Interesse liegt oder in Ausuebung oeffentlicher Gewalt erfolgt und dem fuer die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten uebermittelt werden, uebertragen wurde;
f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem fuer die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten uebermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemaess Artikel 1 Absatz 1 geschuetzt sind, ueberwiesen.
ABSCHNITT III
BESONDERE KATEGORIEN DER VERARBEITUNG

Artikel 8
Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religioese oder philosophische UEberzeugungen oder die Gewerkschaftszugehoerigkeit hervorgehen, sowie von Daten ueber Gesundheit oder Sexualleben.
(2) Absatz 1 findet in folgenden Faellen keine Anwendung:
a) Die betroffene Person hat ausdruecklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
oder
b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des fuer die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulaessig ist;
oderc) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gruenden ausserstande ist, ihre Einwilligung zu geben;
oder
d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religioes oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmaessigen Taetigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Taetigkeitszweck regelmaessige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden;
oder
e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig oeffentlich gemacht hat, oder ist zur Geltendmachung, Ausuebung oder Verteidigung rechtlicher Ansprueche vor Gericht erforderlich.
(3) Absatz 1 gilt nicht, wenn die Verarbeitung der Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder fuer die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch aerztliches Personal erfolgt, das nach dem einzelstaatlichen Recht, einschliesslich der von den zustaendigen einzelstaatlichen Stellen erlassenen Regelungen, dem Berufsgeheimnis unterliegt, oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen.
(4) Die Mitgliedstaaten koennen vorbehaltlich angemessener Garantien aus Gruenden eines wichtigen oeffentlichen Interesses entweder im Wege einer nationalen Rechtsvorschrift oder im Wege einer Entscheidung der Kontrollstelle andere als die in Absatz 2 genannten Ausnahmen vorsehen.
(5) Die Verarbeitung von Daten, die Straftaten, strafrechtliche Verurteilungen oder Sicherungsmassregeln betreffen, darf nur unter behoerdlicher Aufsicht oder aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, erfolgen, wobei ein Mitgliedstaat jedoch Ausnahmen aufgrund innerstaatlicher Rechtsvorschriften, die geeignete besondere Garantien vorsehen, festlegen kann. Ein vollstaendiges Register der strafrechtlichen Verurteilungen darf allerdings nur unter behoerdlicher Aufsicht gefuehrt werden.
Die Mitgliedstaaten koennen vorsehen, dass Daten, die administrative Strafen oder zivilrechtliche Urteile betreffen, ebenfalls unter behoerdlicher Aufsicht verarbeitet werden muessen.
(6) Die in den Absaetzen 4 und 5 vorgesehenen Abweichungen von Absatz 1 sind der Kommission mitzuteilen.
(7) Die Mitgliedstaaten bestimmen, unter welchen Bedingungen eine nationale Kennziffer oder andere Kennzeichen allgemeiner Bedeutung Gegenstand einer Verarbeitung sein duerfen.

Artikel 9
Verarbeitung personenbezogener Daten und Meinungsfreiheit
Die Mitgliedstaaten sehen fuer die Verarbeitung personenbezogener Daten, die allein zu journalistischen, kuenstlerischen oder literarischen Zwecken erfolgt, Abweichungen und Ausnahmen von diesem Kapitel sowie von den Kapiteln IV und VI nur insofern vor, als sich dies als notwendig erweist, um das Recht auf Privatsphaere mit den fuer die Freiheit der Meinungsaeusserung geltenden Vorschriften in Einklang zu bringen.
ABSCHNITT IV
INFORMATION DER BETROFFENEN PERSON

Artikel 10
Information bei der Erhebung personenbezogener Daten bei der betroffenen Person
Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom fuer die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhaelt, sofern diese ihr noch nicht vorliegen:
a) Identitaet des fuer die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung, fuer die die Daten bestimmt sind,
c) weitere Informationen, beispielsweise betreffend
- die Empfaenger oder Kategorien der Empfaenger der Daten,
- die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie moegliche Folgen einer unterlassenen Beantwortung,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezueglich sie betreffender Daten,
sofern sie unter Beruecksichtigung der spezifischen Umstaende, unter denen die Daten erhoben werden, notwendig sind, um gegenueber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewaehrleisten.

Artikel 11
Informationen fuer den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden
(1) Fuer den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, dass die betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spaetestens bei der ersten UEbermittlung vom fuer die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhaelt, sofern diese ihr noch nicht vorliegen:
a) Identitaet des fuer die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,
b) Zweckbestimmungen der Verarbeitung,
c) weitere Informationen, beispielsweise betreffend
- die Datenkategorien, die verarbeitet werden,
- die Empfaenger oder Kategorien der Empfaenger der Daten,
- das Bestehen von Auskunfts- und Berichtigungsrechten bezueglich sie betreffender Daten,
sofern sie unter Beruecksichtigung der spezifischen Umstaende, unter denen die Daten erhoben werden, notwendig sind, um gegenueber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewaehrleisten.
(2) Absatz 1 findet - insbesondere bei Verarbeitungen fuer Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung - keine Anwendung, wenn die Information der betroffenen Person unmoeglich ist, unverhaeltnismaessigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdruecklich vorgesehen ist. In diesen Faellen sehen die Mitgliedstaaten geeignete Garantien vor.
ABSCHNITT V
AUSKUNFTSRECHT DER BETROFFENEN PERSON

Artikel 12
Auskunftsrecht
Die Mitgliedstaaten garantieren jeder betroffenen Person das Recht, vom fuer die Verarbeitung Verantwortlichen folgendes zu erhalten:
a) frei und ungehindert in angemessenen Abstaenden ohne unzumutbare Verzoegerung oder uebermaessige Kosten
- die Bestaetigung, dass es Verarbeitungen sie betreffender Daten gibt oder nicht gibt, sowie zumindest Informationen ueber die Zweckbestimmungen dieser Verarbeitungen, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfaenger oder Kategorien der Empfaenger, an die die Daten uebermittelt werden;
- eine Mitteilung in verstaendlicher Form ueber die Daten, die Gegenstand der Verarbeitung sind, sowie die verfuegbaren Informationen ueber die Herkunft der Daten;
- Auskunft ueber den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten, zumindest im Fall automatisierter Entscheidungen im Sinne von Artikel 15 Absatz 1;
b) je nach Fall die Berichtigung, Loeschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen dieser Richtlinie entspricht, insbesondere wenn diese Daten unvollstaendig oder unrichtig sind;
c) die Gewaehr, dass jede Berichtigung, Loeschung oder Sperrung, die entsprechend Buchstabe b) durchgefuehrt wurde, den Dritten, denen die Daten uebermittelt wurden, mitgeteilt wird, sofern sich dies nicht als unmoeglich erweist oder kein unverhaeltnismaessiger Aufwand damit verbunden ist.
ABSCHNITT VI
AUSNAHMEN UND EINSCHRAENKUNGEN

Artikel 13
Ausnahmen und Einschraenkungen
(1) Die Mitgliedstaaten koennen Rechtsvorschriften erlassen, die die Pflichten und Rechte gemaess Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschraenken, sofern eine solche Beschraenkung notwendig ist fuer
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die oeffentliche Sicherheit;
d) die Verhuetung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstoessen gegen die berufsstaendischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europaeischen Union einschliesslich Waehrungs-, Haushalts- und Steuerangelegenheiten;
f) Kontroll-, UEberwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausuebung oeffentlicher Gewalt fuer die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.
(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, dass die Daten fuer Massnahmen oder Entscheidungen gegenueber bestimmten Personen verwendet werden, koennen die Mitgliedstaaten in Faellen, in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphaere der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschraenken, wenn die Daten ausschliesslich fuer Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht laenger als erforderlich lediglich zur Erstellung von Statistiken aufbewahrt werden.
ABSCHNITT VII
WIDERSPRUCHSRECHT DER BETROFFENEN PERSON

Artikel 14
Widerspruchsrecht der betroffenen Person
Die Mitgliedstaaten erkennen das Recht der betroffenen Person an,
a) zumindest in den Faellen von Artikel 7 Buchstaben e) und f) jederzeit aus ueberwiegenden, schutzwuerdigen, sich aus ihrer besonderen Situation ergebenden Gruenden dagegen Widerspruch einlegen zu koennen, dass sie betreffende Daten verarbeitet werden; dies gilt nicht bei einer im einzelstaatlichen Recht vorgesehenen entgegenstehenden Bestimmung. Im Fall eines berechtigten Widerspruchs kann sich die vom fuer die Verarbeitung Verantwortlichen vorgenommene Verarbeitung nicht mehr auf diese Daten beziehen;
b) auf Antrag kostenfrei gegen eine vom fuer die Verarbeitung Verantwortlichen beabsichtigte Verarbeitung sie betreffender Daten fuer Zwecke der Direktwerbung Widerspruch einzulegen oder vor der ersten Weitergabe personenbezogener Daten an Dritte oder vor deren erstmaliger Nutzung im Auftrag Dritter zu Zwecken der Direktwerbung informiert zu werden und ausdruecklich auf das Recht hingewiesen zu werden, kostenfrei gegen eine solche Weitergabe oder Nutzung Widerspruch einlegen zu koennen.
Die Mitgliedstaaten ergreifen die erforderlichen Massnahmen, um sicherzustellen, dass die betroffenen Personen vom Bestehen des unter Buchstabe b) Unterabsatz 1 vorgesehenen Rechts Kenntnis haben.

Artikel 15
Automatisierte Einzelentscheidungen
(1) Die Mitgliedstaaten raeumen jeder Person das Recht ein, keiner fuer sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeintraechtigenden Entscheidung unterworfen zu werden, die ausschliesslich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, wie beispielsweise ihrer beruflichen Leistungsfaehigkeit, ihrer Kreditwuerdigkeit, ihrer Zuverlaessigkeit oder ihres Verhaltens.
(2) Die Mitgliedstaaten sehen unbeschadet der sonstigen Bestimmungen dieser Richtlinie vor, dass eine Person einer Entscheidung nach Absatz 1 unterworfen werden kann, sofern diese
a) im Rahmen des Abschlusses oder der Erfuellung eines Vertrags ergeht und dem Ersuchen der betroffenen Person auf Abschluss oder Erfuellung des Vertrags stattgegeben wurde oder die Wahrung ihrer berechtigten Interessen durch geeignete Massnahmen - beispielsweise die Moeglichkeit, ihren Standpunkt geltend zu machen - garantiert wird oder
b) durch ein Gesetz zugelassen ist, das Garantien zur Wahrung der berechtigten Interessen der betroffenen Person festlegt.
ABSCHNITT VIII
VERTRAULICHKEIT UND SICHERHEIT DER VERARBEITUNG

Artikel 16
Vertraulichkeit der Verarbeitung
Personen, die dem fuer die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, sowie der Auftragsverarbeiter selbst duerfen personenbezogene Daten nur auf Weisung des fuer die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es bestehen gesetzliche Verpflichtungen.

Artikel 17
Sicherheit der Verarbeitung
(1) Die Mitgliedstaaten sehen vor, dass der fuer die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Massnahmen durchfuehren muss, die fuer den Schutz gegen die zufaellige oder unrechtmaessige Zerstoerung, den zufaelligen Verlust, die unberechtigte AEnderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz uebertragen werden - und gegen jede andere Form der unrechtmaessigen Verarbeitung personenbezogener Daten erforderlich sind.
Diese Massnahmen muessen unter Beruecksichtigung des Standes der Technik und der bei ihrer Durchfuehrung entstehenden Kosten ein Schutzniveau gewaehrleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schuetzenden Daten angemessen ist.
(2) Die Mitgliedstaaten sehen vor, dass der fuer die Verarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag einen Auftragsverarbeiter auszuwaehlen hat, der hinsichtlich der fuer die Verarbeitung zu treffenden technischen Sicherheitsmassnahmen und organisatorischen Vorkehrungen ausreichende Gewaehr bietet; der fuer die Verarbeitung Verantwortliche ueberzeugt sich von der Einhaltung dieser Massnahmen.
(3) Die Durchfuehrung einer Verarbeitung im Auftrag erfolgt auf der Grundlage eines Vertrags oder Rechtsakts, durch den der Auftragsverarbeiter an den fuer die Verarbeitung Verantwortlichen gebunden ist und in dem insbesondere folgendes vorgesehen ist:
- Der Auftragsverarbeiter handelt nur auf Weisung des fuer die Verarbeitung Verantwortlichen;
- die in Absatz 1 genannten Verpflichtungen gelten auch fuer den Auftragsverarbeiter, und zwar nach Massgabe der Rechtsvorschriften des Mitgliedstaats, in dem er seinen Sitz hat.
(4) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags oder Rechtsakts und die Anforderungen in bezug auf Massnahmen nach Absatz 1 schriftlich oder in einer anderen Form zu dokumentieren.
ABSCHNITT IX
MELDUNG

Artikel 18
Pflicht zur Meldung bei der Kontrollstelle
(1) Die Mitgliedstaaten sehen eine Meldung durch den fuer die Verarbeitung Verantwortlichen oder gegebenenfalls seinen Vertreter bei der in Artikel 28 genannten Kontrollstelle vor, bevor eine vollstaendig oder teilweise automatisierte Verarbeitung oder eine Mehrzahl von Verarbeitungen zur Realisierung einer oder mehrerer verbundener Zweckbestimmungen durchgefuehrt wird.
(2) Die Mitgliedstaaten koennen eine Vereinfachung der Meldung oder eine Ausnahme von der Meldepflicht nur in den folgenden Faellen und unter folgenden Bedingungen vorsehen:
- Sie legen fuer Verarbeitungskategorien, bei denen unter Beruecksichtigung der zu verarbeitenden Daten eine Beeintraechtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist, die Zweckbestimmungen der Verarbeitung, die Daten oder Kategorien der verarbeiteten Daten, die Kategorie(n) der betroffenen Personen, die Empfaenger oder Kategorien der Empfaenger, denen die Daten weitergegeben werden, und die Dauer der Aufbewahrung fest, und/oder
- der fuer die Verarbeitung Verantwortliche bestellt entsprechend dem einzelstaatlichen Recht, dem er unterliegt, einen Datenschutzbeauftragten, dem insbesondere folgendes obliegt:
- die unabhaengige UEberwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen,
- die Fuehrung eines Verzeichnisses mit den in Artikel 21 Absatz 2 vorgesehenen Informationen ueber die durch den fuer die Verarbeitung Verantwortlichen vorgenommene Verarbeitung,
um auf diese Weise sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung nicht beeintraechtigt werden.
(3) Die Mitgliedstaaten koennen vorsehen, dass Absatz 1 keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Fuehren eines Register ist, das gemaess den Rechts- oder Verwaltungsvorschriften zur Information der OEffentlichkeit bestimmt ist und entweder der gesamten OEffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen koennen, zur Einsichtnahme offensteht.
(4) Die Mitgliedstaaten koennen die in Artikel 8 Absatz 2 Buchstabe d) genannten Verarbeitungen von der Meldepflicht ausnehmen oder die Meldung vereinfachen.
(5) Die Mitgliedstaaten koennen die Meldepflicht fuer nicht automatisierte Verarbeitungen von personenbezogenen Daten generell oder in Einzelfaellen vorsehen oder sie einer vereinfachten Meldung unterwerfen.

Artikel 19
Inhalt der Meldung
(1) Die Mitgliedstaaten legen fest, welche Angaben die Meldung zu enthalten hat. Hierzu gehoert zumindest folgendes:
a) Name und Anschrift des fuer die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters;
b) die Zweckbestimmung(en) der Verarbeitung;
c) eine Beschreibung der Kategorie(n) der betroffenen Personen und der diesbezueglichen Daten oder Datenkategorien;
d) die Empfaenger oder Kategorien von Empfaengern, denen die Daten mitgeteilt werden koennen;
e) eine geplante Datenuebermittlung in Drittlaender;
f) eine allgemeine Beschreibung, die es ermoeglicht, vorlaeufig zu beurteilen, ob die Massnahmen nach Artikel 17 zur Gewaehrleistung der Sicherheit der Verarbeitung angemessen sind.
(2) Die Mitgliedstaaten legen die Verfahren fest, nach denen AEnderungen der in Absatz 1 genannten Angaben der Kontrollstelle zu melden sind.

Artikel 20
Vorabkontrolle
(1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken fuer die Rechte und Freiheiten der Personen beinhalten koennen, und tragen dafuer Sorge, dass diese Verarbeitungen vor ihrem Beginn geprueft werden.
(2) Solche Vorabpruefungen nimmt die Kontrollstelle nach Empfang der Meldung des fuer die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muss.
(3) Die Mitgliedstaaten koennen eine solche Pruefung auch im Zuge der Ausarbeitung einer Massnahme ihres Parlaments oder einer auf eine solche gesetzgeberische Massnahme gestuetzten Massnahme durchfuehren, die die Art der Verarbeitung festlegt und geeignete Garantien vorsieht.

Artikel 21
OEffentlichkeit der Verarbeitungen
(1) Die Mitgliedstaaten erlassen Massnahmen, mit denen die OEffentlichkeit der Verarbeitungen sichergestellt wird.
(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstelle ein Register der gemaess Artikel 18 gemeldeten Verarbeitungen fuehrt.
Das Register enthaelt mindestens die Angaben nach Artikel 19 Absatz 1 Buchstaben a) bis e).
Das Register kann von jedermann eingesehen werden.
(3) Die Mitgliedstaaten sehen vor, dass fuer Verarbeitungen, die von der Meldung ausgenommen sind, der fuer die Verarbeitung Verantwortliche oder eine andere von den Mitgliedstaaten benannte Stelle zumindest die in Artikel 19 Absatz 1 Buchstaben a) bis e) vorgesehenen Angaben auf Antrag jedermann in geeigneter Weise verfuegbar macht.
Die Mitgliedstaaten koennen vorsehen, dass diese Bestimmungen keine Anwendung auf Verarbeitungen findet, deren einziger Zweck das Fuehren von Registern ist, die gemaess den Rechts- und Verwaltungsvorschriften zur Information der OEffentlichkeit bestimmt sind und die entweder der gesamten OEffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen koennen, zur Einsichtnahme offenstehen.

KAPITEL III RECHTSBEHELFE, HAFTUNG UND SANKTIONEN

Artikel 22
Rechtsbehelfe
Unbeschadet des verwaltungsrechtlichen Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten Kontrollstelle eingeleitet werden kann, sehen die Mitgliedstaaten vor, dass jede Person bei der Verletzung der Rechte, die ihr durch die fuer die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einlegen kann.

Artikel 23
Haftung
(1) Die Mitgliedstaaten sehen vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem fuer die Verarbeitung Verantwortlichen Schadenersatz zu verlangen.
(2) Der fuer die Verarbeitung Verantwortliche kann teilweise oder vollstaendig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.

Artikel 24
Sanktionen
Die Mitgliedstaaten ergreifen geeignete Massnahmen, um die volle Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und legen insbesondere die Sanktionen fest, die bei Verstoessen gegen die zur Umsetzung dieser Richtlinie erlassenen Vorschriften anzuwenden sind.

KAPITEL IV UEBERMITTLUNG PERSONENBEZOGENER DATEN IN DRITTLAENDER

Artikel 25
Grundsaetze
(1) Die Mitgliedstaaten sehen vor, dass die UEbermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der UEbermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulaessig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewaehrleistet.
(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Beruecksichtigung aller Umstaende beurteilt, die bei einer Datenuebermittlung oder einer Kategorie von Datenuebermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung , das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmassnahmen beruecksichtigt.
(3) Die Mitgliedstaaten und die Kommission unterrichten einander ueber die Faelle, in denen ihres Erachtens ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 gewaehrleistet.
(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, dass ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Massnahmen, damit keine gleichartige Datenuebermittlung in das Drittland erfolgt.
(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe fuer die gemaess Absatz 4 festgestellte Lage zu schaffen.
(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemaess Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphaere sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewaehrleistet.
Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Massnahmen.

Artikel 26
Ausnahmen
(1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen fuer bestimmte Faelle im innerstaatlichen Recht vor, dass eine UEbermittlung oder eine Kategorie von UEbermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewaehrleistet, vorgenommen werden kann, sofern
a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder
b) die UEbermittlung fuer die Erfuellung eines Vertrags zwischen der betroffenen Person und dem fuer die Verarbeitung Verantwortlichen oder zur Durchfuehrung von vorvertraglichen Massnahmen auf Antrag der betroffenen Person erforderlich ist oder
c) die UEbermittlung zum Abschluss oder zur Erfuellung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom fuer die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder
d) die UEbermittlung entweder fuer die Wahrung eines wichtigen oeffentlichen Interesses oder zur Geltendmachung, Ausuebung oder Verteidigung von Rechtsanspruechen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder
e) die UEbermittlung fuer die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder
f) die UEbermittlung aus einem Register erfolgt, das gemaess den Rechts- oder Verwaltungsvorschriften zur Information der OEffentlichkeit bestimmt ist und entweder der gesamten OEffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen koennen, zur Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen fuer die Einsichtnahme im Einzelfall gegeben sind.
(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine UEbermittlung oder eine Kategorie von UEbermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewaehrleistet, wenn der fuer die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphaere, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausuebung der damit verbundenen Rechte bietet; diese Garantien koennen sich insbesondere aus entsprechenden Vertragsklauseln ergeben.
(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten ueber die von ihm nach Absatz 2 erteilten Genehmigungen.
Legt ein anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphaere, der Grundrechte und der Personen hinreichend begruendeten Widerspruch ein, so erlaesst die Kommission die geeigneten Massnahmen nach dem Verfahren des Artikels 31 Absatz 2.
Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Massnahmen.
(4) Befindet die Kommission nach dem Verfahren des Artikels 31 Absatz 2, dass bestimmte Standardvertragsklauseln ausreichende Garantien gemaess Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Massnahmen.

KAPITEL V VERHALTENSREGELN

Artikel 27
(1) Die Mitgliedstaaten und die Kommission foerdern die Ausarbeitung von Verhaltensregeln, die nach Massgabe der Besonderheiten der einzelnen Bereiche zur ordnungsgemaessen Durchfuehrung der einzelstaatlichen Vorschriften beitragen sollen, die die Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassen.
(2) Die Mitgliedstaaten sehen vor, dass die Berufsverbaende und andere Vereinigungen, die andere Kategorien von fuer die Verarbeitung Verantwortlichen vertreten, ihre Entwuerfe fuer einzelstaatliche Verhaltensregeln oder ihre Vorschlaege zur AEnderung oder Verlaengerung bestehender einzelstaatlicher Verhaltensregeln der zustaendigen einzelstaatlichen Stelle unterbreiten koennen.
Die Mitgliedstaaten sehen vor, dass sich diese Stellen insbesondere davon ueberzeugt, dass die ihr unterbreiteten Entwuerfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Die Stelle holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint.
(3) Die Entwuerfe fuer gemeinschaftliche Verhaltensregeln sowie AEnderungen oder Verlaengerungen bestehender gemeinschaftlicher Verhaltensregeln koennen der in Artikel 29 genannten Gruppe unterbreitet werden. Die Gruppe nimmt insbesondere dazu Stellung, ob die ihr unterbreiteten Entwuerfe mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in Einklang stehen. Sie holt die Stellungnahmen der betroffenen Personen oder ihrer Vertreter ein, falls ihr dies angebracht erscheint. Die Kommission kann dafuer Sorge tragen, dass die Verhaltensregeln, zu denen die Gruppe eine positive Stellungnahme abgegeben hat, in geeigneter Weise veroeffentlicht werden.

KAPITEL VI KONTROLLSTELLE UND GRUPPE FUER DEN SCHUTZ VON PERSONEN BEI DER VERARBEITUNG PERSONENBEZOGENER DATEN

Artikel 28
Kontrollstelle
(1) Die Mitgliedstaaten sehen vor, dass eine oder mehrere oeffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu ueberwachen.
Diese Stellen nehmen die ihnen zugewiesenen Aufgaben in voelliger Unabhaengigkeit wahr.
(2) Die Mitgliedstaaten sehen vor, dass die Kontrollstellen bei der Ausarbeitung von Rechtsverordnungen oder Verwaltungsvorschriften bezueglich des Schutzes der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten angehoert werden.
(3) Jede Kontrollstelle verfuegt insbesondere ueber:
- Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller fuer die Erfuellung ihres Kontrollauftrags erforderlichen Informationen;
- wirksame Einwirkungsbefugnisse, wie beispielsweise die Moeglichkeit, im Einklang mit Artikel 20 vor der Durchfuehrung der Verarbeitungen Stellungnahmen abzugeben und fuer eine geeignete Veroeffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Loeschung oder Vernichtung von Daten oder das vorlaeufige oder endgueltige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den fuer die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
- das Klagerecht oder eine Anzeigebefugnis bei Verstoessen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.
Gegen beschwerende Entscheidungen der Kontrollstelle steht der Rechtsweg offen.
(4) Jede Person oder ein sie vertretender Verband kann sich zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden. Die betroffene Person ist darueber zu informieren, wie mit der Eingabe verfahren wurde.
Jede Kontrollstelle kann insbesondere von jeder Person mit dem Antrag befasst werden, die Rechtmaessigkeit einer Verarbeitung zu ueberpruefen, wenn einzelstaatliche Vorschriften gemaess Artikel 13 Anwendung finden. Die Person ist unter allen Umstaenden darueber zu unterrichten, dass eine UEberpruefung stattgefunden hat.
(5) Jede Kontrollstelle legt regelmaessig einen Bericht ueber ihre Taetigkeit vor. Dieser Bericht wird veroeffentlicht.
(6) Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats fuer die Ausuebung der ihr gemaess Absatz 3 uebertragenen Befugnisse zustaendig, unabhaengig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist. Jede Kontrollstelle kann von einer Kontrollstelle eines anderen Mitgliedstaats um die Ausuebung ihrer Befugnisse ersucht werden.
Die Kontrollstellen sorgen fuer die zur Erfuellung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen.
(7) Die Mitgliedstaaten sehen vor, dass die Mitglieder und Bediensteten der Kontrollstellen hinsichtlich der vertraulichen Informationen, zu denen sie Zugang haben, dem Berufsgeheimnis, auch nach Ausscheiden aus dem Dienst, unterliegen.

Artikel 29
Datenschutzgruppe
(1) Es wird eine Gruppe fuer den Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt (nachstehend "Gruppe" genannt).
Die Gruppe ist unabhaengig und hat beratende Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der Stelle bzw. der Stellen, die fuer die Institutionen und Organe der Gemeinschaft eingerichtet sind, sowie einem Vertreter der Kommission.
Jedes Mitglied der Gruppe wird von der Institution, der Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat mehrere Kontrollstellen bestimmt, so ernennen diese einen gemeinsamen Vertreter. Gleiches gilt fuer die Stellen, die fuer die Institutionen und die Organe der Gemeinschaft eingerichtet sind.
(3) Die Gruppe beschliesst mit der einfachen Mehrheit der Vertreter der Kontrollstellen.
(4) Die Gruppe waehlt ihren Vorsitzenden. Die Dauer der Amtszeit des Vorsitzenden betraegt zwei Jahre. Wiederwahl ist moeglich.
(5) Die Sekretariatsgeschaefte der Gruppe werden von der Kommission wahrgenommen.
(6) Die Gruppe gibt sich eine Geschaeftsordnung.
(7) Die Gruppe prueft die Fragen, die der Vorsitzende von sich aus oder auf Antrag eines Vertreters der Kontrollstellen oder auf Antrag der Kommission auf die Tagesordnung gesetzt hat.

Artikel 30
(1) Die Gruppe hat die Aufgabe,
a) alle Fragen im Zusammenhang mit den zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zu pruefen, um zu einer einheitlichen Anwendung beizutragen;
b) zum Schutzniveau in der Gemeinschaft und in Drittlaendern gegenueber der Kommission Stellung zu nehmen;
c) die Kommission bei jeder Vorlage zur AEnderung dieser Richtlinie, zu allen Entwuerfen zusaetzlicher oder spezifischer Massnahmen zur Wahrung der Rechte und Freiheiten natuerlicher Personen bei der Verarbeitung personenbezogener Daten sowie zu allen anderen Entwuerfen von Gemeinschaftsmassnahmen zu beraten, die sich auf diese Rechte und Freiheiten auswirken;
d) Stellungnahmen zu den auf Gemeinschaftsebene erarbeiteten Verhaltensregeln abzugeben.
(2) Stellt die Gruppe fest, dass sich im Bereich des Schutzes von Personen bei der Verarbeitung personenbezogener Daten zwischen den Rechtsvorschriften oder der Praxis der Mitgliedstaaten Unterschiede ergeben, die die Gleichwertigkeit des Schutzes in der Gemeinschaft beeintraechtigen koennten, so teilt sie dies der Kommission mit.
(3) Die Gruppe kann von sich aus Empfehlungen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft betreffen.
(4) Die Stellungnahmen und Empfehlungen der Gruppe werden der Kommission und dem in Artikel 31 genannten Ausschuss uebermittelt.
(5) Die Kommission teilt der Gruppe mit, welche Konsequenzen sie aus den Stellungnahmen und Empfehlungen gezogen hat. Sie erstellt hierzu einen Bericht, der auch dem Europaeischen Parlament und dem Rat uebermittelt wird. Dieser Bericht wird veroeffentlicht.
(6) Die Gruppe erstellt jaehrlich einen Bericht ueber den Stand des Schutzes natuerlicher Personen bei der Verarbeitung personenbezogener Daten in der Gemeinschaft und in Drittlaendern, den sie der Kommission, dem Europaeischen Parlament und dem Rat uebermittelt. Dieser Bericht wird veroeffentlicht.

KAPITEL VII GEMEINSCHAFTLICHE DURCHFUEHRUNGSMASSNAHMEN

Artikel 31
Ausschussverfahren
(1) Die Kommission wird von einem Ausschuss unterstuetzt, der sich aus Vertretern der Mitgliedstaaten zusammensetzt und in dem der Vertreter der Kommission den Vorsitz fuehrt.
(2) Der Vertreter der Kommission unterbreitet dem Ausschuss einen Entwurf der zu treffenden Massnahmen. Der Ausschuss gibt seine Stellungnahme zu diesem Entwurf innerhalb einer Frist ab, die der Vorsitzende unter Beruecksichtigung der Dringlichkeit der betreffenden Frage festsetzen kann.
Die Stellungnahme wird mit der Mehrheit abgegeben, die in Artikel 148 Absatz 2 des Vertrags vorgesehen ist. Bei der Abstimmung im Ausschuss werden die Stimmen der Vertreter der Mitgliedstaaten gemaess dem vorgenannten Artikel gewogen. Der Vorsitzende nimmt an der Abstimmung nicht teil.
Die Kommission erlaesst Massnahmen, die unmittelbar gelten. Stimmen sie jedoch mit der Stellungnahme des Ausschusses nicht ueberein, werden sie von der Kommission unverzueglich dem Rat mitgeteilt. In diesem Fall gilt folgendes:
- Die Kommission verschiebt die Durchfuehrung der von ihr beschlossenen Massnahmen um drei Monate vom Zeitpunkt der Mitteilung an;
- der Rat kann innerhalb des im ersten Gedankenstrich genannten Zeitraums mit qualifizierter Mehrheit einen anderslautenden Beschluss fassen.

SCHLUSSBESTIMMUNGEN

Artikel 32
(1) Die Mitgliedstaaten erlassen die erforderlichen Rechts- und Verwaltungsvorschriften, um dieser Richtlinie binnen drei Jahren nach ihrer Annahme nachzukommen.
Wenn die Mitgliedstaaten derartige Vorschriften erlassen, nehmen sie in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veroeffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.
(2) Die Mitgliedstaaten tragen dafuer Sorge, dass Verarbeitungen, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits begonnen wurden, binnen drei Jahren nach diesem Zeitpunkt mit diesen Bestimmungen in Einklang gebracht werden.
Abweichend von Unterabsatz 1 koennen die Mitgliedstaaten vorsehen, dass die Verarbeitungen von Daten, die zum Zeitpunkt des Inkrafttretens der einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie bereits in manuellen Dateien enthalten sind, binnen zwoelf Jahren nach Annahme dieser Richtlinie mit den Artikeln 6, 7 und 8 in Einklang zu bringen sind. Die Mitgliedstaaten gestatten jedoch, dass die betroffene Person auf Antrag und insbesondere bei Ausuebung des Zugangsrechts die Berichtigung, Loeschung oder Sperrung von Daten erreichen kann, die unvollstaendig, unzutreffend oder auf eine Art und Weise aufbewahrt sind, die mit den vom fuer die Verarbeitung Verantwortlichen verfolgten rechtmaessigen Zwecken unvereinbar ist.
(3) Abweichend von Absatz 2 koennen die Mitgliedstaaten vorbehaltlich geeigneter Garantien vorsehen, dass Daten, die ausschliesslich zum Zwecke der historischen Forschung aufbewahrt werden, nicht mit den Artikeln 6, 7 und 8 in Einklang gebracht werden muessen.
(4) Die Mitgliedstaaten teilen der Kommission den Wortlaut der innerstaatlichen Vorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.

Artikel 33
Die Kommission legt dem Europaeischen Parlament und dem Rat regelmaessig, und zwar erstmals drei Jahre nach dem in Artikel 32 Absatz 1 genannten Zeitpunkt, einen Bericht ueber die Durchfuehrung dieser Richtlinie vor und fuegt ihm gegebenenfalls geeignete AEnderungsvorschlaege bei. Dieser Bericht wird veroeffentlicht.
Die Kommission prueft insbesondere die Anwendung dieser Richtlinie auf die Verarbeitung personenbezogener Bild- und Tondaten und unterbreitet geeignete Vorschlaege, die sich unter Beruecksichtigung der Entwicklung der Informationstechnologie und der Arbeiten ueber die Informationsgesellschaft als notwendig erweisen koennten.

Artikel 34
Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu Luxemburg am 24. Oktober 1995.
Im Namen des Europaeischen Parlaments
Der Praesident
K. HAENSCH
Im Namen des Rates
Der Praesident
L. ATIENZA SERNA

(1) ABl. Nr. C 277 vom 5. 11. 1990, S. 3, und ABl. Nr. C 311 vom 27. 11. 1992, S. 30.
(2) ABl. Nr. C 159 vom 17. 6. 1991, S. 38.
(3) Stellungnahme des Europaeischen Parlaments vom 11. Maerz 1992 (ABl. Nr. C 94 vom 13. 4. 1992, S. 198), bestaetigt am 2. Dezember 1993 (ABl. Nr. C 342 vom 20. 12. 1993, S. 30). Gemeinsamer Standpunkt des Rates vom 20. Februar 1995 (ABl. Nr. C 93 vom 13. 4. 1995, S. 1) und Beschluss des Europaeischen Parlaments vom 15. Juni 1995 (ABl. Nr. C 166 vom 3. 7. 1995).
(1) ABl. Nr. L 197 vom 18. 7. 1987, S. 33.