1. KAPITEL I - Allgemeine Bestimmungen
    1. Artikel 1 Gegenstand und Ziele
    2. Artikel 2 Sachlicher Anwendungsbereich
    3. Artikel 3 Räumlicher Anwendungsbereich
    4. Artikel 4 Begriffsbestimmungen
  2. KAPITEL II - Grundsätze
    1. Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten
    2. Artikel 6 Rechtmäßigkeit der Verarbeitung
    3. Artikel 7 Bedingungen für die Einwilligung
    4. Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
    5. Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten
    6. Artikel 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
    7. Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
  3. KAPITEL III - Rechte der betroffenen Person
    1. Abschnitt 1 - Transparenz und Modalitäten
      1. Artikel 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
    2. Abschnitt 2 - Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
      1. Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
      2. Artikel 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
      3. Artikel 15 Auskunftsrecht der betroffenen Person
    3. Abschnitt 3 - Berichtigung und Löschung
      1. Artikel 16 Recht auf Berichtigung
      2. Artikel 17 Recht auf Löschung („Recht auf Vergessenwerden“)
      3. Artikel 18 Recht auf Einschränkung der Verarbeitung
      4. Artikel 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
      5. Artikel 20 Recht auf Datenübertragbarkeit
    4. Abschnitt 4 - Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
      1. Artikel 21 Widerspruchsrecht
      2. Artikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
    5. Abschnitt 5 - Beschränkungen
      1. Artikel 23 Beschränkungen
  4. KAPITEL IV - Verantwortlicher und Auftragsverarbeiter
    1. Abschnitt 1 - Allgemeine Pflichten
      1. Artikel 24 Verantwortung des für die Verarbeitung Verantwortlichen
      2. Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
      3. Artikel 26 Gemeinsam für die Verarbeitung Verantwortliche
      4. Artikel 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
      5. Artikel 28 Auftragsverarbeiter
      6. Artikel 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
      7. Artikel 30 Verzeichnis von Verarbeitungstätigkeiten
      8. Artikel 31 Zusammenarbeit mit der Aufsichtsbehörde
    2. Abschnitt 2 - Sicherheit personenbezogener Daten
      1. Artikel 32 Sicherheit der Verarbeitung
      2. Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
      3. Artikel 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
    3. Abschnitt 3 - Datenschutz-Folgenabschätzung und vorherige Konsultation
      1. Artikel 35 Datenschutz-Folgenabschätzung
      2. Artikel 36 Vorherige Konsultation
    4. Abschnitt 4 - Datenschutzbeauftragter
      1. Artikel 37 Benennung eines Datenschutzbeauftragten
      2. Artikel 38 Stellung des Datenschutzbeauftragten
      3. Artikel 39 Aufgaben des Datenschutzbeauftragten
    5. Abschnitt 5 - Verhaltensregeln und Zertifizierung
      1. Artikel 40 Verhaltensregeln
      2. Artikel 41 Überwachung der genehmigten Verhaltensregeln
      3. Artikel 42 Zertifizierung
      4. Artikel 43 Zertifizierungsstellen
  5. KAPITEL IX - Vorschriften für besondere Verarbeitungssituationen
    1. Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
    2. Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
    3. Artikel 87 Verarbeitung der nationalen Kennziffer
    4. Artikel 88 Datenverarbeitung im Beschäftigungskontext
    5. Artikel 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
    6. Artikel 90 Geheimhaltungspflichten
    7. Artikel 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
  6. KAPITEL V - Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
    1. Artikel 44 Allgemeine Grundsätze der Datenübermittlung
    2. Artikel 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
    3. Artikel 46 Datenübermittlung vorbehaltlich geeigneter Garantien
    4. Artikel 47 Verbindliche interne Datenschutzvorschriften
    5. Artikel 48 Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
    6. Artikel 49 Ausnahmen für bestimmte Fälle
    7. Artikel 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten
  7. KAPITEL VI - Unabhängige Aufsichtsbehörden
    1. Abschnitt 1 - Unabhängigkeit
      1. Artikel 51 Aufsichtsbehörde
      2. Artikel 52 Unabhängigkeit
      3. Artikel 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
      4. Artikel 54 Errichtung der Aufsichtsbehörde
    2. Abschnitt 2 - Zuständigkeit, Aufgaben und Befugnisse
      1. Artikel 55 Zuständigkeit
      2. Artikel 56 Zuständigkeit der federführenden Aufsichtsbehörde
      3. Artikel 57 Aufgaben
      4. Artikel 58 Befugnisse
      5. Artikel 59 Tätigkeitsbericht
  8. KAPITEL VII - Zusammenarbeit und Kohärenz
    1. Abschnitt 1 - Zusammenarbeit
      1. Artikel 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
      2. Artikel 61 Gegenseitige Amtshilfe
      3. Artikel 62 Gemeinsame Maßnahmen der Aufsichtsbehörden
    2. Abschnitt 2 - Kohärenz
      1. Artikel 63 Kohärenzverfahren
      2. Artikel 64 Stellungnahme Ausschusses
      3. Artikel 65 Streitbeilegung durch den Ausschuss
      4. Artikel 66 Dringlichkeitsverfahren
      5. Artikel 67 Informationsaustausch
    3. Abschnitt 3 - Europäischer Datenschutzausschuss
      1. Artikel 7 Vertraulichkeit
      2. Artikel 68 Europäischer Datenschutzausschuss
      3. Artikel 69 Unabhängigkeit
      4. Artikel 70 Aufgaben des Ausschusses
      5. Artikel 71 Berichterstattung
      6. Artikel 72 Verfahrensweise
      7. Artikel 73 Vorsitz
      8. Artikel 74 Aufgaben des Vorsitzes
      9. Artikel 75 Sekretariat
  9. KAPITEL VIII - Rechtsbehelfe, Haftung und Sanktionen
    1. Artikel 77 Recht auf Beschwerde bei einer Aufsichtsbehörde
    2. Artikel 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
    3. Artikel 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter
    4. Artikel 80 Vertretung von betroffenen Personen
    5. Artikel 81 Aussetzung des Verfahrens
    6. Artikel 82 Haftung und Recht auf Schadenersatz
    7. Artikel 83 Allgemeine Bedingungen für die Verhängung von Geldbußen
    8. Artikel 84 Sanktionen
  10. KAPITEL X - Delegierte Rechtsakte und Durchführungsrechtsakte
    1. Artikel 92 Ausübung der Befugnisübertragung
    2. Artikel 93 Ausschussverfahren
  11. KAPITEL XI - Schlussbestimmungen
    1. Artikel 94 Aufhebung der Richtlinie 95/46/EG
    2. Artikel 95 Verhältnis zur Richtlinie 2002/58/EG
    3. Artikel 96 Verhältnis zu bereits geschlossenen Übereinkünften
    4. Artikel 97 Berichte der Kommission
    5. Artikel 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz
    6. Artikel 99 Inkrafttreten und Anwendung

Artikel 47

(1)   Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese

a)   rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt,

b)   den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und

c)   die in Absatz 2 festgelegten Anforderungen erfüllen.

(2)   Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:

a)   Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;

b)   die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;

c)   interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;

d)   die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;

e)   die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;

f)   die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;

g)   die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;

h)   die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;

i)   die Beschwerdeverfahren;

j)   die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;

k)   die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;

l)   die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;

m)   die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und

n)   geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.

(3)   Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.

Unser Newsletter

Bleib auf dem Laufenden mit regelmäßigen Informationen zum Thema DSGVO. Deine Einwilligung in den Empfang kannst du jederzeit widerrufen.