1. KAPITEL I - Allgemeine Bestimmungen
    1. Artikel 1 Gegenstand und Ziele
    2. Artikel 2 Sachlicher Anwendungsbereich
    3. Artikel 3 Räumlicher Anwendungsbereich
    4. Artikel 4 Begriffsbestimmungen
  2. KAPITEL II - Grundsätze
    1. Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten
    2. Artikel 6 Rechtmäßigkeit der Verarbeitung
    3. Artikel 7 Bedingungen für die Einwilligung
    4. Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
    5. Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten
    6. Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
    7. Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
  3. KAPITEL III - Rechte der betroffenen Person
    1. Abschnitt 1 - Transparenz und Modalitäten
      1. Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
    2. Abschnitt 2 - Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
      1. Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
      2. Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
      3. Artikel 15 Auskunftsrecht der betroffenen Person
    3. Abschnitt 3 - Berichtigung und Löschung
      1. Artikel 16 Recht auf Berichtigung
      2. Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“)
      3. Artikel 18 Recht auf Einschränkung der Verarbeitung
      4. Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
      5. Artikel 20 Recht auf Datenübertragbarkeit
    4. Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
      1. Artikel 21 Widerspruchsrecht
      2. Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
    5. Abschnitt 5 - Beschränkungen
      1. Artikel 23 Beschränkungen
  4. KAPITEL IV - Verantwortlicher und Auftragsverarbeiter
    1. Abschnitt 1 - Allgemeine Pflichten
      1. Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen
      2. Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
      3. Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche
      4. Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
      5. Artikel 28 Auftragsverarbeiter
      6. Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
      7. Artikel 30 Verzeichnis von Verarbeitungstätigkeiten
      8. Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde
    2. Abschnitt 2 - Sicherheit personenbezogener Daten
      1. Artikel 32 Sicherheit der Verarbeitung
      2. Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
      3. Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
    3. Abschnitt 3 - Datenschutz-Folgenabschätzung und vorherige Konsultation
      1. Artikel 35 Datenschutz-Folgenabschätzung
      2. Artikel 36 Vorherige Konsultation
    4. Abschnitt 4 - Datenschutzbeauftragter
      1. Artikel 37 Benennung eines Datenschutzbeauftragten
      2. Artikel 38 Stellung des Datenschutzbeauftragten
      3. Artikel 39 Aufgaben des Datenschutzbeauftragten
    5. Abschnitt 5 - Verhaltensregeln und Zertifizierung
      1. Artikel 40 Verhaltensregeln
      2. Artikel 41 Überwachung der genehmigten Verhaltensregeln
      3. Artikel 42 Zertifizierung
      4. Artikel 43 Zertifizierungsstellen
  5. KAPITEL IX - Vorschriften für besondere Verarbeitungssituationen
    1. Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
    2. Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
    3. Artikel 87 Verarbeitung der nationalen Kennziffer
    4. Artikel 88 Datenverarbeitung im Beschäftigungskontext
    5. Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
    6. Artikel 90 Geheimhaltungspflichten
    7. Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
  6. KAPITEL V - Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
    1. Artikel 44 Allgemeine Grundsätze der Datenübermittlung
    2. Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
    3. Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien
    4. Artikel 47 Verbindliche interne Datenschutzvorschriften
    5. Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
    6. Artikel 49 Ausnahmen für bestimmte Fälle
    7. Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten
  7. KAPITEL VI - Unabhängige Aufsichtsbehörden
    1. Abschnitt 1 - Unabhängigkeit
      1. Artikel 51 Aufsichtsbehörde
      2. Artikel 52 Unabhängigkeit
      3. Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
      4. Artikel 54 Errichtung der Aufsichtsbehörde
    2. Abschnitt 2 - Zuständigkeit, Aufgaben und Befugnisse
      1. Artikel 55 Zuständigkeit
      2. Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde
      3. Artikel 57 Aufgaben
      4. Artikel 58 Befugnisse
      5. Artikel 59 Tätigkeitsbericht
  8. KAPITEL VII - Zusammenarbeit und Kohärenz
    1. Abschnitt 1 - Zusammenarbeit
      1. Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
      2. Artikel 61 Gegenseitige Amtshilfe
      3. Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden
    2. Abschnitt 2 - Kohärenz
      1. Artikel 63 Kohärenzverfahren
      2. Artikel 64 Stellungnahme Ausschusses
      3. Artikel 65 Streitbeilegung durch den Ausschuss
      4. Artikel 66 Dringlichkeitsverfahren
      5. Artikel 67 Informationsaustausch
    3. Abschnitt 3 - Europäischer Datenschutzausschuss
      1. Artikel 7 Vertraulichkeit
      2. Artikel 68 Europäischer Datenschutzausschuss
      3. Artikel 69 Unabhängigkeit
      4. Artikel 70 Aufgaben des Ausschusses
      5. Artikel 71 Berichterstattung
      6. Artikel 72 Verfahrensweise
      7. Artikel 73 Vorsitz
      8. Artikel 74 Aufgaben des Vorsitzes
      9. Artikel 75 Sekretariat
  9. KAPITEL VIII - Rechtsbehelfe, Haftung und Sanktionen
    1. Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde
    2. Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
    3. Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
    4. Artikel 80 Vertretung von betroffenen Personen
    5. Artikel 81 Aussetzung des Verfahrens
    6. Artikel 82 Haftung und Recht auf Schadenersatz
    7. Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
    8. Artikel 84 Sanktionen
  10. KAPITEL X - Delegierte Rechtsakte und Durchführungsrechtsakte
    1. Artikel 92 Ausübung der Befugnisübertragung
    2. Artikel 93 Ausschussverfahren
  11. KAPITEL XI - Schlussbestimmungen
    1. Artikel 94 Aufhebung der Richtlinie 95/46/EG
    2. Artikel 95 Verhältnis zur Richtlinie 2002/58/EG
    3. Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften
    4. Artikel 97 Berichte der Kommission
    5. Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz
    6. Artikel 99 Inkrafttreten und Anwendung

Artikel 35

(1)   Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2)   Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3)   Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a)   systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b)   umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c)   systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4)   Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

(5)   Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

(6)   Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

(7)   Die Folgenabschätzung enthält zumindest Folgendes:

a)   eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b)   eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c)   eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d)   die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8)   Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9)   Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10)   Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

(11)   Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Unser Newsletter

Bleib auf dem Laufenden mit regelmäßigen Informationen zum Thema DSGVO. Deine Einwilligung in den Empfang kannst du jederzeit widerrufen.