summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorPeter Ludikovsky <peter@ludikovsky.name>2017-03-27 11:16:05 +0200
committerPeter Ludikovsky <peter@ludikovsky.name>2017-03-27 11:16:05 +0200
commit6d734403a114781545a5eb856f93d30d5a67b652 (patch)
tree84f437c3931da230f3a98d380309521bfef7c947
parent1fe4e569c1dc660cefc236504f49ed83ccc1d8cb (diff)
parentad3b56a29c5d645eebc7d2efd9d09da56c5385f3 (diff)
Merge branch 'cleanup'HEADmain
Markdown now uniformly formatted as far as possible
-rw-r--r--dsg2000/art01-par01.md43
-rw-r--r--dsg2000/art01-par02.md14
-rw-r--r--dsg2000/art01-par03.md25
-rw-r--r--dsg2000/art02-par04.md113
-rw-r--r--dsg2000/art02-par05.md25
-rw-r--r--dsg2000/art02-par06.md60
-rw-r--r--dsg2000/art02-par07.md26
-rw-r--r--dsg2000/art02-par08.md80
-rw-r--r--dsg2000/art02-par09.md68
-rw-r--r--dsg2000/art02-par10.md24
-rw-r--r--dsg2000/art02-par11.md52
-rw-r--r--dsg2000/art02-par12.md111
-rw-r--r--dsg2000/art02-par13.md68
-rw-r--r--dsg2000/art02-par14.md84
-rw-r--r--dsg2000/art02-par15.md33
-rw-r--r--dsg2000/art02-par16.md19
-rw-r--r--dsg2000/art02-par17.md95
-rw-r--r--dsg2000/art02-par18.md27
-rw-r--r--dsg2000/art02-par19.md78
-rw-r--r--dsg2000/art02-par20.md53
-rw-r--r--dsg2000/art02-par21.md41
-rw-r--r--dsg2000/art02-par22.md33
-rw-r--r--dsg2000/art02-par22a.md45
-rw-r--r--dsg2000/art02-par23.md8
-rw-r--r--dsg2000/art02-par24.md64
-rw-r--r--dsg2000/art02-par25.md20
-rw-r--r--dsg2000/art02-par26.md159
-rw-r--r--dsg2000/art02-par27.md93
-rw-r--r--dsg2000/art02-par28.md15
-rw-r--r--dsg2000/art02-par29.md3
-rw-r--r--dsg2000/art02-par30.md101
-rw-r--r--dsg2000/art02-par31.md89
-rw-r--r--dsg2000/art02-par31a.md35
-rw-r--r--dsg2000/art02-par32.md49
-rw-r--r--dsg2000/art02-par33.md30
-rw-r--r--dsg2000/art02-par34.md28
-rw-r--r--dsg2000/art02-par35.md11
-rw-r--r--dsg2000/art02-par36.md65
-rw-r--r--dsg2000/art02-par37.md38
-rw-r--r--dsg2000/art02-par38.md14
-rw-r--r--dsg2000/art02-par39.md24
-rw-r--r--dsg2000/art02-par40.md3
-rw-r--r--dsg2000/art02-par41.md43
-rw-r--r--dsg2000/art02-par42.md46
-rw-r--r--dsg2000/art02-par43.md16
-rw-r--r--dsg2000/art02-par44.md54
-rw-r--r--dsg2000/art02-par45.md13
-rw-r--r--dsg2000/art02-par46.md74
-rw-r--r--dsg2000/art02-par47.md61
-rw-r--r--dsg2000/art02-par48.md17
-rw-r--r--dsg2000/art02-par48a.md109
-rw-r--r--dsg2000/art02-par49.md27
-rw-r--r--dsg2000/art02-par50.md49
-rw-r--r--dsg2000/art02-par50a.md110
-rw-r--r--dsg2000/art02-par50b.md16
-rw-r--r--dsg2000/art02-par50c.md29
-rw-r--r--dsg2000/art02-par50d.md15
-rw-r--r--dsg2000/art02-par50e.md28
-rw-r--r--dsg2000/art02-par51.md11
-rw-r--r--dsg2000/art02-par52.md77
-rw-r--r--dsg2000/art02-par53.md12
-rw-r--r--dsg2000/art02-par54.md19
-rw-r--r--dsg2000/art02-par55.md16
-rw-r--r--dsg2000/art02-par56.md10
-rw-r--r--dsg2000/art02-par57.md6
-rw-r--r--dsg2000/art02-par58.md7
-rw-r--r--dsg2000/art02-par59.md5
-rw-r--r--dsg2000/art02-par60.md73
-rw-r--r--dsg2000/art02-par61.md94
-rw-r--r--dsg2000/art02-par62.md6
-rw-r--r--dsg2000/art02-par63.md4
-rw-r--r--dsg2000/art02-par64.md4
-rw-r--r--dsgvo/ch01/ch01-art01.md13
-rw-r--r--dsgvo/ch01/ch01-art02.md35
-rw-r--r--dsgvo/ch01/ch01-art03.md25
-rw-r--r--dsgvo/ch01/ch01-art04.md269
-rw-r--r--dsgvo/ch02/ch02-art05.md64
-rw-r--r--dsgvo/ch02/ch02-art06.md139
-rw-r--r--dsgvo/ch02/ch02-art07.md28
-rw-r--r--dsgvo/ch02/ch02-art08.md24
-rw-r--r--dsgvo/ch02/ch02-art09.md106
-rw-r--r--dsgvo/ch02/ch02-art10.md9
-rw-r--r--dsgvo/ch02/ch02-art11.md17
-rw-r--r--dsgvo/ch03/ch03-art12.md75
-rw-r--r--dsgvo/ch03/ch03-art13.md105
-rw-r--r--dsgvo/ch03/ch03-art14.md164
-rw-r--r--dsgvo/ch03/ch03-art15.md75
-rw-r--r--dsgvo/ch03/ch03-art16.md9
-rw-r--r--dsgvo/ch03/ch03-art17.md73
-rw-r--r--dsgvo/ch03/ch03-art18.md46
-rw-r--r--dsgvo/ch03/ch03-art19.md8
-rw-r--r--dsgvo/ch03/ch03-art20.md31
-rw-r--r--dsgvo/ch03/ch03-art21.md43
-rw-r--r--dsgvo/ch03/ch03-art22.md43
-rw-r--r--dsgvo/ch03/ch03-art23.md73
-rw-r--r--dsgvo/ch04/ch04-art24.md20
-rw-r--r--dsgvo/ch04/ch04-art25.md31
-rw-r--r--dsgvo/ch04/ch04-art26.md23
-rw-r--r--dsgvo/ch04/ch04-art27.md46
-rw-r--r--dsgvo/ch04/ch04-art28.md167
-rw-r--r--dsgvo/ch04/ch04-art29.md6
-rw-r--r--dsgvo/ch04/ch04-art30.md104
-rw-r--r--dsgvo/ch04/ch04-art31.md7
-rw-r--r--dsgvo/ch04/ch04-art32.md58
-rw-r--r--dsgvo/ch04/ch04-art33.md60
-rw-r--r--dsgvo/ch04/ch04-art34.md53
-rw-r--r--dsgvo/ch04/ch04-art35.md135
-rw-r--r--dsgvo/ch04/ch04-art36.md77
-rw-r--r--dsgvo/ch04/ch04-art37.md71
-rw-r--r--dsgvo/ch04/ch04-art38.md36
-rw-r--r--dsgvo/ch04/ch04-art39.md43
-rw-r--r--dsgvo/ch04/ch04-art40.md161
-rw-r--r--dsgvo/ch04/ch04-art41.md73
-rw-r--r--dsgvo/ch04/ch04-art42.md63
-rw-r--r--dsgvo/ch04/ch04-art43.md125
-rw-r--r--dsgvo/ch05/ch05-art44.md13
-rw-r--r--dsgvo/ch05/ch05-art45.md108
-rw-r--r--dsgvo/ch05/ch05-art46.md65
-rw-r--r--dsgvo/ch05/ch05-art47.md162
-rw-r--r--dsgvo/ch05/ch05-art48.md10
-rw-r--r--dsgvo/ch05/ch05-art49.md92
-rw-r--r--dsgvo/ch05/ch05-art50.md25
-rw-r--r--dsgvo/ch06/ch06-art51.md24
-rw-r--r--dsgvo/ch06/ch06-art52.md35
-rw-r--r--dsgvo/ch06/ch06-art53.md27
-rw-r--r--dsgvo/ch06/ch06-art54.md51
-rw-r--r--dsgvo/ch06/ch06-art55.md14
-rw-r--r--dsgvo/ch06/ch06-art56.md43
-rw-r--r--dsgvo/ch06/ch06-art57.md157
-rw-r--r--dsgvo/ch06/ch06-art58.md136
-rw-r--r--dsgvo/ch06/ch06-art59.md8
-rw-r--r--dsgvo/ch07/ch07-art60.md94
-rw-r--r--dsgvo/ch07/ch07-art61.md66
-rw-r--r--dsgvo/ch07/ch07-art62.md66
-rw-r--r--dsgvo/ch07/ch07-art63.md5
-rw-r--r--dsgvo/ch07/ch07-art64.md116
-rw-r--r--dsgvo/ch07/ch07-art65.md70
-rw-r--r--dsgvo/ch07/ch07-art66.md31
-rw-r--r--dsgvo/ch07/ch07-art67.md9
-rw-r--r--dsgvo/ch07/ch07-art68.md28
-rw-r--r--dsgvo/ch07/ch07-art69.md9
-rw-r--r--dsgvo/ch07/ch07-art70.md209
-rw-r--r--dsgvo/ch07/ch07-art71.md12
-rw-r--r--dsgvo/ch07/ch07-art72.md7
-rw-r--r--dsgvo/ch07/ch07-art73.md7
-rw-r--r--dsgvo/ch07/ch07-art74.md18
-rw-r--r--dsgvo/ch07/ch07-art75.md46
-rw-r--r--dsgvo/ch07/ch07-art76.md9
-rw-r--r--dsgvo/ch08/ch08-art77.md14
-rw-r--r--dsgvo/ch08/ch08-art78.md25
-rw-r--r--dsgvo/ch08/ch08-art79.md20
-rw-r--r--dsgvo/ch08/ch08-art80.md22
-rw-r--r--dsgvo/ch08/ch08-art81.md20
-rw-r--r--dsgvo/ch08/ch08-art82.md43
-rw-r--r--dsgvo/ch08/ch08-art83.md184
-rw-r--r--dsgvo/ch08/ch08-art84.md11
-rw-r--r--dsgvo/ch09/ch09-art85.md25
-rw-r--r--dsgvo/ch09/ch09-art86.md9
-rw-r--r--dsgvo/ch09/ch09-art87.md8
-rw-r--r--dsgvo/ch09/ch09-art88.md28
-rw-r--r--dsgvo/ch09/ch09-art89.md38
-rw-r--r--dsgvo/ch09/ch09-art90.md19
-rw-r--r--dsgvo/ch09/ch09-art91.md13
-rw-r--r--dsgvo/ch10/ch10-art92.md32
-rw-r--r--dsgvo/ch10/ch10-art93.md11
-rw-r--r--dsgvo/ch11/ch11-art94.md11
-rw-r--r--dsgvo/ch11/ch11-art95.md7
-rw-r--r--dsgvo/ch11/ch11-art96.md7
-rw-r--r--dsgvo/ch11/ch11-art97.md31
-rw-r--r--dsgvo/ch11/ch11-art98.md8
-rw-r--r--dsgvo/ch11/ch11-art99.md6
-rw-r--r--grch/tit00.md64
-rw-r--r--grch/tit01-art01.md3
-rw-r--r--grch/tit01-art02.md6
-rw-r--r--grch/tit01-art03.md20
-rw-r--r--grch/tit01-art04.md3
-rw-r--r--grch/tit01-art05.md9
-rw-r--r--grch/tit02-art07.md3
-rw-r--r--grch/tit02-art08.md14
-rw-r--r--grch/tit02-art09.md4
-rw-r--r--grch/tit02-art10.md13
-rw-r--r--grch/tit02-art11.md9
-rw-r--r--grch/tit02-art12.md13
-rw-r--r--grch/tit02-art14.md15
-rw-r--r--grch/tit02-art15.md14
-rw-r--r--grch/tit02-art16.md3
-rw-r--r--grch/tit02-art17.md13
-rw-r--r--grch/tit02-art18.md6
-rw-r--r--grch/tit02-art19.md9
-rw-r--r--grch/tit03-art21.md13
-rw-r--r--grch/tit03-art23.md8
-rw-r--r--grch/tit03-art24.md16
-rw-r--r--grch/tit03-art25.md4
-rw-r--r--grch/tit03-art26.md5
-rw-r--r--grch/tit04-art27.md6
-rw-r--r--grch/tit04-art28.md8
-rw-r--r--grch/tit04-art29.md3
-rw-r--r--grch/tit04-art30.md4
-rw-r--r--grch/tit04-art31.md9
-rw-r--r--grch/tit04-art32.md11
-rw-r--r--grch/tit04-art33.md11
-rw-r--r--grch/tit04-art34.md22
-rw-r--r--grch/tit04-art35.md6
-rw-r--r--grch/tit04-art36.md6
-rw-r--r--grch/tit04-art37.md4
-rw-r--r--grch/tit05-art39.md11
-rw-r--r--grch/tit05-art40.md5
-rw-r--r--grch/tit05-art41.md27
-rw-r--r--grch/tit05-art42.md6
-rw-r--r--grch/tit05-art43.md8
-rw-r--r--grch/tit05-art44.md5
-rw-r--r--grch/tit05-art45.md9
-rw-r--r--grch/tit05-art46.md6
-rw-r--r--grch/tit06-art47.md15
-rw-r--r--grch/tit06-art48.md8
-rw-r--r--grch/tit06-art49.md16
-rw-r--r--grch/tit06-art50.md4
-rw-r--r--grch/tit07-art51.md15
-rw-r--r--grch/tit07-art52.md43
-rw-r--r--grch/tit07-art53.md9
-rw-r--r--grch/tit07-art54.md6
221 files changed, 7001 insertions, 1863 deletions
diff --git a/dsg2000/art01-par01.md b/dsg2000/art01-par01.md
index 867f287..7c58803 100644
--- a/dsg2000/art01-par01.md
+++ b/dsg2000/art01-par01.md
@@ -1,16 +1,45 @@
§1 - Grundrecht auf Datenschutz
===============================
-1. Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
+1. Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines
+ Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn
+ betreffenden personenbezogenen Daten, soweit ein schutzwürdiges
+ Interesse daran besteht. Das Bestehen eines solchen Interesses ist
+ ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit
+ oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen
+ einem Geheimhaltungsanspruch nicht zugänglich sind.
-2. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
+2. Soweit die Verwendung von personenbezogenen Daten nicht im
+ lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung
+ erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur
+ Wahrung überwiegender berechtigter Interessen eines anderen
+ zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf
+ Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen
+ Konvention zum Schutze der Menschenrechte und Grundfreiheiten
+ (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind.
+ Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art
+ nach besonders schutzwürdig sind, nur zur Wahrung wichtiger
+ öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene
+ Garantien für den Schutz der Geheimhaltungsinteressen der
+ Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf
+ der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum
+ Ziel führenden Art vorgenommen werden.
-3. Jedermann hat, soweit ihn betreffende personenbezogene Daten zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh. ohne Automationsunterstützung geführten Dateien bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
+3. Jedermann hat, soweit ihn betreffende personenbezogene Daten zur
+ automationsunterstützten Verarbeitung oder zur Verarbeitung in
+ manuell, dh. ohne Automationsunterstützung geführten Dateien
+ bestimmt sind, nach Maßgabe gesetzlicher Bestimmungen
- 1. das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden;
+ 1. das Recht auf Auskunft darüber, wer welche Daten über ihn
+ verarbeitet, woher die Daten stammen, und wozu sie verwendet
+ werden, insbesondere auch, an wen sie übermittelt werden;
- 2. das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
+ 2. das Recht auf Richtigstellung unrichtiger Daten und das Recht
+ auf Löschung unzulässigerweise verarbeiteter Daten.
+
+4. Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2
+ genannten Voraussetzungen zulässig.
+
+5. *(Anm.: Abs. 5 aufgehoben durch BGBl. I Nr. 51/2012)*
-4. Beschränkungen der Rechte nach Abs. 3 sind nur unter den in Abs. 2 genannten Voraussetzungen zulässig.
-5. *(Anm.: Abs. 5 aufgehoben durch BGBl. I Nr. 51/2012)*
diff --git a/dsg2000/art01-par02.md b/dsg2000/art01-par02.md
index 4a4ad98..a598058 100644
--- a/dsg2000/art01-par02.md
+++ b/dsg2000/art01-par02.md
@@ -1,6 +1,16 @@
§2 - Zuständigkeit
==================
-1. Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr.
+1. Bundessache ist die Gesetzgebung in Angelegenheiten des Schutzes
+ personenbezogener Daten im automationsunterstützten Datenverkehr.
+
+2. Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit
+ solche Daten von einem Land, im Auftrag eines Landes, von oder im
+ Auftrag von juristischen Personen, die durch Gesetz eingerichtet
+ sind und deren Einrichtung hinsichtlich der Vollziehung in die
+ Zuständigkeit der Länder fällt, verwendet werden, sind diese
+ Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch
+ Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder
+ Gerichte mit der Vollziehung betraut werden.
+
-2. Die Vollziehung solcher Bundesgesetze steht dem Bund zu. Soweit solche Daten von einem Land, im Auftrag eines Landes, von oder im Auftrag von juristischen Personen, die durch Gesetz eingerichtet sind und deren Einrichtung hinsichtlich der Vollziehung in die Zuständigkeit der Länder fällt, verwendet werden, sind diese Bundesgesetze von den Ländern zu vollziehen, soweit nicht durch Bundesgesetz die Datenschutzbehörde, der Datenschutzrat oder Gerichte mit der Vollziehung betraut werden.
diff --git a/dsg2000/art01-par03.md b/dsg2000/art01-par03.md
index ebcff6e..f1c9e11 100644
--- a/dsg2000/art01-par03.md
+++ b/dsg2000/art01-par03.md
@@ -1,10 +1,27 @@
§3 - Räumlicher Anwendungsbereich
=================================
-1. Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4) geschieht.
+1. Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von
+ personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist
+ dieses Bundesgesetz auf die Verwendung von Daten im Ausland
+ anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der
+ Europäischen Union für Zwecke einer in Österreich gelegenen Haupt-
+ oder Zweigniederlassung (§ 4 Z 15) eines Auftraggebers (§ 4 Z 4)
+ geschieht.
-2. Abweichend von Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist.
+2. Abweichend von Abs. 1 ist das Recht des Sitzstaates des
+ Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn
+ ein Auftraggeber des privaten Bereichs (§ 5 Abs. 3) mit Sitz in
+ einem anderen Mitgliedstaat der Europäischen Union personenbezogene
+ Daten in Österreich zu einem Zweck verwendet, der keiner in
+ Österreich gelegenen Niederlassung dieses Auftraggebers
+ zuzurechnen ist.
+
+3. Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit
+ personenbezogene Daten durch das Inland nur durchgeführt werden.
+
+4. Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in
+ Angelegenheiten zulässig, die nicht dem Recht der Europäischen
+ Gemeinschaften unterliegen.
-3. Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene Daten durch das Inland nur durchgeführt werden.
-4. Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
diff --git a/dsg2000/art02-par04.md b/dsg2000/art02-par04.md
index 950c5d1..a5b9a44 100644
--- a/dsg2000/art02-par04.md
+++ b/dsg2000/art02-par04.md
@@ -1,34 +1,89 @@
§4 - Definitionen
=================
-Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:
+Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die
+Begriffe:
+
+1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3),
+ deren Identität bestimmt oder bestimmbar ist; „nur indirekt
+ personenbezogen“ sind Daten für einen Auftraggeber (Z 4),
+ Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann,
+ wenn der Personenbezug der Daten derart ist, daß dieser
+ Auftraggeber, Dienstleister oder Übermittlungsempfänger die
+ Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht
+ bestimmen kann;
+
+2. „sensible Daten“ („besonders schutzwürdige Daten“): Daten
+ natürlicher Personen über ihre rassische und ethnische Herkunft,
+ politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder
+ philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
+
+3. „Betroffener“: jede vom Auftraggeber (Z 4) verschiedene natürliche
+ oder juristische Person oder Personengemeinschaft, deren Daten
+ verwendet (Z 8) werden;
+
+4. Auftraggeber: natürliche oder juristische Personen,
+ Personengemeinschaften oder Organe einer Gebietskörperschaft
+ beziehungsweise die Geschäftsapparate solcher Organe, wenn sie
+ allein oder gemeinsam mit anderen die Entscheidung getroffen haben,
+ Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst
+ verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen.
+ Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung
+ eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung
+ trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies
+ wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund
+ von Rechtsvorschriften oder Verhaltensregeln über die Verwendung
+ eigenverantwortlich zu entscheiden;
+
+5. Dienstleister: natürliche oder juristische Personen,
+ Personengemeinschaften oder Organe einer Gebietskörperschaft
+ beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten
+ nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z
+ 8);
+
+6. „Datei“: strukturierte Sammlung von Daten, die nach mindestens einem
+ Suchkriterium zugänglich sind;
+
+7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen
+ Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich
+ bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet
+ sind und zur Gänze oder auch nur teilweise automationsunterstützt,
+ also maschinell und programmgesteuert, erfolgen
+ (automationsunterstützte Datenanwendung);
+
+8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl
+ das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
+
+9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern,
+ Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen,
+ Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11),
+ Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von
+ Daten mit Ausnahme des Übermittelns (Z 12) von Daten;
+
+10. *(Anm.: Z 10 aufgehoben durch BGBl. I Nr. 133/2009)*
+
+11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber
+ und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5);
+
+12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger
+ als den Betroffenen, den Auftraggeber oder einen Dienstleister,
+ insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch
+ die Verwendung von Daten für ein anderes Aufgabengebiet des
+ Auftraggebers;
+
+13. „Informationsverbundsystem“: die gemeinsame Verarbeitung von Daten
+ in einer Datenanwendung durch mehrere Auftraggeber und die
+ gemeinsame Benützung der Daten in der Art, daß jeder Auftraggeber
+ auch auf jene Daten im System Zugriff hat, die von den anderen
+ Auftraggebern dem System zur Verfügung gestellt wurden;
+
+14. „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene
+ Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage
+ für den konkreten Fall in die Verwendung seiner Daten einwilligt;
+
+15. „Niederlassung“: jede durch feste Einrichtungen an einem bestimmten
+ Ort räumlich und funktional abgegrenzte Organisationseinheit mit
+ oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch
+ tatsächlich Tätigkeiten ausübt.
-1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;
-2. „sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;
-
-3. „Betroffener“: jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden;
-
-4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden;
-
-5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8);
-
-6. „Datei“: strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind;
-
-7. „Datenanwendung“: die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung);
-
-8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten;
-
-9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten;
-
-10. *(Anm.: Z 10 aufgehoben durch BGBl. I Nr. 133/2009)*
-
-11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5);
-
-12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers;
-
-13. „Informationsverbundsystem“: die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, daß jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden;
-
-14. „Zustimmung“: die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, daß er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt;
-
-15. „Niederlassung“: jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt.
diff --git a/dsg2000/art02-par05.md b/dsg2000/art02-par05.md
index cefcfcf..9223f59 100644
--- a/dsg2000/art02-par05.md
+++ b/dsg2000/art02-par05.md
@@ -1,14 +1,27 @@
§5 - Öffentlicher und privater Bereich
======================================
-1. Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers des öffentlichen Bereichs (Abs. 2) durchgeführt werden.
+1. Datenanwendungen sind dem öffentlichen Bereich im Sinne dieses
+ Bundesgesetzes zuzurechnen, wenn sie für Zwecke eines Auftraggebers
+ des öffentlichen Bereichs (Abs. 2) durchgeführt werden.
-2. Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
+2. Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber,
- 1. die in Formen des öffentlichen Rechts eingerichtet sind, insbesondere auch als Organ einer Gebietskörperschaft, oder
+ 1. die in Formen des öffentlichen Rechts eingerichtet sind,
+ insbesondere auch als Organ einer Gebietskörperschaft, oder
- 2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in Vollziehung der Gesetze tätig sind.
+ 2. soweit sie trotz ihrer Einrichtung in Formen des Privatrechts in
+ Vollziehung der Gesetze tätig sind.
+
+3. Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als
+ Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
+
+4. Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet
+ sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden,
+ das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft
+ auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen
+ ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn,
+ dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit
+ betroffen sind.
-3. Die dem Abs. 2 nicht unterliegenden Auftraggeber gelten als Auftraggeber des privaten Bereichs im Sinne dieses Bundesgesetzes.
-4. Gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, ist, soweit sie nicht in Vollziehung der Gesetze tätig werden, das Grundrecht auf Datenschutz mit Ausnahme des Rechtes auf Auskunft auf dem Zivilrechtsweg geltend zu machen. In allen übrigen Fällen ist die Datenschutzbehörde zur Entscheidung zuständig, es sei denn, dass Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit betroffen sind.
diff --git a/dsg2000/art02-par06.md b/dsg2000/art02-par06.md
index a301dda..2b153c2 100644
--- a/dsg2000/art02-par06.md
+++ b/dsg2000/art02-par06.md
@@ -1,20 +1,50 @@
§6 - Grundsätze
===============
-1. Daten dürfen nur
+1. Daten dürfen nur
+
+ 1. nach Treu und Glauben und auf rechtmäßige Weise verwendet
+ werden;
+
+ 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und
+ nicht in einer mit diesen Zwecken unvereinbaren Weise
+ weiterverwendet werden; die Weiterverwendung für
+ wissenschaftliche oder statistische Zwecke ist nach Maßgabe der
+ §§ 46 und 47 zulässig;
+
+ 3. soweit sie für den Zweck der Datenanwendung wesentlich sind,
+ verwendet werden und über diesen Zweck nicht hinausgehen;
+
+ 4. so verwendet werden, daß sie im Hinblick auf den
+ Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig,
+ auf den neuesten Stand gebracht sind;
+
+ 5. solange in personenbezogener Form aufbewahrt werden, als dies
+ für die Erreichung der Zwecke, für die sie ermittelt wurden,
+ erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus
+ besonderen gesetzlichen, insbesondere archivrechtlichen
+ Vorschriften ergeben.
+
+2. Der Auftraggeber trägt bei jeder seiner Datenanwendungen die
+ Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze;
+ dies gilt auch dann, wenn er für die Datenanwendung
+ Dienstleister heranzieht.
+
+3. Der Auftraggeber einer diesem Bundesgesetz unterliegenden
+ Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union
+ niedergelassen ist, einen in Österreich ansässigen Vertreter zu
+ benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den
+ Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht
+ werden kann.
+
+4. Zur näheren Festlegung dessen, was in einzelnen Bereichen als
+ Verwendung von Daten nach Treu und Glauben anzusehen ist, können für
+ den privaten Bereich die gesetzlichen Interessenvertretungen,
+ sonstige Berufsverbände und vergleichbare Einrichtungen
+ Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur
+ veröffentlicht werden, nachdem sie dem Bundeskanzler zur
+ Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit
+ den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben
+ erachtet hat.
- 1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden;
- 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der §§ 46 und 47 zulässig;
-
- 3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen;
-
- 4. so verwendet werden, daß sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind;
-
- 5. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben.
-
-2. Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch dann, wenn er für die Datenanwendung Dienstleister heranzieht.
-
-3. Der Auftraggeber einer diesem Bundesgesetz unterliegenden Datenanwendung hat, wenn er nicht im Gebiet der Europäischen Union niedergelassen ist, einen in Österreich ansässigen Vertreter zu benennen, der unbeschadet der Möglichkeit eines Vorgehens gegen den Auftraggeber selbst namens des Auftraggebers verantwortlich gemacht werden kann.
-
-4. Zur näheren Festlegung dessen, was in einzelnen Bereichen als Verwendung von Daten nach Treu und Glauben anzusehen ist, können für den privaten Bereich die gesetzlichen Interessenvertretungen, sonstige Berufsverbände und vergleichbare Einrichtungen Verhaltensregeln ausarbeiten. Solche Verhaltensregeln dürfen nur veröffentlicht werden, nachdem sie dem Bundeskanzler zur Begutachtung vorgelegt wurden und dieser ihre Übereinstimmung mit den Bestimmungen dieses Bundesgesetzes begutachtet und als gegeben erachtet hat.
diff --git a/dsg2000/art02-par07.md b/dsg2000/art02-par07.md
index 1ec9c61..d6b0a96 100644
--- a/dsg2000/art02-par07.md
+++ b/dsg2000/art02-par07.md
@@ -1,14 +1,28 @@
§7 - Zulässigkeit der Verwendung von Daten
==========================================
-1. Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.
+1. Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der
+ Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen
+ Befugnissen des jeweiligen Auftraggebers gedeckt sind und die
+ schutzwürdigen Geheimhaltungsinteressen der Betroffenen
+ nicht verletzen.
-2. Daten dürfen nur übermittelt werden, wenn
+2. Daten dürfen nur übermittelt werden, wenn
- 1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
+ 1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
- 2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
+ 2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche
+ Zuständigkeit oder rechtliche Befugnis – soweit diese nicht
+ außer Zweifel steht – im Hinblick auf den Übermittlungszweck
+ glaubhaft gemacht hat und
+
+ 3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen
+ Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
+
+3. Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch
+ verursachten Eingriffe in das Grundrecht auf Datenschutz nur im
+ erforderlichen Ausmaß und mit den gelindesten zur Verfügung
+ stehenden Mitteln erfolgen und daß die Grundsätze des § 6
+ eingehalten werden.
- 3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.
-3. Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.
diff --git a/dsg2000/art02-par08.md b/dsg2000/art02-par08.md
index f783ee2..8588484 100644
--- a/dsg2000/art02-par08.md
+++ b/dsg2000/art02-par08.md
@@ -1,40 +1,82 @@
§8 - Schutzwürdige Geheimhaltungsinteressen bei Verwendung nicht-sensibler Daten
================================================================================
-1. Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten dann nicht verletzt, wenn
+1. Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung
+ nicht-sensibler Daten dann nicht verletzt, wenn
- 1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht oder
+ 1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
+ zur Verwendung der Daten besteht oder
- 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
+ 2. der Betroffene der Verwendung seiner Daten zugestimmt hat, wobei
+ ein Widerruf jederzeit möglich ist und die Unzulässigkeit der
+ weiteren Verwendung der Daten bewirkt, oder
- 3. lebenswichtige Interessen des Betroffenen die Verwendung erfordern oder
+ 3. lebenswichtige Interessen des Betroffenen die Verwendung
+ erfordern oder
- 4. überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten die Verwendung erfordern.
+ 4. überwiegende berechtigte Interessen des Auftraggebers oder eines
+ Dritten die Verwendung erfordern.
-2. Bei der Verwendung von zulässigerweise veröffentlichten Daten oder von nur indirekt personenbezogenen Daten gelten schutzwürdige Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die Verwendung zulässigerweise veröffentlichter Daten gemäß § 28 Widerspruch zu erheben, bleibt unberührt.
+2. Bei der Verwendung von zulässigerweise veröffentlichten Daten oder
+ von nur indirekt personenbezogenen Daten gelten schutzwürdige
+ Geheimhaltungsinteressen als nicht verletzt. Das Recht, gegen die
+ Verwendung zulässigerweise veröffentlichter Daten gemäß § 28
+ Widerspruch zu erheben, bleibt unberührt.
-3. Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs. 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der Daten
+3. Schutzwürdige Geheimhaltungsinteressen sind aus dem Grunde des Abs.
+ 1 Z 4 insbesondere dann nicht verletzt, wenn die Verwendung der
+ Daten
- 1. für einen Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung für die Wahrnehmung einer ihm gesetzlich übertragenen Aufgabe ist oder
+ 1. für einen Auftraggeber des öffentlichen Bereichs eine
+ wesentliche Voraussetzung für die Wahrnehmung einer ihm
+ gesetzlich übertragenen Aufgabe ist oder
- 2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der Verpflichtung zur Amtshilfe geschieht oder
+ 2. durch Auftraggeber des öffentlichen Bereichs in Erfüllung der
+ Verpflichtung zur Amtshilfe geschieht oder
- 3. zur Wahrung lebenswichtiger Interessen eines Dritten erforderlich ist oder
+ 3. zur Wahrung lebenswichtiger Interessen eines Dritten
+ erforderlich ist oder
- 4. zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem erforderlich ist oder
+ 4. zur Erfüllung einer vertraglichen Verpflichtung zwischen
+ Auftraggeber und Betroffenem erforderlich ist oder
- 5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder
+ 5. zur Geltendmachung, Ausübung oder Verteidigung von
+ Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig
+ ist und die Daten rechtmäßig ermittelt wurden oder
- 6. ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand hat oder
+ 6. ausschließlich die Ausübung einer öffentlichen Funktion durch
+ den Betroffenen zum Gegenstand hat oder
- 7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist; im letztgenannten Fall gilt § 48a Abs. 3.
+ 7. im Katastrophenfall, soweit dies zur Hilfeleistung für die von
+ der Katastrophe unmittelbar betroffenen Personen, zur Auffindung
+ und Identifizierung von Abgängigen und Verstorbenen und zur
+ Information von Angehörigen notwendig ist; im letztgenannten
+ Fall gilt § 48a Abs. 3.
-4. Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen, insbesondere auch über den Verdacht der Begehung von Straftaten, sowie über strafrechtliche Verurteilungen oder vorbeugende Maßnahmen verstößt – unbeschadet der Bestimmungen des Abs. 2 – nur dann nicht gegen schutzwürdige Geheimhaltungsinteressen des Betroffenen, wenn
+4. Die Verwendung von Daten über gerichtlich oder verwaltungsbehördlich
+ strafbare Handlungen oder Unterlassungen, insbesondere auch über den
+ Verdacht der Begehung von Straftaten, sowie über strafrechtliche
+ Verurteilungen oder vorbeugende Maßnahmen verstößt – unbeschadet der
+ Bestimmungen des Abs. 2 – nur dann nicht gegen schutzwürdige
+ Geheimhaltungsinteressen des Betroffenen, wenn
- 1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung solcher Daten besteht oder
+ 1. eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung
+ zur Verwendung solcher Daten besteht oder
- 2. die Verwendung derartiger Daten für Auftraggeber des öffentlichen Bereichs eine wesentliche Voraussetzung zur Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder
+ 2. die Verwendung derartiger Daten für Auftraggeber des
+ öffentlichen Bereichs eine wesentliche Voraussetzung zur
+ Wahrnehmung einer ihnen gesetzlich übertragenen Aufgabe ist oder
+
+ 3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus
+ gesetzlichen Sorgfaltspflichten oder sonstigen, die
+ schutzwürdigen Geheimhaltungsinteressen des Betroffenen
+ überwiegenden berechtigten Interessen des Auftraggebers ergibt
+ und die Art und Weise, in der die Datenanwendung vorgenommen
+ wird, die Wahrung der Interessen der Betroffenen nach diesem
+ Bundesgesetz gewährleistet oder
+
+ 4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an
+ eine zur Verfolgung der angezeigten strafbaren
+ Handlungen (Unterlassungen) zuständige Behörde erfolgt.
- 3. sich sonst die Zulässigkeit der Verwendung dieser Daten aus gesetzlichen Sorgfaltspflichten oder sonstigen, die schutzwürdigen Geheimhaltungsinteressen des Betroffenen überwiegenden berechtigten Interessen des Auftraggebers ergibt und die Art und Weise, in der die Datenanwendung vorgenommen wird, die Wahrung der Interessen der Betroffenen nach diesem Bundesgesetz gewährleistet oder
- 4. die Datenweitergabe zum Zweck der Erstattung einer Anzeige an eine zur Verfolgung der angezeigten strafbaren Handlungen (Unterlassungen) zuständige Behörde erfolgt.
diff --git a/dsg2000/art02-par09.md b/dsg2000/art02-par09.md
index 6a2f57a..4f05167 100644
--- a/dsg2000/art02-par09.md
+++ b/dsg2000/art02-par09.md
@@ -1,30 +1,70 @@
§9 - Schutzwürdige Geheimhaltungsinteressen bei Verwendung sensibler Daten
==========================================================================
-Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn
+Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung
+sensibler Daten ausschließlich dann nicht verletzt, wenn
-1. der Betroffene die Daten offenkundig selbst öffentlich gemacht hat oder
+1. der Betroffene die Daten offenkundig selbst öffentlich gemacht hat
+ oder
-2. die Daten in nur indirekt personenbezogener Form verwendet werden oder
+2. die Daten in nur indirekt personenbezogener Form verwendet werden
+ oder
-3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen, oder
+3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus
+ gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines
+ wichtigen öffentlichen Interesses dienen, oder
-4. die Verwendung durch Auftraggeber des öffentlichen Bereichs in Erfüllung ihrer Verpflichtung zur Amtshilfe geschieht oder
+4. die Verwendung durch Auftraggeber des öffentlichen Bereichs in
+ Erfüllung ihrer Verpflichtung zur Amtshilfe geschieht oder
-5. Daten verwendet werden, die ausschließlich die Ausübung einer öffentlichen Funktion durch den Betroffenen zum Gegenstand haben, oder
+5. Daten verwendet werden, die ausschließlich die Ausübung einer
+ öffentlichen Funktion durch den Betroffenen zum Gegenstand haben,
+ oder
-6. der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt, oder
+6. der Betroffene seine Zustimmung zur Verwendung der Daten
+ ausdrücklich erteilt hat, wobei ein Widerruf jederzeit möglich ist
+ und die Unzulässigkeit der weiteren Verwendung der Daten bewirkt,
+ oder
-7. die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger Interessen des Betroffenen notwendig ist und seine Zustimmung nicht rechtzeitig eingeholt werden kann oder
+7. die Verarbeitung oder Übermittlung zur Wahrung lebenswichtiger
+ Interessen des Betroffenen notwendig ist und seine Zustimmung nicht
+ rechtzeitig eingeholt werden kann oder
-8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen eines anderen notwendig ist oder
+8. die Verwendung der Daten zur Wahrung lebenswichtiger Interessen
+ eines anderen notwendig ist oder
-9. die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden oder
+9. die Verwendung zur Geltendmachung, Ausübung oder Verteidigung von
+ Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist
+ und die Daten rechtmäßig ermittelt wurden oder
-10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche Forschung oder Statistik gemäß § 46, zur Benachrichtigung oder Befragung des Betroffenen gemäß § 47 oder im Katastrophenfall gemäß § 48a verwendet werden oder
+10. Daten für private Zwecke gemäß § 45 oder für wissenschaftliche
+ Forschung oder Statistik gemäß § 46, zur Benachrichtigung oder
+ Befragung des Betroffenen gemäß § 47 oder im Katastrophenfall gemäß
+ § 48a verwendet werden oder
-11. die Verwendung erforderlich ist, um den Rechten und Pflichten des Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben, oder
+11. die Verwendung erforderlich ist, um den Rechten und Pflichten des
+ Auftraggebers auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung
+ zu tragen, und sie nach besonderen Rechtsvorschriften zulässig ist,
+ wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz
+ zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt
+ bleiben, oder
+
+12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen
+ Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die
+ Verwaltung von Gesundheitsdiensten erforderlich ist, und die
+ Verwendung dieser Daten durch ärztliches Personal oder sonstige
+ Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht
+ unterliegen, oder
+
+13. nicht auf Gewinn gerichtete Vereinigungen mit politischem,
+ philosophischem, religiösem oder gewerkschaftlichem Tätigkeitszweck
+ Daten, die Rückschlüsse auf die politische Meinung oder
+ weltanschauliche Überzeugung natürlicher Personen zulassen, im
+ Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei um
+ Daten von Mitgliedern, Förderern oder sonstigen Personen handelt,
+ die regelmäßig ihr Interesse für den Tätigkeitszweck der Vereinigung
+ bekundet haben; diese Daten dürfen, sofern sich aus gesetzlichen
+ Vorschriften nichts anderes ergibt, nur mit Zustimmung der
+ Betroffenen an Dritte weitergegeben werden.
-12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder -behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder
-13. nicht auf Gewinn gerichtete Vereinigungen mit politischem, philosophischem, religiösem oder gewerkschaftlichem Tätigkeitszweck Daten, die Rückschlüsse auf die politische Meinung oder weltanschauliche Überzeugung natürlicher Personen zulassen, im Rahmen ihrer erlaubten Tätigkeit verarbeiten und es sich hiebei um Daten von Mitgliedern, Förderern oder sonstigen Personen handelt, die regelmäßig ihr Interesse für den Tätigkeitszweck der Vereinigung bekundet haben; diese Daten dürfen, sofern sich aus gesetzlichen Vorschriften nichts anderes ergibt, nur mit Zustimmung der Betroffenen an Dritte weitergegeben werden.
diff --git a/dsg2000/art02-par10.md b/dsg2000/art02-par10.md
index 38f251d..14abc4e 100644
--- a/dsg2000/art02-par10.md
+++ b/dsg2000/art02-par10.md
@@ -1,6 +1,26 @@
§10 - Zulässigkeit der Überlassung von Daten zur Erbringung von Dienstleistungen
================================================================================
-1. Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und sich von ihrer Einhaltung durch Einholung der erforderlichen Informationen über die vom Dienstleister tatsächlich getroffenen Maßnahmen zu überzeugen.
+1. Auftraggeber dürfen bei ihren Datenanwendungen Dienstleister in
+ Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige
+ und sichere Datenverwendung bieten. Der Auftraggeber hat mit dem
+ Dienstleister die hiefür notwendigen Vereinbarungen zu treffen und
+ sich von ihrer Einhaltung durch Einholung der erforderlichen
+ Informationen über die vom Dienstleister tatsächlich getroffenen
+ Maßnahmen zu überzeugen.
+
+2. Die beabsichtigte Heranziehung eines Dienstleisters durch einen
+ Auftraggeber des öffentlichen Bereichs im Rahmen einer
+ Datenanwendung, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegt,
+ ist der Datenschutzbehörde mitzuteilen, es sei denn, daß die
+ Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher
+ gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine
+ Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem
+ diesem übergeordneten Organ in einem Über- oder
+ Unterordnungsverhältnis steht. Kommt die Datenschutzbehörde zur
+ Auffassung, daß die geplante Inanspruchnahme eines Dienstleisters
+ geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen
+ zu gefährden, so hat sie dies dem Auftraggeber
+ unverzüglich mitzuteilen. Im übrigen gilt § 30 Abs. 6 Z 4.
+
-2. Die beabsichtigte Heranziehung eines Dienstleisters durch einen Auftraggeber des öffentlichen Bereichs im Rahmen einer Datenanwendung, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegt, ist der Datenschutzbehörde mitzuteilen, es sei denn, daß die Inanspruchnahme des Dienstleisters auf Grund ausdrücklicher gesetzlicher Ermächtigung erfolgt oder als Dienstleister eine Organisationseinheit tätig wird, die mit dem Auftraggeber oder einem diesem übergeordneten Organ in einem Über- oder Unterordnungsverhältnis steht. Kommt die Datenschutzbehörde zur Auffassung, daß die geplante Inanspruchnahme eines Dienstleisters geeignet ist, schutzwürdige Geheimhaltungsinteressen der Betroffenen zu gefährden, so hat sie dies dem Auftraggeber unverzüglich mitzuteilen. Im übrigen gilt § 30 Abs. 6 Z 4.
diff --git a/dsg2000/art02-par11.md b/dsg2000/art02-par11.md
index 289a8e3..48c05f8 100644
--- a/dsg2000/art02-par11.md
+++ b/dsg2000/art02-par11.md
@@ -1,18 +1,44 @@
§11 - Pflichten des Dienstleisters
==================================
-1. Unabhängig von allfälligen vertraglichen Vereinbarungen haben Dienstleister bei der Verwendung von Daten für den Auftraggeber jedenfalls folgende Pflichten:
+1. Unabhängig von allfälligen vertraglichen Vereinbarungen haben
+ Dienstleister bei der Verwendung von Daten für den Auftraggeber
+ jedenfalls folgende Pflichten:
+
+ 1. die Daten ausschließlich im Rahmen der Aufträge des
+ Auftraggebers zu verwenden; insbesondere ist die Übermittlung
+ der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
+
+ 2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu
+ treffen; insbesondere dürfen für die Dienstleistung nur solche
+ Mitarbeiter herangezogen werden, die sich dem Dienstleister
+ gegenüber zur Einhaltung des Datengeheimnisses verpflichtet
+ haben oder einer gesetzlichen Verschwiegenheitspflicht
+ unterliegen;
+
+ 3. weitere Dienstleister nur mit Billigung des Auftraggebers
+ heranzuziehen und deshalb den Auftraggeber von der
+ beabsichtigten Heranziehung eines weiteren Dienstleisters so
+ rechtzeitig zu verständigen, daß er dies allenfalls untersagen
+ kann;
+
+ 4. – sofern dies nach der Art der Dienstleistung in Frage kommt –
+ im Einvernehmen mit dem Auftraggeber die notwendigen technischen
+ und organisatorischen Voraussetzungen für die Erfüllung der
+ Auskunfts-, Richtigstellungs- und Löschungspflicht des
+ Auftraggebers zu schaffen;
+
+ 5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse
+ und Unterlagen, die Daten enthalten, dem Auftraggeber zu
+ übergeben oder in dessen Auftrag für ihn weiter aufzubewahren
+ oder zu vernichten;
+
+ 6. dem Auftraggeber jene Informationen zur Verfügung zu stellen,
+ die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten
+ Verpflichtungen notwendig sind.
+
+2. Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über
+ die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum
+ Zweck der Beweissicherung schriftlich festzuhalten.
- 1. die Daten ausschließlich im Rahmen der Aufträge des Auftraggebers zu verwenden; insbesondere ist die Übermittlung der verwendeten Daten ohne Auftrag des Auftraggebers verboten;
- 2. alle gemäß § 14 erforderlichen Datensicherheitsmaßnahmen zu treffen; insbesondere dürfen für die Dienstleistung nur solche Mitarbeiter herangezogen werden, die sich dem Dienstleister gegenüber zur Einhaltung des Datengeheimnisses verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen;
-
- 3. weitere Dienstleister nur mit Billigung des Auftraggebers heranzuziehen und deshalb den Auftraggeber von der beabsichtigten Heranziehung eines weiteren Dienstleisters so rechtzeitig zu verständigen, daß er dies allenfalls untersagen kann;
-
- 4. – sofern dies nach der Art der Dienstleistung in Frage kommt – im Einvernehmen mit dem Auftraggeber die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunfts-, Richtigstellungs- und Löschungspflicht des Auftraggebers zu schaffen;
-
- 5. nach Beendigung der Dienstleistung alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben oder in dessen Auftrag für ihn weiter aufzubewahren oder zu vernichten;
-
- 6. dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der unter Z 1 bis 5 genannten Verpflichtungen notwendig sind.
-
-2. Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der in Abs. 1 genannten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.
diff --git a/dsg2000/art02-par12.md b/dsg2000/art02-par12.md
index 7ce66bd..499a15f 100644
--- a/dsg2000/art02-par12.md
+++ b/dsg2000/art02-par12.md
@@ -1,38 +1,83 @@
§12 - Genehmigungsfreie Übermittlung und Überlassung von Daten in das Ausland
=============================================================================
-1. Die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in Angelegenheiten, die nicht dem Recht der Europäischen Gemeinschaften unterliegen.
+1. Die Übermittlung und Überlassung von Daten an Empfänger in
+ Vertragsstaaten des Europäischen Wirtschaftsraumes ist keinen
+ Beschränkungen im Sinne des § 13 unterworfen. Dies gilt nicht für
+ den Datenverkehr zwischen Auftraggebern des öffentlichen Bereichs in
+ Angelegenheiten, die nicht dem Recht der Europäischen
+ Gemeinschaften unterliegen.
+
+2. Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit
+ Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche
+ Drittstaaten angemessenen Datenschutz gewährleisten, wird unter
+ Beachtung des § 55 Z 1 durch Verordnung des
+ Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des
+ Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der
+ ausländischen Rechtsordnung und das Vorhandensein wirksamer
+ Garantien für ihre Durchsetzung.
+
+3. Darüberhinaus ist der Datenverkehr ins Ausland dann
+ genehmigungsfrei, wenn
+
+ 1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
+
+ 2. Daten, die für den Empfänger nur indirekt personenbezogen sind,
+ übermittelt oder überlassen werden oder
+
+ 3. die Übermittlung oder Überlassung von Daten ins Ausland in
+ Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht
+ den Rang eines Gesetzes haben und unmittelbar anwendbar sind,
+ oder
+
+ 4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für
+ publizistische Tätigkeit (§ 48) übermittelt werden oder
+
+ 5. der Betroffene ohne jeden Zweifel seine Zustimmung zur
+ Übermittlung oder Überlassung seiner Daten ins Ausland gegeben
+ hat oder
+
+ 6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten
+ eindeutig im Interesse des Betroffenen abgeschlossener Vertrag
+ nicht anders als durch Übermittlung der Daten ins Ausland
+ erfüllt werden kann oder
+
+ 7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung
+ von Rechtsansprüchen vor ausländischen Behörden erforderlich ist
+ und die Daten rechtmäßig ermittelt wurden, oder
+
+ 8. die Übermittlung oder Überlassung in einer Standardverordnung (§
+ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich
+ angeführt ist oder
+
+ 9. es sich um Datenverkehr mit österreichischen Dienststellen im
+ Ausland handelt oder
+
+ 10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen,
+ die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
+
+4. Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in
+ Fällen, die von den vorstehenden Absätzen nicht erfaßt sind,
+
+ 1. zur Wahrung eines wichtigen öffentlichen Interesses oder
+
+ 2. zur Wahrung eines lebenswichtigen Interesses einer Person
+
+ notwendig und so dringlich ist, daß die gemäß § 13 erforderliche
+ Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne
+ die genannten Interessen zu gefährden, darf sie ohne Genehmigung
+ vorgenommen werden, muß aber der Datenschutzbehörde umgehend
+ mitgeteilt werden.
+
+5. Voraussetzung für die Zulässigkeit jeder Übermittlung oder
+ Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung
+ im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber
+ hinaus die schriftliche Zusage des ausländischen Dienstleisters an
+ den inländischen Auftraggeber – oder in den Fällen des § 13 Abs. 5
+ an den inländischen Dienstleister – vorliegen, daß er die
+ Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies
+ entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften
+ vorgesehen ist, die im innerstaatlichen Recht den Rang eines
+ Gesetzes haben und unmittelbar anwendbar sind.
-2. Keiner Genehmigung gemäß § 13 bedarf weiters der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird unter Beachtung des § 55 Z 1 durch Verordnung des Bundeskanzlers festgestellt. Maßgebend für die Angemessenheit des Schutzes ist die Ausgestaltung der Grundsätze des § 6 Abs. 1 in der ausländischen Rechtsordnung und das Vorhandensein wirksamer Garantien für ihre Durchsetzung.
-3. Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn
-
- 1. die Daten im Inland zulässigerweise veröffentlicht wurden oder
-
- 2. Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
-
- 3. die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
-
- 4. Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden oder
-
- 5. der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder
-
- 6. ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
-
- 7. die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
-
- 8. die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder
-
- 9. es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
-
- 10. Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
-
-4. Wenn eine Übermittlung oder Überlassung von Daten ins Ausland in Fällen, die von den vorstehenden Absätzen nicht erfaßt sind,
-
- 1. zur Wahrung eines wichtigen öffentlichen Interesses oder
-
- 2. zur Wahrung eines lebenswichtigen Interesses einer Person
-
- notwendig und so dringlich ist, daß die gemäß § 13 erforderliche Genehmigung der Datenschutzbehörde nicht eingeholt werden kann, ohne die genannten Interessen zu gefährden, darf sie ohne Genehmigung vorgenommen werden, muß aber der Datenschutzbehörde umgehend mitgeteilt werden.
-
-5. Voraussetzung für die Zulässigkeit jeder Übermittlung oder Überlassung in das Ausland ist die Rechtmäßigkeit der Datenanwendung im Inland gemäß § 7. Bei Überlassungen ins Ausland muß darüber hinaus die schriftliche Zusage des ausländischen Dienstleisters an den inländischen Auftraggeber – oder in den Fällen des § 13 Abs. 5 an den inländischen Dienstleister – vorliegen, daß er die Dienstleisterpflichten gemäß § 11 Abs. 1 einhalten werde. Dies entfällt, wenn die Dienstleistung im Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind.
diff --git a/dsg2000/art02-par13.md b/dsg2000/art02-par13.md
index 5923b8b..28ea6d0 100644
--- a/dsg2000/art02-par13.md
+++ b/dsg2000/art02-par13.md
@@ -1,18 +1,70 @@
§13 - Genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland
===============================================================================
-1. Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12 genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder Überlassung von Daten in das Ausland eine Genehmigung der Datenschutzbehörde (§§ 35 ff) einzuholen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen binden.
+1. Soweit der Datenverkehr mit dem Ausland nicht gemäß § 12
+ genehmigungsfrei ist, hat der Auftraggeber vor der Übermittlung oder
+ Überlassung von Daten in das Ausland eine Genehmigung der
+ Datenschutzbehörde (§§ 35 ff) einzuholen. Die Datenschutzbehörde
+ kann die Genehmigung an die Erfüllung von Bedingungen und
+ Auflagen binden.
-2. Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5 vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat generell geltenden angemessenen Datenschutzniveaus,
+2. Die Genehmigung ist unter Beachtung der gemäß § 55 Z 2 ergangenen
+ Kundmachungen zu erteilen, wenn die Voraussetzungen des § 12 Abs. 5
+ vorliegen und wenn, ungeachtet des Fehlens eines im Empfängerstaat
+ generell geltenden angemessenen Datenschutzniveaus,
- 1. für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht; dies ist unter Berücksichtigung aller Umstände zu beurteilen, die bei der Datenverwendung eine Rolle spielen, wie insbesondere die Art der verwendeten Daten, die Zweckbestimmung sowie die Dauer der geplanten Verwendung, das Herkunfts- und das Endbestimmungsland und die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen, Standesregeln und Sicherheitsstandards; oder
+ 1. für die im Genehmigungsantrag angeführte Übermittlung oder
+ Überlassung im konkreten Einzelfall angemessener Datenschutz
+ besteht; dies ist unter Berücksichtigung aller Umstände zu
+ beurteilen, die bei der Datenverwendung eine Rolle spielen, wie
+ insbesondere die Art der verwendeten Daten, die Zweckbestimmung
+ sowie die Dauer der geplanten Verwendung, das Herkunfts- und das
+ Endbestimmungsland und die in dem betreffenden Drittland
+ geltenden allgemeinen oder sektoriellen Rechtsnormen,
+ Standesregeln und Sicherheitsstandards; oder
- 2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür können insbesondere auch vertragliche Zusicherungen des Empfängers sowie einseitige Zusagen des Antragstellers (§ 19 Abs. 2) im Genehmigungsantrag über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein. Einseitige Zusagen des Antragstellers werden für diesen mit der Registrierung durch die Datenschutzbehörde verbindlich.
+ 2. der Auftraggeber glaubhaft macht, daß die schutzwürdigen
+ Geheimhaltungsinteressen der vom geplanten Datenverkehr
+ Betroffenen auch im Ausland ausreichend gewahrt werden. Hiefür
+ können insbesondere auch vertragliche Zusicherungen des
+ Empfängers sowie einseitige Zusagen des Antragstellers (§
+ 19 Abs. 2) im Genehmigungsantrag über die näheren Umstände der
+ Datenverwendung im Ausland von Bedeutung sein. Einseitige
+ Zusagen des Antragstellers werden für diesen mit der
+ Registrierung durch die Datenschutzbehörde verbindlich.
-3. Bei meldepflichtigen Datenanwendungen hat die Datenschutzbehörde eine Ausfertigung jedes Bescheides, mit dem eine Übermittlung oder Überlassung von Daten in das Ausland genehmigt wurde, zum Registrierungsakt zu nehmen und die Erteilung der Genehmigung im Datenverarbeitungsregister (§ 16) anzumerken.
+3. Bei meldepflichtigen Datenanwendungen hat die Datenschutzbehörde
+ eine Ausfertigung jedes Bescheides, mit dem eine Übermittlung oder
+ Überlassung von Daten in das Ausland genehmigt wurde, zum
+ Registrierungsakt zu nehmen und die Erteilung der Genehmigung im
+ Datenverarbeitungsregister (§ 16) anzumerken.
-4. Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen bestimmten weiteren Dienstleister im Ausland heranziehen will. Die tatsächliche Überlassung darf jeweils nur mit Zustimmung des Auftraggebers erfolgen. Der Auftraggeber hat der Datenschutzbehörde mitzuteilen, aus welcher seiner meldepflichtigen Datenanwendungen die dem Dienstleister genehmigte Überlassung erfolgen soll; dies ist im Datenverarbeitungsregister anzumerken.
+4. Abweichend von Abs. 1 kann auch ein inländischer Dienstleister die
+ Genehmigung beantragen, wenn er zur Erfüllung seiner vertraglichen
+ Verpflichtungen gegenüber mehreren Auftraggebern jeweils einen
+ bestimmten weiteren Dienstleister im Ausland heranziehen will. Die
+ tatsächliche Überlassung darf jeweils nur mit Zustimmung des
+ Auftraggebers erfolgen. Der Auftraggeber hat der Datenschutzbehörde
+ mitzuteilen, aus welcher seiner meldepflichtigen Datenanwendungen
+ die dem Dienstleister genehmigte Überlassung erfolgen soll; dies ist
+ im Datenverarbeitungsregister anzumerken.
+
+5. Die Übermittlung von Daten an ausländische Vertretungsbehörden oder
+ zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der
+ Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr
+ mit dem Ausland.
+
+6. Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell
+ geltenden angemessenen Schutzniveaus durch Verordnung festgestellt,
+ daß für bestimmte Kategorien des Datenverkehrs mit diesem
+ Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z 1 zutreffen, tritt
+ an die Stelle der Verpflichtung zur Einholung einer Genehmigung die
+ Pflicht zur Anzeige an die Datenschutzbehörde. Die
+ Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige
+ mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er
+ keiner der in der Verordnung geregelten Kategorien zuzurechnen ist
+ oder den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht;
+ andernfalls ist die Übermittlung oder Überlassung der Daten in das
+ Ausland zulässig.
-5. Die Übermittlung von Daten an ausländische Vertretungsbehörden oder zwischenstaatliche Einrichtungen in Österreich gilt hinsichtlich der Pflicht zur Einholung von Genehmigungen nach Abs. 1 als Datenverkehr mit dem Ausland.
-6. Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, daß für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat die Voraussetzungen gemäß Abs. 2 Z 1 zutreffen, tritt an die Stelle der Verpflichtung zur Einholung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzbehörde. Die Datenschutzbehörde hat binnen sechs Wochen ab Einlangen der Anzeige mit Bescheid den angezeigten Datenverkehr zu untersagen, wenn er keiner der in der Verordnung geregelten Kategorien zuzurechnen ist oder den Voraussetzungen gemäß § 12 Abs. 5 nicht entspricht; andernfalls ist die Übermittlung oder Überlassung der Daten in das Ausland zulässig.
diff --git a/dsg2000/art02-par14.md b/dsg2000/art02-par14.md
index 3a7aee4..c84d748 100644
--- a/dsg2000/art02-par14.md
+++ b/dsg2000/art02-par14.md
@@ -1,32 +1,86 @@
§14 - Datensicherheitsmaßnahmen
===============================
-1. Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich sind.
+1. Für alle Organisationseinheiten eines Auftraggebers oder
+ Dienstleisters, die Daten verwenden, sind Maßnahmen zur
+ Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der
+ Art der verwendeten Daten und nach Umfang und Zweck der Verwendung
+ sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
+ und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die
+ Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust
+ geschützt sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß
+ die Daten Unbefugten nicht zugänglich sind.
-2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz erforderlich ist,
+2. Insbesondere ist, soweit dies im Hinblick auf Abs. 1 letzter Satz
+ erforderlich ist,
- 1. die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen,
+ 1. die Aufgabenverteilung bei der Datenverwendung zwischen den
+ Organisationseinheiten und zwischen den Mitarbeitern
+ ausdrücklich festzulegen,
- 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der anordnungsbefugten Organisationseinheiten und Mitarbeiter zu binden,
+ 2. die Verwendung von Daten an das Vorliegen gültiger Aufträge der
+ anordnungsbefugten Organisationseinheiten und Mitarbeiter zu
+ binden,
- 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach innerorganisatorischen Datenschutzvorschriften einschließlich der Datensicherheitsvorschriften bestehenden Pflichten zu belehren,
+ 3. jeder Mitarbeiter über seine nach diesem Bundesgesetz und nach
+ innerorganisatorischen Datenschutzvorschriften einschließlich
+ der Datensicherheitsvorschriften bestehenden Pflichten zu
+ belehren,
- 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers oder Dienstleisters zu regeln,
+ 4. die Zutrittsberechtigung zu den Räumlichkeiten des Auftraggebers
+ oder Dienstleisters zu regeln,
- 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz der Datenträger vor der Einsicht und Verwendung durch Unbefugte zu regeln,
+ 5. die Zugriffsberechtigung auf Daten und Programme und der Schutz
+ der Datenträger vor der Einsicht und Verwendung durch Unbefugte
+ zu regeln,
- 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte festzulegen und jedes Gerät durch Vorkehrungen bei den eingesetzten Maschinen oder Programmen gegen die unbefugte Inbetriebnahme abzusichern,
+ 6. die Berechtigung zum Betrieb der Datenverarbeitungsgeräte
+ festzulegen und jedes Gerät durch Vorkehrungen bei den
+ eingesetzten Maschinen oder Programmen gegen die unbefugte
+ Inbetriebnahme abzusichern,
- 7. Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können,
+ 7. Protokoll zu führen, damit tatsächlich durchgeführte
+ Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und
+ Übermittlungen, im Hinblick auf ihre Zulässigkeit im notwendigen
+ Ausmaß nachvollzogen werden können,
- 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
+ 8. eine Dokumentation über die nach Z 1 bis 7 getroffenen Maßnahmen
+ zu führen, um die Kontrolle und Beweissicherung zu erleichtern.
- Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.
+ Diese Maßnahmen müssen unter Berücksichtigung des Standes der
+ Technik und der bei der Durchführung erwachsenden Kosten ein
+ Schutzniveau gewährleisten, das den von der Verwendung ausgehenden
+ Risiken und der Art der zu schützenden Daten angemessen ist.
-3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen keiner Protokollierung.
+3. Nicht registrierte Übermittlungen aus Datenanwendungen, die einer
+ Verpflichtung zur Auskunftserteilung gemäß § 26 unterliegen, sind so
+ zu protokollieren, daß dem Betroffenen Auskunft gemäß § 26 gegeben
+ werden kann. In der Standardverordnung (§ 17 Abs. 2 Z 6) oder in der
+ Musterverordnung (§ 19 Abs. 2) vorgesehene Übermittlungen bedürfen
+ keiner Protokollierung.
-4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.
+4. Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet
+ werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der
+ Zulässigkeit der Verwendung des protokollierten oder dokumentierten
+ Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die
+ Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren
+ Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck
+ der Kontrolle jener Personen, die auf den protokollierten
+ Datenbestand zugegriffen haben, aus einem anderen Grund als jenem
+ der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um
+ die Verwendung zum Zweck der Verhinderung oder Verfolgung eines
+ Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines
+ Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre
+ übersteigt, handelt.
+
+5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind
+ Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren.
+ Davon darf in jenem Ausmaß abgewichen werden, als der von der
+ Protokollierung oder Dokumentation betroffene Datenbestand
+ zulässigerweise früher gelöscht oder länger aufbewahrt wird.
+
+6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung
+ zu halten, daß sich die Mitarbeiter über die für sie geltenden
+ Regelungen jederzeit informieren können.
-5. Sofern gesetzlich nicht ausdrücklich anderes angeordnet ist, sind Protokoll- und Dokumentationsdaten drei Jahre lang aufzubewahren. Davon darf in jenem Ausmaß abgewichen werden, als der von der Protokollierung oder Dokumentation betroffene Datenbestand zulässigerweise früher gelöscht oder länger aufbewahrt wird.
-6. Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu halten, daß sich die Mitarbeiter über die für sie geltenden Regelungen jederzeit informieren können.
diff --git a/dsg2000/art02-par15.md b/dsg2000/art02-par15.md
index 004cdc7..412f170 100644
--- a/dsg2000/art02-par15.md
+++ b/dsg2000/art02-par15.md
@@ -1,10 +1,35 @@
§15 - Datengeheimnis
====================
-1. Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).
+1. Auftraggeber, Dienstleister und ihre Mitarbeiter – das sind
+ Arbeitnehmer (Dienstnehmer) und Personen in einem
+ arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben
+ Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer
+ berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich
+ geworden sind, unbeschadet sonstiger gesetzlicher
+ Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich
+ zulässiger Grund für eine Übermittlung der anvertrauten oder
+ zugänglich gewordenen Daten besteht (Datengeheimnis).
-2. Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Auftraggeber und Dienstleister haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, daß sie Daten aus Datenanwendungen nur auf Grund von Anordnungen übermitteln und das Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses zum Auftraggeber oder Dienstleister einhalten werden.
+2. Mitarbeiter dürfen Daten nur auf Grund einer ausdrücklichen
+ Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln.
+ Auftraggeber und Dienstleister haben, sofern eine solche
+ Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht,
+ diese vertraglich zu verpflichten, daß sie Daten aus
+ Datenanwendungen nur auf Grund von Anordnungen übermitteln und das
+ Datengeheimnis auch nach Beendigung des Arbeits(Dienst)verhältnisses
+ zum Auftraggeber oder Dienstleister einhalten werden.
+
+3. Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung
+ von Daten nur erteilen, wenn dies nach den Bestimmungen dieses
+ Bundesgesetzes zulässig ist. Sie haben die von der Anordnung
+ betroffenen Mitarbeiter über die für sie geltenden
+ Übermittlungsanordnungen und über die Folgen einer Verletzung des
+ Datengeheimnisses zu belehren.
+
+4. Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem
+ Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur
+ Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses
+ Bundesgesetzes kein Nachteil erwachsen.
-3. Auftraggeber und Dienstleister dürfen Anordnungen zur Übermittlung von Daten nur erteilen, wenn dies nach den Bestimmungen dieses Bundesgesetzes zulässig ist. Sie haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
-4. Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur Datenübermittlung wegen Verstoßes gegen die Bestimmungen dieses Bundesgesetzes kein Nachteil erwachsen.
diff --git a/dsg2000/art02-par16.md b/dsg2000/art02-par16.md
index e1c2daa..dcb33d0 100644
--- a/dsg2000/art02-par16.md
+++ b/dsg2000/art02-par16.md
@@ -1,8 +1,21 @@
§16 - Datenverarbeitungsregister
================================
-1. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von ihnen betriebenen Datenanwendungen zum Zweck der Information der Betroffenen zu führen.
+1. Die Datenschutzbehörde hat ein Register der Auftraggeber mit den von
+ ihnen betriebenen Datenanwendungen zum Zweck der Information der
+ Betroffenen zu führen.
+
+2. Jedermann kann in das Register Einsicht nehmen. In den
+ Registrierungsakt einschließlich darin allenfalls enthaltener
+ Genehmigungsbescheide ist Einsicht zu gewähren, wenn der
+ Einsichtswerber glaubhaft macht, daß er Betroffener ist, und soweit
+ nicht überwiegende schutzwürdige Geheimhaltungsinteressen des
+ Auftraggebers oder anderer Personen entgegenstehen.
+
+3. Der Bundeskanzler hat die näheren Bestimmungen über die Führung des
+ Registers durch Verordnung zu erlassen. Dabei ist auf die
+ Richtigkeit und Vollständigkeit des Registers, die Übersichtlichkeit
+ und Aussagekraft der Eintragungen und die Einfachheit der
+ Einsichtnahme Bedacht zu nehmen.
-2. Jedermann kann in das Register Einsicht nehmen. In den Registrierungsakt einschließlich darin allenfalls enthaltener Genehmigungsbescheide ist Einsicht zu gewähren, wenn der Einsichtswerber glaubhaft macht, daß er Betroffener ist, und soweit nicht überwiegende schutzwürdige Geheimhaltungsinteressen des Auftraggebers oder anderer Personen entgegenstehen.
-3. Der Bundeskanzler hat die näheren Bestimmungen über die Führung des Registers durch Verordnung zu erlassen. Dabei ist auf die Richtigkeit und Vollständigkeit des Registers, die Übersichtlichkeit und Aussagekraft der Eintragungen und die Einfachheit der Einsichtnahme Bedacht zu nehmen.
diff --git a/dsg2000/art02-par17.md b/dsg2000/art02-par17.md
index b1bcff8..cd562b4 100644
--- a/dsg2000/art02-par17.md
+++ b/dsg2000/art02-par17.md
@@ -1,34 +1,67 @@
§17 - Meldepflicht des Auftraggebers
====================================
-1. Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzbehörde mit dem in § 19 festgelegten Inhalt zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Meldepflicht gilt auch für Umstände, die nachträglich die Unrichtigkeit und Unvollständigkeit einer Meldung bewirken (Änderungsmeldung). Für manuelle Dateien besteht eine Meldepflicht nur, soweit die Inhalte zumindest einen der Tatbestände des § 18 Abs. 2 Z 1 bis 3 erfüllen.
-
- 1a. Die Meldung ist in elektronischer Form im Wege der vom Bundeskanzler bereit zu stellenden Internetanwendung einzubringen. Die Identifizierung und Authentifizierung kann insbesondere durch die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr. 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende Verordnung aufzunehmen. Eine Meldung in Form von E-Mail oder in nicht-elektronischer Form ist für manuelle Dateien sowie bei einem längeren technischen Ausfall der Internetanwendung zulässig.
-
-2. Nicht meldepflichtig sind Datenanwendungen, die
-
- 1. ausschließlich veröffentlichte Daten enthalten oder
-
- 2. die Führung von Registern oder Verzeichnissen zum Inhalt haben, die von Gesetzes wegen öffentlich einsehbar sind, sei es auch nur bei Nachweis eines berechtigten Interesses oder
-
- 3. nur indirekt personenbezogene Daten enthalten oder
-
- 4. von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden (§ 45) oder
-
- 5. für publizistische Tätigkeit gemäß § 48 vorgenommen werden oder
-
- 6. einer Standardanwendung entsprechen: Der Bundeskanzler kann durch Verordnung Typen von Datenanwendungen und Übermittlungen aus diesen zu Standardanwendungen erklären, wenn sie von einer großen Anzahl von Auftraggebern in gleichartiger Weise vorgenommen werden und angesichts des Verwendungszwecks und der verarbeiteten Datenarten die Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist. In der Verordnung sind für jede Standardanwendung die zulässigen Datenarten, die Betroffenen- und Empfängerkreise und die Höchstdauer der zulässigen Datenaufbewahrung festzulegen.
-
-3. Weiters sind Datenanwendungen für Zwecke
-
- 1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
-
- 2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
-
- 3. der Sicherstellung der Interessen der umfassenden Landesverteidigung oder
-
- 4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder
-
- 5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
-
-von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des Zweckes der Datenanwendung notwendig ist.
+1. Jeder Auftraggeber hat, soweit in den Abs. 2 und 3 nicht anderes
+ bestimmt ist, vor Aufnahme einer Datenanwendung eine Meldung an die
+ Datenschutzbehörde mit dem in § 19 festgelegten Inhalt zum Zweck der
+ Registrierung im Datenverarbeitungsregister zu erstatten. Diese
+ Meldepflicht gilt auch für Umstände, die nachträglich die
+ Unrichtigkeit und Unvollständigkeit einer Meldung
+ bewirken (Änderungsmeldung). Für manuelle Dateien besteht eine
+ Meldepflicht nur, soweit die Inhalte zumindest einen der Tatbestände
+ des § 18 Abs. 2 Z 1 bis 3 erfüllen.
+
+ 1a. Die Meldung ist in elektronischer Form im Wege der vom
+ Bundeskanzler bereit zu stellenden Internetanwendung einzubringen.
+ Die Identifizierung und Authentifizierung kann insbesondere durch
+ die Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes, BGBl. I Nr.
+ 10/2004) erfolgen. Nähere Bestimmungen über die Identifizierung und
+ Authentifizierung sind in die gemäß § 16 Abs. 3 zu erlassende
+ Verordnung aufzunehmen. Eine Meldung in Form von E-Mail oder in
+ nicht-elektronischer Form ist für manuelle Dateien sowie bei einem
+ längeren technischen Ausfall der Internetanwendung zulässig.
+
+2. Nicht meldepflichtig sind Datenanwendungen, die
+
+ 1. ausschließlich veröffentlichte Daten enthalten oder
+
+ 2. die Führung von Registern oder Verzeichnissen zum Inhalt haben,
+ die von Gesetzes wegen öffentlich einsehbar sind, sei es auch
+ nur bei Nachweis eines berechtigten Interesses oder
+
+ 3. nur indirekt personenbezogene Daten enthalten oder
+
+ 4. von natürlichen Personen ausschließlich für persönliche oder
+ familiäre Tätigkeiten vorgenommen werden (§ 45) oder
+
+ 5. für publizistische Tätigkeit gemäß § 48 vorgenommen werden oder
+
+ 6. einer Standardanwendung entsprechen: Der Bundeskanzler kann
+ durch Verordnung Typen von Datenanwendungen und Übermittlungen
+ aus diesen zu Standardanwendungen erklären, wenn sie von einer
+ großen Anzahl von Auftraggebern in gleichartiger Weise
+ vorgenommen werden und angesichts des Verwendungszwecks und der
+ verarbeiteten Datenarten die Gefährdung schutzwürdiger
+ Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist.
+ In der Verordnung sind für jede Standardanwendung die zulässigen
+ Datenarten, die Betroffenen- und Empfängerkreise und die
+ Höchstdauer der zulässigen Datenaufbewahrung festzulegen.
+
+3. Weiters sind Datenanwendungen für Zwecke
+
+ 1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
+ Österreich oder
+
+ 2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
+
+ 3. der Sicherstellung der Interessen der umfassenden
+ Landesverteidigung oder
+
+ 4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder
+ finanzieller Interessen der Republik Österreich oder der
+ Europäischen Union oder
+
+ 5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
+
+von der Meldepflicht ausgenommen, soweit dies zur Verwirklichung des
+Zweckes der Datenanwendung notwendig ist.
diff --git a/dsg2000/art02-par18.md b/dsg2000/art02-par18.md
index cf7d2ba..97474de 100644
--- a/dsg2000/art02-par18.md
+++ b/dsg2000/art02-par18.md
@@ -1,16 +1,29 @@
§18 - Aufnahme der Verarbeitung
===============================
-1. Der Vollbetrieb einer meldepflichtigen Datenanwendung darf – außer in den Fällen des Abs. 2 – unmittelbar nach Abgabe der Meldung aufgenommen werden.
+1. Der Vollbetrieb einer meldepflichtigen Datenanwendung darf – außer
+ in den Fällen des Abs. 2 – unmittelbar nach Abgabe der Meldung
+ aufgenommen werden.
-2. Meldepflichtige Datenanwendungen, die weder einer Musteranwendung nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften noch die Verwendung von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten Zwecke betreffen, dürfen, wenn sie
+2. Meldepflichtige Datenanwendungen, die weder einer Musteranwendung
+ nach § 19 Abs. 2 entsprechen, noch innere Angelegenheiten der
+ anerkannten Kirchen und Religionsgesellschaften noch die Verwendung
+ von Daten im Katastrophenfall für die in § 48a Abs. 1 genannten
+ Zwecke betreffen, dürfen, wenn sie
- 1. sensible Daten enthalten oder
+ 1. sensible Daten enthalten oder
- 2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten oder
+ 2. strafrechtlich relevante Daten im Sinne des § 8 Abs. 4 enthalten
+ oder
- 3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder
+ 3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen
+ zum Zweck haben oder
+
+ 4. in Form eines Informationsverbundsystems durchgeführt werden
+ sollen,
+
+ erst nach ihrer Prüfung (Vorabkontrolle) durch die
+ Datenschutzbehörde nach den näheren Bestimmungen des § 20
+ aufgenommen werden.
- 4. in Form eines Informationsverbundsystems durchgeführt werden sollen,
- erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzbehörde nach den näheren Bestimmungen des § 20 aufgenommen werden.
diff --git a/dsg2000/art02-par19.md b/dsg2000/art02-par19.md
index 14da67e..f946c29 100644
--- a/dsg2000/art02-par19.md
+++ b/dsg2000/art02-par19.md
@@ -1,32 +1,80 @@
§19 - Notwendiger Inhalt der Meldung
====================================
-1. Eine Meldung im Sinne des § 17 hat zu enthalten:
+1. Eine Meldung im Sinne des § 17 hat zu enthalten:
- 1. den Namen (die sonstige Bezeichnung) und die Anschrift des Auftraggebers sowie eines allfälligen Vertreters gemäß § 6 Abs. 3 oder eines Betreibers gemäß § 50 Abs. 1, weiters die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt wurde, und
+ 1. den Namen (die sonstige Bezeichnung) und die Anschrift des
+ Auftraggebers sowie eines allfälligen Vertreters gemäß § 6 Abs.
+ 3 oder eines Betreibers gemäß § 50 Abs. 1, weiters die
+ Registernummer des Auftraggebers, sofern ihm eine solche bereits
+ zugeteilt wurde, und
- 2. den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen Befugnis für die erlaubte Ausübung der Tätigkeit des Auftraggebers, soweit dies erforderlich ist, und
+ 2. den Nachweis der gesetzlichen Zuständigkeit oder der rechtlichen
+ Befugnis für die erlaubte Ausübung der Tätigkeit des
+ Auftraggebers, soweit dies erforderlich ist, und
- 3. den Zweck der zu registrierenden Datenanwendung und ihre Rechtsgrundlagen, soweit sich diese nicht bereits aus den Angaben nach Z 2 ergeben, und
+ 3. den Zweck der zu registrierenden Datenanwendung und ihre
+ Rechtsgrundlagen, soweit sich diese nicht bereits aus den
+ Angaben nach Z 2 ergeben, und
- a. die Erklärung, ob die Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz genannten Tatbestände für die Vorabkontrollpflicht erfüllt, und
+ a. die Erklärung, ob die Datenanwendung einen oder mehrere der
+ in § 18 Abs. 2 Z 1 bis 4 oder § 50c Abs. 1 zweiter Satz
+ genannten Tatbestände für die Vorabkontrollpflicht erfüllt,
+ und
- 4. die Kreise der von der Datenanwendung Betroffenen und die über sie verarbeiteten Datenarten und
+ 4. die Kreise der von der Datenanwendung Betroffenen und die über
+ sie verarbeiteten Datenarten und
- 5. die Kreise der von beabsichtigten Übermittlungen Betroffenen, die zu übermittelnden Datenarten und die zugehörigen Empfängerkreise – einschließlich allfälliger ausländischer Empfängerstaaten – sowie die Rechtsgrundlagen der Übermittlung und
+ 5. die Kreise der von beabsichtigten Übermittlungen Betroffenen,
+ die zu übermittelnden Datenarten und die zugehörigen
+ Empfängerkreise – einschließlich allfälliger ausländischer
+ Empfängerstaaten – sowie die Rechtsgrundlagen der Übermittlung
+ und
- 6. – soweit eine Genehmigung der Datenschutzbehörde notwendig ist – die Geschäftszahl der Genehmigung durch die Datenschutzbehörde sowie
+ 6. – soweit eine Genehmigung der Datenschutzbehörde notwendig ist –
+ die Geschäftszahl der Genehmigung durch die Datenschutzbehörde
+ sowie
- 7. allgemeine Angaben über die getroffenen Datensicherheitsmaßnahmen im Sinne des § 14, die eine vorläufige Beurteilung der Angemessenheit der Sicherheitsvorkehrungen erlauben.
+ 7. allgemeine Angaben über die getroffenen
+ Datensicherheitsmaßnahmen im Sinne des § 14, die eine vorläufige
+ Beurteilung der Angemessenheit der
+ Sicherheitsvorkehrungen erlauben.
-2. Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum Abschluss des Registrierungsverfahrens zusagen, dass er sich beim Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen unterwerfen oder die Datenanwendung nur befristet betreiben wird. Eine derartige Zusage wird für den Auftraggeber mit der Registrierung durch die Datenschutzbehörde rechtsverbindlich. Eine Registrierung darf nur erfolgen, wenn die zugesagte Auflage, Bedingung oder Befristung derart bestimmt ist, dass sie auch von der Datenschutzbehörde nach § 21 Abs. 2 ausgesprochen werden könnte.
+2. Der Auftrageber kann bei Einbringung der Meldung oder danach bis zum
+ Abschluss des Registrierungsverfahrens zusagen, dass er sich beim
+ Betrieb der Datenanwendung bestimmten Auflagen oder Bedingungen
+ unterwerfen oder die Datenanwendung nur befristet betreiben wird.
+ Eine derartige Zusage wird für den Auftraggeber mit der
+ Registrierung durch die Datenschutzbehörde rechtsverbindlich. Eine
+ Registrierung darf nur erfolgen, wenn die zugesagte Auflage,
+ Bedingung oder Befristung derart bestimmt ist, dass sie auch von der
+ Datenschutzbehörde nach § 21 Abs. 2 ausgesprochen werden könnte.
-3. Wenn eine größere Anzahl von Auftraggebern gleichartige Datenanwendungen vorzunehmen hat und die Voraussetzungen für die Erklärung zur Standardanwendung nicht vorliegen, kann der Bundeskanzler durch Verordnung Musteranwendungen festlegen. Meldungen über Datenanwendungen, die inhaltlich einer Musteranwendung entsprechen, müssen nur folgendes enthalten:
+3. Wenn eine größere Anzahl von Auftraggebern gleichartige
+ Datenanwendungen vorzunehmen hat und die Voraussetzungen für die
+ Erklärung zur Standardanwendung nicht vorliegen, kann der
+ Bundeskanzler durch Verordnung Musteranwendungen festlegen.
+ Meldungen über Datenanwendungen, die inhaltlich einer
+ Musteranwendung entsprechen, müssen nur folgendes enthalten:
- 1. die Bezeichnung der Datenanwendung gemäß der Musterverordnung und
+ 1. die Bezeichnung der Datenanwendung gemäß der Musterverordnung
+ und
- 2. die Bezeichnung und Anschrift des Auftraggebers sowie den Nachweis seiner gesetzlichen Zuständigkeit oder seiner rechtlichen Befugnis, soweit dies erforderlich ist, und
+ 2. die Bezeichnung und Anschrift des Auftraggebers sowie den
+ Nachweis seiner gesetzlichen Zuständigkeit oder seiner
+ rechtlichen Befugnis, soweit dies erforderlich ist, und
+
+ 3. die Registernummer des Auftraggebers, sofern ihm eine solche
+ bereits zugeteilt wurde.
+
+4. Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar
+ unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer
+ im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem
+ Bundesgesetz keine hinreichende Information darüber gewinnen können,
+ ob durch die Datenanwendung ihre schutzwürdigen
+ Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt
+ insbesondere auch dann vor, wenn der Inhalt einer gemeldeten
+ Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht
+ gedeckt ist.
- 3. die Registernummer des Auftraggebers, sofern ihm eine solche bereits zugeteilt wurde.
-4. Eine Meldung ist mangelhaft, wenn Angaben fehlen, offenbar unrichtig, unstimmig oder so unzureichend sind, daß Einsichtnehmer im Hinblick auf die Wahrnehmung ihrer Rechte nach diesem Bundesgesetz keine hinreichende Information darüber gewinnen können, ob durch die Datenanwendung ihre schutzwürdigen Geheimhaltungsinteressen verletzt sein könnten. Unstimmigkeit liegt insbesondere auch dann vor, wenn der Inhalt einer gemeldeten Datenanwendung durch die gemeldeten Rechtsgrundlagen nicht gedeckt ist.
diff --git a/dsg2000/art02-par20.md b/dsg2000/art02-par20.md
index ea1d95d..852cd46 100644
--- a/dsg2000/art02-par20.md
+++ b/dsg2000/art02-par20.md
@@ -1,18 +1,45 @@
§20 - Prüfungs- und Verbesserungsverfahren
==========================================
-1. Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind nur automationsunterstützt auf ihre Vollständigkeit und Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft, so ist sie sofort zu registrieren.
+1. Meldungen von Datenanwendungen, die nach Angabe des Auftraggebers
+ nicht einen der Tatbestände des § 18 Abs. 2 Z 1 bis 4 erfüllen, sind
+ nur automationsunterstützt auf ihre Vollständigkeit und
+ Plausibilität zu prüfen. Ist demnach die Meldung nicht fehlerhaft,
+ so ist sie sofort zu registrieren.
+
+2. Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung
+ festgestellt, so ist dem Auftraggeber die Möglichkeit zur
+ Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen,
+ dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung
+ erfolgt oder er auf der Einbringung der unverbesserten
+ Meldung besteht. Im letztgenannten Fall kann der Einbringer die
+ Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung
+ der Datenschutzbehörde übermitteln, welche die Meldung auf
+ Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat.
+
+3. Meldungen, die der Auftraggeber als vorabkontrollpflichtig
+ bezeichnet hat oder von diesem zulässigerweise nicht im Wege der
+ Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf
+ Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen.
+
+4. Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der
+ Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach
+ Einlangen der Meldung die Verbesserung unter Setzung einer
+ angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die
+ Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen.
+
+5. Wird dem Verbesserungsauftrag nicht entsprochen, ist die
+ Registrierung der Meldung durch eine schriftliche
+ Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen:
+
+ 1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt
+ wurde und
+
+ 2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei
+ der Datenschutzbehörde ein Antrag gestellt werden kann, über die
+ Ablehnung mit Bescheid abzusprechen.
+
+ Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht
+ zu berücksichtigen.
-2. Wird bei der automationsunterstützten Prüfung ein Fehler der Meldung festgestellt, so ist dem Auftraggeber die Möglichkeit zur Verbesserung einzuräumen. Gleichzeitig ist er darauf hinzuweisen, dass die Meldung als nicht eingebracht gilt, wenn keine Verbesserung erfolgt oder er auf der Einbringung der unverbesserten Meldung besteht. Im letztgenannten Fall kann der Einbringer die Meldung schriftlich unter Anschluss der ausgedruckten Fehlermeldung der Datenschutzbehörde übermitteln, welche die Meldung auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen hat.
-3. Meldungen, die der Auftraggeber als vorabkontrollpflichtig bezeichnet hat oder von diesem zulässigerweise nicht im Wege der Internetanwendung (§ 17 Abs. 1a) eingebracht wurden, sind auf Mangelhaftigkeit im Sinn des § 19 Abs. 4 zu prüfen.
-
-4. Ergibt die Prüfung nach § 19 Abs. 4 eine Mangelhaftigkeit der Meldung, so ist dem Auftraggeber innerhalb von zwei Monaten nach Einlangen der Meldung die Verbesserung unter Setzung einer angemessenen Frist aufzutragen. Im Verbesserungsauftrag ist auf die Rechtsfolgen einer Nichtbefolgung nach Abs. 5 hinzuweisen.
-
-5. Wird dem Verbesserungsauftrag nicht entsprochen, ist die Registrierung der Meldung durch eine schriftliche Mitteilung abzulehnen. In die Mitteilung sind aufzunehmen:
-
- 1. die Punkte, in denen der Verbesserungsauftrag nicht erfüllt wurde und
-
- 2. der Hinweis, dass innerhalb von zwei Wochen ab Zustellung bei der Datenschutzbehörde ein Antrag gestellt werden kann, über die Ablehnung mit Bescheid abzusprechen.
-
- Nach Absendung der Mitteilung erstattete Verbesserungen sind nicht zu berücksichtigen.
diff --git a/dsg2000/art02-par21.md b/dsg2000/art02-par21.md
index ae77a41..102eea5 100644
--- a/dsg2000/art02-par21.md
+++ b/dsg2000/art02-par21.md
@@ -1,22 +1,43 @@
§21 - Registrierung
===================
-1. Meldungen gemäß § 19 sind in das Datenverarbeitungsregister einzutragen, wenn
+1. Meldungen gemäß § 19 sind in das Datenverarbeitungsregister
+ einzutragen, wenn
- 1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat oder
+ 1. das Prüfungsverfahren nach § 20 Abs. 1 keinen Fehler ergeben hat
+ oder
- 2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine Mangelhaftigkeit der Meldung ergeben hat oder
+ 2. das Prüfungsverfahren nach § 20 Abs. 2 und 3 keine
+ Mangelhaftigkeit der Meldung ergeben hat oder
- 3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung bei der Datenschutzbehörde zwei Monate verstrichen sind, ohne dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde oder
+ 3. nach Einlangen einer auf Mangelhaftigkeit zu prüfenden Meldung
+ bei der Datenschutzbehörde zwei Monate verstrichen sind, ohne
+ dass ein Verbesserungsauftrag gemäß § 20 Abs. 4 erteilt wurde
+ oder
- 4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2 und 4) vorgenommen hat.
+ 4. der Auftraggeber die aufgetragenen Verbesserungen (§ 20 Abs. 2
+ und 4) vorgenommen hat.
- Die in der Meldung enthaltenen Angaben über Datensicherheitsmaßnahmen sind im Register nicht ersichtlich zu machen.
+ Die in der Meldung enthaltenen Angaben über
+ Datensicherheitsmaßnahmen sind im Register nicht ersichtlich
+ zu machen.
-2. Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen, können auf Grund der Ergebnisse des Prüfungsverfahrens dem Auftraggeber Auflagen, Bedingungen oder Befristungen für die Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit dies zur Wahrung der durch dieses Bundesgesetz geschützten Interessen der Betroffenen notwendig ist.
+2. Bei Datenanwendungen, die gemäß § 18 der Vorabkontrolle unterliegen,
+ können auf Grund der Ergebnisse des Prüfungsverfahrens dem
+ Auftraggeber Auflagen, Bedingungen oder Befristungen für die
+ Vornahme der Datenanwendung durch Bescheid erteilt werden, soweit
+ dies zur Wahrung der durch dieses Bundesgesetz geschützten
+ Interessen der Betroffenen notwendig ist.
-3. Der Auftraggeber ist von der Durchführung und vom Inhalt der Registrierung in geeigneter Weise zu verständigen.
+3. Der Auftraggeber ist von der Durchführung und vom Inhalt der
+ Registrierung in geeigneter Weise zu verständigen.
+
+4. Jedem Auftraggeber ist bei der erstmaligen Registrierung eine
+ Registernummer zuzuteilen.
+
+5. Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine
+ Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung
+ ein Vermerk aufzunehmen, dass der Meldungsinhalt nur
+ automationsunterstützt geprüft wurde.
-4. Jedem Auftraggeber ist bei der erstmaligen Registrierung eine Registernummer zuzuteilen.
-5. Hat die automationsunterstützte Prüfung nach § 20 Abs. 1 keine Fehlerhaftigkeit der Meldung ergeben, so ist in die Registrierung ein Vermerk aufzunehmen, dass der Meldungsinhalt nur automationsunterstützt geprüft wurde.
diff --git a/dsg2000/art02-par22.md b/dsg2000/art02-par22.md
index 14b518a..e0ab053 100644
--- a/dsg2000/art02-par22.md
+++ b/dsg2000/art02-par22.md
@@ -1,10 +1,35 @@
§22 - Richtigstellung des Registers und Rechtsnachfolge
=======================================================
-1. Streichungen aus dem Register und sonstige Änderungen des Registers sind auf Grund einer Änderungsmeldung des registrierten Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des § 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen sind für die Dauer von sieben Jahren ersichtlich zu machen.
+1. Streichungen aus dem Register und sonstige Änderungen des Registers
+ sind auf Grund einer Änderungsmeldung des registrierten
+ Auftraggebers oder von Amts wegen in den Fällen des Abs. 2, des §
+ 22a Abs. 2 und des § 30 Abs. 6a vorzunehmen. Derartige Änderungen
+ sind für die Dauer von sieben Jahren ersichtlich zu machen.
-2. Gelangen der Datenschutzbehörde aus amtlichen Verlautbarungen Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers zur Kenntnis, so sind die Eintragungen von Amts wegen zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts wegen aus dem Register zu streichen. Außerdem ist eine registrierte Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§ 19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzbehörde zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr betrieben wird.
+2. Gelangen der Datenschutzbehörde aus amtlichen Verlautbarungen
+ Änderungen in der Bezeichnung oder der Anschrift des Auftraggebers
+ zur Kenntnis, so sind die Eintragungen von Amts wegen
+ zu berichtigen. Ergibt sich aus einer amtlichen Verlautbarung der
+ Wegfall der Rechtsgrundlage des Auftraggebers, ist dieser von Amts
+ wegen aus dem Register zu streichen. Außerdem ist eine registrierte
+ Datenanwendung zu streichen, wenn eine Befristung des Betriebes (§
+ 19 Abs. 2, § 21 Abs. 2) abgelaufen ist oder der Datenschutzbehörde
+ zur Kenntnis gelangt, dass die Datenanwendung dauerhaft nicht mehr
+ betrieben wird.
+
+3. Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres
+ Ermittlungsverfahren durch Mandatsbescheid (§ 57 des Allgemeinen
+ Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51/1991)
+ zu verfügen.
+
+4. Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne
+ oder alle registrierten Meldungen des Rechtsvorgängers übernehmen,
+ wenn er innerhalb von sechs Monaten nach Wirksamkeit der
+ Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung
+ gegenüber der Datenschutzbehörde abgibt. Dem Rechtsnachfolger kann
+ auf Antrag auch die Registernummer des Rechtsvorgängers übertragen
+ werden, wenn der Rechtsvorgänger jegliche Verarbeitung
+ personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.
-3. Berichtigungen oder Streichungen nach Abs. 2 sind ohne weiteres Ermittlungsverfahren durch Mandatsbescheid (§ 57 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51/1991) zu verfügen.
-4. Der Rechtsnachfolger eines registrierten Auftraggebers kann einzelne oder alle registrierten Meldungen des Rechtsvorgängers übernehmen, wenn er innerhalb von sechs Monaten nach Wirksamkeit der Rechtsnachfolge eine entsprechend glaubhaft gemachte Erklärung gegenüber der Datenschutzbehörde abgibt. Dem Rechtsnachfolger kann auf Antrag auch die Registernummer des Rechtsvorgängers übertragen werden, wenn der Rechtsvorgänger jegliche Verarbeitung personenbezogener Daten in Auftraggebereigenschaft eingestellt hat.
diff --git a/dsg2000/art02-par22a.md b/dsg2000/art02-par22a.md
index 6ba01cf..a50333a 100644
--- a/dsg2000/art02-par22a.md
+++ b/dsg2000/art02-par22a.md
@@ -1,14 +1,47 @@
§22a - Verfahren zur Überprüfung der Erfüllung der Meldepflicht
===============================================================
-1. Die Datenschutzbehörde kann jederzeit die Erfüllung der Meldepflicht durch einen Auftraggeber prüfen. Dies gilt sowohl für die Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4 als auch für die rechtswidrige Unterlassung von Meldungen.
+1. Die Datenschutzbehörde kann jederzeit die Erfüllung der Meldepflicht
+ durch einen Auftraggeber prüfen. Dies gilt sowohl für die
+ Mangelhaftigkeit einer registrierten Meldung im Sinn des § 19 Abs. 4
+ als auch für die rechtswidrige Unterlassung von Meldungen.
-2. Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2 hinausgeht, ist ein Verfahren zur Berichtigung des Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter Frist zuzustellen ist.
+2. Bei Vorliegen des Verdachtes der Nichterfüllung der Meldepflicht
+ infolge Mangelhaftigkeit einer registrierten Meldung (Abs. 1) oder
+ Unterlassung der Meldung, die über die Fälle des § 22 Abs. 2
+ hinausgeht, ist ein Verfahren zur Berichtigung des
+ Datenverarbeitungsregisters durchzuführen. Das Verfahren wird durch
+ begründete Verfahrensanordnung eingeleitet, die dem meldepflichtigen
+ Auftraggeber mit einem Auftrag zur Verbesserung (§ 20 Abs. 4) oder
+ einer Aufforderung zur Nachmeldung (§ 17 Abs. 1) innerhalb gesetzter
+ Frist zuzustellen ist.
-3. Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag nicht entsprochen, so ist die Streichung der Meldung mit Bescheid der Datenschutzbehörde zu verfügen. Die Streichung kann sich, wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend ist, auch nur auf Teile der Meldung beschränken.
+3. Wird einem im Verfahren nach Abs. 2 erteilten Verbesserungsauftrag
+ nicht entsprochen, so ist die Streichung der Meldung mit Bescheid
+ der Datenschutzbehörde zu verfügen. Die Streichung kann sich, wenn
+ dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung
+ sinnvoll und zur Herstellung des rechtmäßigen Zustandes ausreichend
+ ist, auch nur auf Teile der Meldung beschränken.
-4. Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur Nachmeldung nicht entsprochen und die Unterlassung einer Meldung entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der Datenschutzbehörde der weitere Betrieb der Datenanwendung, soweit er vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten.
+4. Wird einer im Verfahren nach Abs. 2 erteilten Aufforderung zur
+ Nachmeldung nicht entsprochen und die Unterlassung einer Meldung
+ entgegen § 17 Abs. 1 erwiesen, so ist mit Bescheid der
+ Datenschutzbehörde der weitere Betrieb der Datenanwendung, soweit er
+ vom Registerstand abweicht, zu untersagen und gleichzeitig Anzeige
+ nach § 52 Abs. 2 Z 1 an die zuständige Behörde zu erstatten.
+
+5. Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder
+ die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten
+ Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen
+ und gleichzeitig eine angemessene Frist zur Herstellung
+ ausreichender Datensicherheit zu setzen. Der Auftraggeber hat
+ innerhalb dieser Frist der Datenschutzbehörde die getroffenen
+ Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die
+ Streichung der Datenanwendung zu verfügen.
+
+6. Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs.
+ 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis
+ zur Einstellung oder bis zur Herstellung eines rechtmäßigen
+ Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.
-5. Ergibt das Verfahren nach Abs. 2 alleine die Unangemessenheit oder die Nichteinhaltung von nach § 19 Abs. 1 Z 7 erklärten Datensicherheitsmaßnahmen, so ist dies mit Bescheid festzustellen und gleichzeitig eine angemessene Frist zur Herstellung ausreichender Datensicherheit zu setzen. Der Auftraggeber hat innerhalb dieser Frist der Datenschutzbehörde die getroffenen Maßnahmen mitzuteilen. Sind diese nicht ausreichend, so ist die Streichung der Datenanwendung zu verfügen.
-6. Die Einleitung und der Stand eines Berichtigungsverfahrens nach Abs. 2 ist bei registrierten Meldungen im Datenverarbeitungsregister bis zur Einstellung oder bis zur Herstellung eines rechtmäßigen Zustandes durch Maßnahmen nach den Abs. 3 bis 6 geeignet anzumerken.
diff --git a/dsg2000/art02-par23.md b/dsg2000/art02-par23.md
index 02d7277..74d4682 100644
--- a/dsg2000/art02-par23.md
+++ b/dsg2000/art02-par23.md
@@ -1,6 +1,10 @@
§23 - Pflicht zur Offenlegung nicht-meldepflichtiger Datenanwendungen
=====================================================================
-1. Auftraggeber einer Standardanwendung haben jedermann auf Anfrage mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.
+1. Auftraggeber einer Standardanwendung haben jedermann auf Anfrage
+ mitzuteilen, welche Standardanwendungen sie tatsächlich vornehmen.
+
+2. Nicht-meldepflichtige Datenanwendungen sind der Datenschutzbehörde
+ bei Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen.
+
-2. Nicht-meldepflichtige Datenanwendungen sind der Datenschutzbehörde bei Ausübung ihrer Kontrollaufgaben gemäß § 30 offenzulegen.
diff --git a/dsg2000/art02-par24.md b/dsg2000/art02-par24.md
index 0176e5e..b715396 100644
--- a/dsg2000/art02-par24.md
+++ b/dsg2000/art02-par24.md
@@ -1,30 +1,66 @@
§24 - Informationspflicht des Auftraggebers
===========================================
-1. Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter Weise
+1. Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung
+ von Daten die Betroffenen in geeigneter Weise
- 1. über den Zweck der Datenanwendung, für die die Daten ermittelt werden, und
+ 1. über den Zweck der Datenanwendung, für die die Daten ermittelt
+ werden, und
- 2. über Namen und Adresse des Auftraggebers,
+ 2. über Namen und Adresse des Auftraggebers,
- zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen.
+ zu informieren, sofern diese Informationen dem Betroffenen nach den
+ Umständen des Falles nicht bereits vorliegen.
-2. Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn
+2. Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu
+ geben, wenn dies für eine Verarbeitung nach Treu und Glauben
+ erforderlich ist; dies gilt insbesondere dann, wenn
- 1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht oder
+ 1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von
+ Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht
+ oder
- 2. es für den Betroffenen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist, oder
+ 2. es für den Betroffenen nach den Umständen des Falles nicht klar
+ erkennbar ist, ob er zur Beantwortung der an ihn gestellten
+ Fragen rechtlich verpflichtet ist, oder
- 3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne daß dies gesetzlich vorgesehen ist.
+ 3. Daten in einem Informationsverbundsystem verarbeitet werden
+ sollen, ohne daß dies gesetzlich vorgesehen ist.
- a. Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert.
+ a. Wird dem Auftraggeber bekannt, dass Daten aus einer seiner
+ Datenanwendungen systematisch und schwerwiegend unrechtmäßig
+ verwendet wurden und den Betroffenen Schaden droht, hat er
+ darüber unverzüglich die Betroffenen in geeigneter Form
+ zu informieren. Diese Verpflichtung besteht nicht, wenn die
+ Information angesichts der Drohung eines nur geringfügigen
+ Schadens der Betroffenen einerseits oder der Kosten der
+ Information aller Betroffenen andererseits einen
+ unverhältnismäßigen Aufwand erfordert.
-3. Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1 entfallen, wenn
+3. Werden Daten nicht durch Befragung des Betroffenen, sondern durch
+ Übermittlung von Daten aus anderen Aufgabengebieten desselben
+ Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt,
+ darf die Information gemäß Abs. 1 entfallen, wenn
- 1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder
+ 1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist
+ oder
- 2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen unmöglich ist oder
+ 2. die Information im Hinblick auf die mangelnde Erreichbarkeit von
+ Betroffenen unmöglich ist oder
+
+ 3. wenn sie angesichts der Unwahrscheinlichkeit einer
+ Beeinträchtigung der Betroffenenrechte einerseits und der Kosten
+ der Information aller Betroffenen andererseits einen
+ unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere
+ dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung
+ oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47
+ ermittelt werden und die Information des Betroffenen in diesen
+ Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der
+ Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in
+ welchen die Pflicht zur Information entfällt.
+
+4. Keine Informationspflicht nach Abs. 1 besteht bei jenen
+ Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht
+ meldepflichtig sind.
- 3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträchtigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt.
-4. Keine Informationspflicht nach Abs. 1 besteht bei jenen Datenanwendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.
diff --git a/dsg2000/art02-par25.md b/dsg2000/art02-par25.md
index 0dee08f..8fdf163 100644
--- a/dsg2000/art02-par25.md
+++ b/dsg2000/art02-par25.md
@@ -1,6 +1,22 @@
§25 - Pflicht zur Offenlegung der Identität des Auftraggebers
=============================================================
-1. Bei Übermittlungen und bei Mitteilungen an Betroffene hat der Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene die Registernummer des Auftraggebers anzuführen.
+1. Bei Übermittlungen und bei Mitteilungen an Betroffene hat der
+ Auftraggeber seine Identität in geeigneter Weise offenzulegen, sodaß
+ den Betroffenen die Verfolgung ihrer Rechte möglich ist. Bei
+ meldepflichtigen Datenanwendungen ist in Mitteilungen an Betroffene
+ die Registernummer des Auftraggebers anzuführen.
+
+2. Werden Daten aus einer Datenanwendung für Zwecke einer vom
+ Auftraggeber verschiedenen Person verwendet, ohne daß diese
+ ihrerseits ein Verfügungsrecht über die verwendeten Daten und damit
+ die Eigenschaft eines Auftraggebers in Bezug auf die Daten erlangt,
+ dann ist bei Mitteilungen an den Betroffenen neben der Identität der
+ Person, für deren Zwecke die Daten verwendet werden, auch die
+ Identität des Auftraggebers anzugeben, aus dessen Datenanwendung die
+ Daten stammen. Handelt es sich hiebei um eine meldepflichtige
+ Datenanwendung, ist die Registernummer des Auftraggebers beizufügen.
+ Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen, in
+ dessen Namen die Mitteilung an den Betroffenen erfolgt.
+
-2. Werden Daten aus einer Datenanwendung für Zwecke einer vom Auftraggeber verschiedenen Person verwendet, ohne daß diese ihrerseits ein Verfügungsrecht über die verwendeten Daten und damit die Eigenschaft eines Auftraggebers in Bezug auf die Daten erlangt, dann ist bei Mitteilungen an den Betroffenen neben der Identität der Person, für deren Zwecke die Daten verwendet werden, auch die Identität des Auftraggebers anzugeben, aus dessen Datenanwendung die Daten stammen. Handelt es sich hiebei um eine meldepflichtige Datenanwendung, ist die Registernummer des Auftraggebers beizufügen. Diese Pflicht trifft sowohl den Auftraggeber als auch denjenigen, in dessen Namen die Mitteilung an den Betroffenen erfolgt.
diff --git a/dsg2000/art02-par26.md b/dsg2000/art02-par26.md
index b96fd6d..b168351 100644
--- a/dsg2000/art02-par26.md
+++ b/dsg2000/art02-par26.md
@@ -1,36 +1,133 @@
§26 - Auskunftsrecht
====================
-1. Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die dies schriftlich verlangt und ihre Identität in geeigneter Form nachweist, Auskunft über die zu dieser Person oder Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechtsgrundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und Adressen von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe dieses Umstandes (Negativauskunft). Mit Zustimmung des Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.
+1. Ein Auftraggeber hat jeder Person oder Personengemeinschaft, die
+ dies schriftlich verlangt und ihre Identität in geeigneter Form
+ nachweist, Auskunft über die zu dieser Person oder
+ Personengemeinschaft verarbeiteten Daten zu geben. Mit Zustimmung
+ des Auftraggebers kann das Auskunftsbegehren auch mündlich
+ gestellt werden. Die Auskunft hat die verarbeiteten Daten, die
+ Informationen über ihre Herkunft, allfällige Empfänger oder
+ Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung
+ sowie die Rechtsgrundlagen hiefür in allgemein verständlicher
+ Form anzuführen. Auf Verlangen eines Betroffenen sind auch Namen und
+ Adressen von Dienstleistern bekannt zu geben, falls sie mit der
+ Verarbeitung seiner Daten beauftragt sind. Wenn zur Person des
+ Auskunftswerbers keine Daten vorhanden sind, genügt die Bekanntgabe
+ dieses Umstandes (Negativauskunft). Mit Zustimmung des
+ Auskunftswerbers kann anstelle der schriftlichen Auskunft auch eine
+ mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der
+ Abschrift oder Ablichtung gegeben werden.
+
+2. Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des
+ Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit
+ überwiegende berechtigte Interessen des Auftraggebers oder eines
+ Dritten, insbesondere auch überwiegende öffentliche Interessen, der
+ Auskunftserteilung entgegenstehen. Überwiegende öffentliche
+ Interessen können sich hiebei aus der Notwendigkeit
+
+ 1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik
+ Österreich oder
+
+ 2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
+
+ 3. der Sicherung der Interessen der umfassenden Landesverteidigung
+ oder
+
+ 4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder
+ finanzieller Interessen der Republik Österreich oder der
+ Europäischen Union oder
+
+ 5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
+
+ ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen
+ der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde
+ nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der
+ Datenschutzbehörde gemäß § 31 Abs. 4.
+
+3. Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem
+ ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und
+ unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
+
+4. Innerhalb von acht Wochen nach Einlangen des Begehrens ist die
+ Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht
+ oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft
+ kann auch deshalb abgesehen werden, weil der Auskunftswerber am
+ Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den
+ Kostenersatz nicht geleistet hat.
+
+5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der
+ in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit
+ dies zum Schutz jener öffentlichen Interessen notwendig ist, die
+ eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:
+
+ Es ist in allen Fällen, in welchen keine Auskunft erteilt wird –
+ also auch weil tatsächlich keine Daten verwendet werden –, anstelle
+ einer inhaltlichen Begründung der Hinweis zu geben, daß keine der
+ Auskunftspflicht unterliegenden Daten über den Auskunftswerber
+ verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt
+ der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem
+ besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach §
+ 31 Abs. 4.
+
+6. Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen
+ Datenbestand einer Datenanwendung betrifft und wenn der
+ Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den
+ Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen
+ anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro
+ verlangt werden, von dem wegen tatsächlich erwachsender höherer
+ Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist
+ ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten,
+ wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft
+ sonst zu einer Richtigstellung geführt hat.
+
+7. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der
+ Auftraggeber Daten über den Auskunftswerber innerhalb eines
+ Zeitraums von vier Monaten und im Falle der Erhebung einer
+ Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum
+ rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese
+ Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers
+ nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.
+
+8. In dem Umfang, in dem eine Datenanwendung für eine Person oder
+ Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von
+ Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach
+ Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das
+ Verfahren der Einsichtnahme (einschließlich deren Verweigerung)
+ gelten die näheren Regelungen des Gesetzes, das das
+ Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer
+ Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch
+ nach diesem Bundesgesetz geltend gemacht werden.
+
+9. Für Auskünfte aus dem Strafregister gelten die besonderen
+ Bestimmungen des Strafregistergesetzes 1968
+ über Strafregisterbescheinigungen.
+
+10. Ergibt sich eine Auftraggeberstellung auf Grund von
+ Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der
+ Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter
+ Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch
+ an denjenigen richten, der die Herstellung des Werkes
+ aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies
+ nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen
+ und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der
+ Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen
+ geltend machen kann. Wird ein Auskunftsbegehren an einen
+ Dienstleister gerichtet und lässt dieses erkennen, dass der
+ Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm
+ betriebenen Datenanwendung hält, hat der Dienstleister das
+ Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten
+ und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine
+ Daten verwendet werden. Der Auftraggeber hat innerhalb von acht
+ Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem
+ Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen,
+ warum sie nicht oder nicht vollständig erteilt wird. In jenen
+ Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1
+ bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum
+ Schutz jener öffentlichen Interessen notwendig ist, von einer
+ Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das
+ Ersuchen direkt an den Auftraggeber gestellt, so hat dieser
+ nach Abs. 5 vorzugehen. Für Betreiber von
+ Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.
-2. Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Auskunftswerbers aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Interessen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit
- 1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder
-
- 2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder
-
- 3. der Sicherung der Interessen der umfassenden Landesverteidigung oder
-
- 4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder
-
- 5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten
-
- ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde gemäß § 31 Abs. 4.
-
-3. Der Auskunftswerber hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerechtfertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.
-
-4. Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Auskunftswerber am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.
-
-5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:
-
- Es ist in allen Fällen, in welchen keine Auskunft erteilt wird – also auch weil tatsächlich keine Daten verwendet werden –, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Auskunftswerber verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach § 31 Abs. 4.
-
-6. Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Auskunftswerber im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.
-
-7. Ab dem Zeitpunkt der Kenntnis von einem Auskunftsverlangen darf der Auftraggeber Daten über den Auskunftswerber innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzbehörde bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten. Diese Frist gilt nicht, wenn einem Löschungsantrag des Auskunftswerbers nach § 27 Abs. 1 Z 2 oder § 28 zu entsprechen ist.
-
-8. In dem Umfang, in dem eine Datenanwendung für eine Person oder Personengemeinschaft hinsichtlich der zu ihr verarbeiteten Daten von Gesetzes wegen einsehbar ist, hat diese das Recht auf Auskunft nach Maßgabe der das Einsichtsrecht vorsehenden Bestimmungen. Für das Verfahren der Einsichtnahme (einschließlich deren Verweigerung) gelten die näheren Regelungen des Gesetzes, das das Einsichtsrecht vorsieht. In Abs. 1 genannte Bestandteile einer Auskunft, die vom Einsichtsrecht nicht umfasst sind, können dennoch nach diesem Bundesgesetz geltend gemacht werden.
-
-9. Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen des Strafregistergesetzes 1968 über Strafregisterbescheinigungen.
-
-10. Ergibt sich eine Auftraggeberstellung auf Grund von Rechtsvorschriften, obwohl die Datenverarbeitung für Zwecke der Auftragserfüllung für einen Dritten erfolgt (§ 4 Abs. 1 Z 4 letzter Satz), kann der Auskunftswerber sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Auskunftswerber, soweit ihm dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des tatsächlichen Auftraggebers mitzuteilen, damit der Auskunftswerber sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann. Wird ein Auskunftsbegehren an einen Dienstleister gerichtet und lässt dieses erkennen, dass der Auskunftswerber ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Dienstleister das Auskunftsbegehren unverzüglich an den Auftraggeber weiterzuleiten und dem Auskunftswerber mitzuteilen, dass in seinem Auftrag keine Daten verwendet werden. Der Auftraggeber hat innerhalb von acht Wochen ab Einlangen des Auskunftsbegehrens beim Dienstleister dem Auskunftswerber Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, von einer Auskunftserteilung abzusehen. Wird jedoch in weiterer Folge das Ersuchen direkt an den Auftraggeber gestellt, so hat dieser nach Abs. 5 vorzugehen. Für Betreiber von Informationsverbundsystemen gilt jedoch ausschließlich § 50 Abs. 1.
diff --git a/dsg2000/art02-par27.md b/dsg2000/art02-par27.md
index c45e33d..cb60175 100644
--- a/dsg2000/art02-par27.md
+++ b/dsg2000/art02-par27.md
@@ -1,32 +1,95 @@
§27 - Recht auf Richtigstellung oder Löschung
=============================================
-1. Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar
+1. Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen
+ dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu
+ löschen, und zwar
- 1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
+ 1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die
+ Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder
- 2. auf begründeten Antrag des Betroffenen.
+ 2. auf begründeten Antrag des Betroffenen.
- Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.
+ Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche
+ Daten, deren Richtigkeit für den Zweck der Datenanwendung von
+ Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur
+ dann einen Berichtigungsanspruch, wenn sich aus der
+ Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die
+ Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den
+ Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als
+ unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß
+ ihre Archivierung rechtlich zulässig ist und daß der Zugang zu
+ diesen Daten besonders geschützt ist. Die Weiterverwendung von Daten
+ für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der
+ Daten für diesen Zweck zulässig ist; die Zulässigkeit der
+ Weiterverwendung für wissenschaftliche oder statistische Zwecke
+ ergibt sich aus den §§ 46 und 47.
-2. Der Beweis der Richtigkeit der Daten obliegt – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist – dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.
+2. Der Beweis der Richtigkeit der Daten obliegt – sofern gesetzlich
+ nicht ausdrücklich anderes angeordnet ist – dem Auftraggeber, soweit
+ die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen
+ ermittelt wurden.
-3. Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Datenanwendung nachträgliche Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
+3. Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen,
+ soweit der Dokumentationszweck einer Datenanwendung nachträgliche
+ Änderungen nicht zuläßt. Die erforderlichen Richtigstellungen sind
+ diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.
-4. Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.
+4. Innerhalb von acht Wochen nach Einlangen eines Antrags auf
+ Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem
+ Betroffenen davon Mitteilung zu machen oder schriftlich zu
+ begründen, warum die verlangte Löschung oder Richtigstellung nicht
+ vorgenommen wird.
-5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzbehörde nach § 31 Abs. 4.
+5. In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in §
+ 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit
+ dies zum Schutz jener öffentlichen Interessen notwendig ist, die
+ eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder
+ Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung
+ oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen
+ nach Auffassung des Auftraggebers berechtigt ist. Die gemäß Abs. 4
+ erforderliche Mitteilung an den Betroffenen hat in allen Fällen
+ dahingehend zu lauten, daß die Überprüfung der Datenbestände des
+ Auftraggebers im Hinblick auf das Richtigstellungs- oder
+ Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser
+ Vorgangsweise unterliegt der Kontrolle durch die Datenschutzbehörde
+ nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der
+ Datenschutzbehörde nach § 31 Abs. 4.
-6. Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.
+6. Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich
+ automationsunterstützt lesbaren Datenträgern aus Gründen der
+ Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden
+ kann, sind bis dahin die zu löschenden Daten für den Zugriff zu
+ sperren und die zu berichtigenden Daten mit einer berichtigenden
+ Anmerkung zu versehen.
-7. Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden.
+7. Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet,
+ und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit
+ feststellen, so ist auf Verlangen des Betroffenen ein Vermerk über
+ die Bestreitung beizufügen. Der Bestreitungsvermerk darf nur mit
+ Zustimmung des Betroffenen oder auf Grund einer Entscheidung des
+ zuständigen Gerichtes oder der Datenschutzbehörde gelöscht werden.
-8. Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung übermittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.
+8. Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor
+ der Richtigstellung oder Löschung übermittelt, so hat der
+ Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise
+ zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand,
+ insbesondere im Hinblick auf das Vorhandensein eines berechtigten
+ Interesses an der Verständigung, bedeutet und die Empfänger noch
+ feststellbar sind.
-9. Die Regelungen der Abs. 1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffentliche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für
+9. Die Regelungen der Abs. 1 bis 8 gelten für das gemäß
+ Strafregistergesetz 1968 geführte Strafregister sowie für
+ öffentliche Bücher und Register, die von Auftraggebern des
+ öffentlichen Bereichs geführt werden, nur insoweit als für
- 1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder
+ 1. die Verpflichtung zur Richtigstellung und Löschung von Amts
+ wegen oder
+
+ 2. das Verfahren der Durchsetzung und die Zuständigkeit zur
+ Entscheidung über Berichtigungs- und Löschungsanträge von
+ Betroffenen
+
+ durch Bundesgesetz nicht anderes bestimmt ist.
- 2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung über Berichtigungs- und Löschungsanträge von Betroffenen
- durch Bundesgesetz nicht anderes bestimmt ist.
diff --git a/dsg2000/art02-par28.md b/dsg2000/art02-par28.md
index 9b53ff0..e9afb0f 100644
--- a/dsg2000/art02-par28.md
+++ b/dsg2000/art02-par28.md
@@ -1,8 +1,17 @@
§28 - Widerspruchsrecht
=======================
-1. Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen, die sich aus seiner besonderen Situation ergeben, beim Auftraggeber der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen acht Wochen aus seiner Datenanwendung zu löschen und allfällige Übermittlungen zu unterlassen.
+1. Sofern die Verwendung von Daten nicht gesetzlich vorgesehen ist, hat
+ jeder Betroffene das Recht, gegen die Verwendung seiner Daten wegen
+ Verletzung überwiegender schutzwürdiger Geheimhaltungsinteressen,
+ die sich aus seiner besonderen Situation ergeben, beim Auftraggeber
+ der Datenanwendung Widerspruch zu erheben. Der Auftraggeber hat bei
+ Vorliegen dieser Voraussetzungen die Daten des Betroffenen binnen
+ acht Wochen aus seiner Datenanwendung zu löschen und allfällige
+ Übermittlungen zu unterlassen.
+
+2. *(Anm.: Abs. 2 aufgehoben durch VfGH, BGBl. I Nr. 132/2015)*
+
+3. § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.
-2. *(Anm.: Abs. 2 aufgehoben durch VfGH, BGBl. I Nr. 132/2015)*
-3. § 27 Abs. 4 bis 6 gelten auch in den Fällen der Abs. 1 und 2.
diff --git a/dsg2000/art02-par29.md b/dsg2000/art02-par29.md
index 6b6969c..3afef94 100644
--- a/dsg2000/art02-par29.md
+++ b/dsg2000/art02-par29.md
@@ -1,4 +1,5 @@
§29 - Die Rechte des Betroffenen bei der Verwendung nur indirekt personenbezogener Daten
========================================================================================
-Die durch die §§ 26 bis 28 gewährten Rechte können nicht geltend gemacht werden, soweit nur indirekt personenbezogene Daten verwendet werden.
+Die durch die §§ 26 bis 28 gewährten Rechte können nicht geltend gemacht
+werden, soweit nur indirekt personenbezogene Daten verwendet werden.
diff --git a/dsg2000/art02-par30.md b/dsg2000/art02-par30.md
index 9af04f6..8aee0ea 100644
--- a/dsg2000/art02-par30.md
+++ b/dsg2000/art02-par30.md
@@ -1,26 +1,103 @@
§30 - Kontrollbefugnisse der Datenschutzbehörde
===============================================
-1. Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzbehörde wenden.
+1. Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte
+ oder ihn betreffender Pflichten eines Auftraggebers oder
+ Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die
+ Datenschutzbehörde wenden.
-2. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenanwendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.
+2. Die Datenschutzbehörde kann im Fall eines begründeten Verdachtes auf
+ Verletzung der im Abs. 1 genannten Rechte und Pflichten
+ Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder
+ Dienstleister der überprüften Datenanwendung insbesondere alle
+ notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen
+ und diesbezügliche Unterlagen begehren.
- a. Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein begründeter Verdacht nach Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.
+ a. Sofern sich eine zulässige Eingabe nach Abs. 1 oder ein
+ begründeter Verdacht nach Abs. 2 auf eine meldepflichtige
+ Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die
+ Erfüllung der Meldepflicht überprüfen und erforderlichenfalls
+ nach den §§ 22 und 22a vorgehen.
-3. Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftraggeber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.
+3. Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2
+ unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf
+ rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für
+ jene Bereiche der Vollziehung, in welchen ein Auftraggeber des
+ öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§
+ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.
-4. Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Auftraggebers (Dienstleisters) und Dritter auszuüben.
+4. Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung
+ des Inhabers der Räumlichkeiten und des
+ Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen
+ Datenanwendungen vorgenommen werden, zu betreten,
+ Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden
+ Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem
+ für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen
+ Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für
+ die Einschau notwendige Unterstützung zu leisten. Die
+ Kontrolltätigkeit ist unter möglichster Schonung der Rechte des
+ Auftraggebers (Dienstleisters) und Dritter auszuüben.
-5. Informationen, die der Datenschutzbehörde oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Dazu zählt auch die Verwendung für Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter oder die Datenschutzbehörde nach § 32. Im Übrigen besteht die Pflicht zur Verschwiegenheit auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes, einer strafbaren Handlung nach den §§ 118a, 119, 119a, 126a bis 126c, 148a oder § 278a des Strafgesetzbuches, BGBl. Nr. 60/1974, oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76 der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.
+5. Informationen, die der Datenschutzbehörde oder ihren Beauftragten
+ bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die
+ Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher
+ Vorschriften verwendet werden. Dazu zählt auch die Verwendung für
+ Zwecke der gerichtlichen Rechtsverfolgung durch den Einschreiter
+ oder die Datenschutzbehörde nach § 32. Im Übrigen besteht die
+ Pflicht zur Verschwiegenheit auch gegenüber Gerichten und
+ Verwaltungsbehörden, insbesondere Abgabenbehörden; dies allerdings
+ mit der Maßgabe, dass dann, wenn die Einschau den Verdacht einer
+ strafbaren Handlung nach den §§ 51 oder 52 dieses Bundesgesetzes,
+ einer strafbaren Handlung nach den §§ 118a, 119, 119a, 126a bis
+ 126c, 148a oder § 278a des Strafgesetzbuches, BGBl. Nr. 60/1974,
+ oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß
+ fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und
+ hinsichtlich solcher Verbrechen und Vergehen auch Ersuchen nach § 76
+ der Strafprozessordnung, BGBl. Nr. 631/1975, zu entsprechen ist.
-6. Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzbehörde, sofern nicht Maßnahmen nach den §§ 22 und 22a oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der Art des Verstoßes von Amts wegen insbesondere
+6. Zur Herstellung des rechtmäßigen Zustandes kann die
+ Datenschutzbehörde, sofern nicht Maßnahmen nach den §§ 22 und 22a
+ oder nach Abs. 6a zu treffen sind, Empfehlungen aussprechen, für
+ deren Befolgung erforderlichenfalls eine angemessene Frist zu
+ setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten
+ Frist nicht entsprochen, so kann die Datenschutzbehörde je nach der
+ Art des Verstoßes von Amts wegen insbesondere
- 1. Strafanzeige nach §§ 51 oder 52 erstatten, oder
+ 1. Strafanzeige nach §§ 51 oder 52 erstatten, oder
- 2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder
+ 2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten
+ Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5
+ erheben, oder
- 3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzbehörde entsprochen wird, oder der Datenschutzbehörde mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzbehörde der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.
+ 3. bei Verstößen von Auftraggebern, die Organe einer
+ Gebietskörperschaft sind, das zuständige oberste Organ befassen.
+ Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf
+ Wochen nicht überschreitenden Frist entweder dafür Sorge zu
+ tragen, dass der Empfehlung der Datenschutzbehörde entsprochen
+ wird, oder der Datenschutzbehörde mitzuteilen, warum der
+ Empfehlung nicht entsprochen wurde. Die Begründung darf von der
+ Datenschutzbehörde der Öffentlichkeit in geeigneter Weise zur
+ Kenntnis gebracht werden, soweit dem nicht die
+ Amtsverschwiegenheit entgegensteht.
+
+ a. Liegt durch den Betrieb einer Datenanwendung eine
+ wesentliche unmittelbare Gefährdung schutzwürdiger
+ Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug)
+ vor, so kann die Datenschutzbehörde die Weiterführung der
+ Datenanwendung mit Bescheid gemäß § 57 Abs. 1 des
+ Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl.
+ Nr. 51, untersagen. Wenn dies technisch möglich, im Hinblick
+ auf den Zweck der Datenanwendung sinnvoll und zur
+ Beseitigung der Gefährdung ausreichend scheint, kann die
+ Weiterführung auch nur teilweise untersagt werden. Wird
+ einer Untersagung nicht sogleich Folge geleistet, ist
+ Strafanzeige nach § 52 Abs. 1 Z 3 zu erstatten. Nach
+ Rechtskraft einer Untersagung nach diesem Absatz ist ein
+ Berichtigungsverfahren nach § 22a Abs. 2
+ formlos einzustellen. Die Datenanwendung ist im Umfang der
+ Untersagung aus dem Register zu streichen.
+
+7. Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe
+ verfahren wurde.
- a. Liegt durch den Betrieb einer Datenanwendung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der Betroffenen (Gefahr im Verzug) vor, so kann die Datenschutzbehörde die Weiterführung der Datenanwendung mit Bescheid gemäß § 57 Abs. 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 – AVG, BGBl. Nr. 51, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenanwendung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Wird einer Untersagung nicht sogleich Folge geleistet, ist Strafanzeige nach § 52 Abs. 1 Z 3 zu erstatten. Nach Rechtskraft einer Untersagung nach diesem Absatz ist ein Berichtigungsverfahren nach § 22a Abs. 2 formlos einzustellen. Die Datenanwendung ist im Umfang der Untersagung aus dem Register zu streichen.
-7. Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.
diff --git a/dsg2000/art02-par31.md b/dsg2000/art02-par31.md
index 9ea1339..2dc0028 100644
--- a/dsg2000/art02-par31.md
+++ b/dsg2000/art02-par31.md
@@ -1,30 +1,91 @@
§31 - Beschwerde an die Datenschutzbehörde
==========================================
-1. Die Datenschutzbehörde erkennt über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3 verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
+1. Die Datenschutzbehörde erkennt über Beschwerden von Personen oder
+ Personengemeinschaften, die behaupten, in ihrem Recht auf Auskunft
+ nach § 26 oder nach § 50 Abs. 1 dritter Satz oder in ihrem Recht auf
+ Darlegung einer automatisierten Einzelentscheidung nach § 49 Abs. 3
+ verletzt zu sein, soweit sich das Auskunftsverlangen (der Antrag auf
+ Darlegung oder Bekanntgabe) nicht auf die Verwendung von Daten für
+ Akte im Dienste der Gesetzgebung oder der Gerichtsbarkeit bezieht.
-2. Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet.
+2. Die Datenschutzbehörde erkennt weiters über Beschwerden von Personen
+ oder Personengemeinschaften, die behaupten, in ihrem Recht auf
+ Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung
+ oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der
+ Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen
+ ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der
+ Gerichtsbarkeit richtet.
-3. Die Beschwerde hat zu enthalten:
+3. Die Beschwerde hat zu enthalten:
- 1. die Bezeichnung des als verletzt erachteten Rechts,
+ 1. die Bezeichnung des als verletzt erachteten Rechts,
- 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder Organs, dem die behauptete Rechtsverletzung zugerechnet wird (Beschwerdegegner),
+ 2. soweit dies zumutbar ist, die Bezeichnung des Rechtsträgers oder
+ Organs, dem die behauptete Rechtsverletzung zugerechnet wird
+ (Beschwerdegegner),
- 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
+ 3. den Sachverhalt, aus dem die Rechtsverletzung abgeleitet wird,
- 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit stützt,
+ 4. die Gründe, auf die sich die Behauptung der Rechtswidrigkeit
+ stützt,
- 5. das Begehren, die behauptete Rechtsverletzung festzustellen und
+ 5. das Begehren, die behauptete Rechtsverletzung festzustellen und
- 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die Beschwerde rechtzeitig eingebracht ist.
+ 6. die Angaben, die erforderlich sind, um zu beurteilen, ob die
+ Beschwerde rechtzeitig eingebracht ist.
-4. Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag auf Richtigstellung oder Löschung und eine allfällige Antwort des Beschwerdegegners anzuschließen.
+4. Einer Beschwerde nach Abs. 1 sind außerdem das zu Grunde liegende
+ Auskunftsverlangen (der Antrag auf Darlegung oder Bekanntgabe) und
+ eine allfällige Antwort des Beschwerdegegners anzuschließen. Einer
+ Beschwerde nach Abs. 2 sind außerdem der zu Grunde liegende Antrag
+ auf Richtigstellung oder Löschung und eine allfällige Antwort des
+ Beschwerdegegners anzuschließen.
-5. Die der Datenschutzbehörde durch § 30 Abs. 2 bis 4 eingeräumten Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs. 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach § 30 Abs. 5.
+5. Die der Datenschutzbehörde durch § 30 Abs. 2 bis 4 eingeräumten
+ Kontrollbefugnisse kommen ihr auch in Beschwerdeverfahren nach Abs.
+ 1 und 2 gegenüber dem Beschwerdegegner zu. Ebenso besteht auch
+ hinsichtlich dieser Verfahren die Verschwiegenheitspflicht nach §
+ 30 Abs. 5.
-6. Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder 2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende Information (§ 30 Abs. 7) zu beenden. Die Datenschutzbehörde kann aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter Verdacht einer über den Beschwerdefall hinausgehenden Verletzung datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3 bleibt unberührt.
+6. Im Fall der Einbringung einer zulässigen Beschwerde nach Abs. 1 oder
+ 2 ist ein auf Grund einer Eingabe nach § 30 Abs. 1 über denselben
+ Gegenstand eingeleitetes Kontrollverfahren durch eine entsprechende
+ Information (§ 30 Abs. 7) zu beenden. Die Datenschutzbehörde kann
+ aber dennoch auch während der Anhängigkeit des Beschwerdeverfahrens
+ von Amts wegen nach § 30 Abs. 2 vorgehen, wenn ein begründeter
+ Verdacht einer über den Beschwerdefall hinausgehenden Verletzung
+ datenschutzrechtlicher Verpflichtungen besteht. § 30 Abs. 3
+ bleibt unberührt.
+
+7. Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt
+ erweist, ist ihr Folge zu geben und die
+ Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im
+ Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs
+ zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls
+ erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5
+ oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die
+ festgestellte Rechtsverletzung zu beseitigen. Soweit sich die
+ Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
+
+8. Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den
+ §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des
+ Verfahrens vor der Datenschutzbehörde durch Reaktionen gegenüber dem
+ Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete
+ Rechtsverletzung nachträglich beseitigen. Erscheint der
+ Datenschutzbehörde durch derartige Reaktionen des Beschwerdegegners
+ die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer
+ dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass
+ die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn
+ er nicht innerhalb einer angemessenen Frist begründet, warum er die
+ ursprünglich behauptete Rechtsverletzung zumindest teilweise nach
+ wie vor als nicht beseitigt erachtet. Wird durch eine derartige
+ Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert
+ (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen
+ Beschwerde und der gleichzeitigen Einbringung einer neuen
+ Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche
+ Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer
+ davon zu verständigen. Verspätete Äußerungen sind nicht
+ zu berücksichtigen.
-7. Soweit sich eine Beschwerde nach Abs. 1 oder 2 als berechtigt erweist, ist ihr Folge zu geben und die Rechtsverletzung festzustellen. Ist eine festgestellte Verletzung im Recht auf Auskunft (Abs. 1) einem Auftraggeber des privaten Bereichs zuzurechnen, so ist diesem auf Antrag zusätzlich die – allenfalls erneute – Reaktion auf das Auskunftsbegehren nach § 26 Abs. 4, 5 oder 10 in jenem Umfang aufzutragen, der erforderlich ist, um die festgestellte Rechtsverletzung zu beseitigen. Soweit sich die Beschwerde als nicht berechtigt erweist, ist sie abzuweisen.
-8. Ein Beschwerdegegner, gegen den wegen Verletzung in Rechten nach den §§ 26 bis 28 Beschwerde erhoben wurde, kann bis zum Abschluss des Verfahrens vor der Datenschutzbehörde durch Reaktionen gegenüber dem Beschwerdeführer gemäß § 26 Abs. 4 oder § 27 Abs. 4 die behauptete Rechtsverletzung nachträglich beseitigen. Erscheint der Datenschutzbehörde durch derartige Reaktionen des Beschwerdegegners die Beschwerde als gegenstandslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Datenschutzbehörde das Verfahren formlos einstellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet. Wird durch eine derartige Äußerung des Beschwerdeführers die Sache ihrem Wesen nach geändert (§ 13 Abs. 8 AVG), so ist von der Zurückziehung der ursprünglichen Beschwerde und der gleichzeitigen Einbringung einer neuen Beschwerde auszugehen. Auch diesfalls ist das ursprüngliche Beschwerdeverfahren formlos einzustellen und der Beschwerdeführer davon zu verständigen. Verspätete Äußerungen sind nicht zu berücksichtigen.
diff --git a/dsg2000/art02-par31a.md b/dsg2000/art02-par31a.md
index 64458e1..daf3a6f 100644
--- a/dsg2000/art02-par31a.md
+++ b/dsg2000/art02-par31a.md
@@ -1,10 +1,37 @@
§31a - Begleitende Maßnahmen im Beschwerdeverfahren
===================================================
-1. Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine meldepflichtige Datenanwendung (Datei) bezieht, kann die Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und erforderlichenfalls nach den §§ 22 und 22a vorgehen.
+1. Sofern sich eine zulässige Beschwerde nach § 31 Abs. 2 auf eine
+ meldepflichtige Datenanwendung (Datei) bezieht, kann die
+ Datenschutzbehörde die Erfüllung der Meldepflicht überprüfen und
+ erforderlichenfalls nach den §§ 22 und 22a vorgehen.
-2. Macht der Beschwerdeführer im Rahmen einer Beschwerde nach § 31 Abs. 2 eine wesentliche Beeinträchtigung seiner schutzwürdigen Geheimhaltungsinteressen durch die Verwendung seiner Daten glaubhaft, so kann die Datenschutzbehörde nach § 30 Abs. 6a vorgehen.
+2. Macht der Beschwerdeführer im Rahmen einer Beschwerde nach § 31 Abs.
+ 2 eine wesentliche Beeinträchtigung seiner schutzwürdigen
+ Geheimhaltungsinteressen durch die Verwendung seiner Daten
+ glaubhaft, so kann die Datenschutzbehörde nach § 30 Abs.
+ 6a vorgehen.
+
+3. Ist in einem Verfahren nach § 31 Abs. 2 die Richtigkeit von Daten
+ strittig, so ist vom Beschwerdegegner bis zum Abschluss des
+ Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls
+ hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit
+ Mandatsbescheid anzuordnen.
+
+4. Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer
+ Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder
+ Löschungsrechts gegenüber der Datenschutzbehörde auf die §§ 26 Abs.
+ 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit
+ der Geheimhaltung die geschützten öffentlichen Interessen in ihrem
+ Verfahren zu wahren. Kommt sie zur Auffassung, dass die
+ Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen
+ nicht gerechtfertigt war, ist die Offenlegung der Daten mit
+ Bescheid aufzutragen. Wurde keine Beschwerde erhoben und wird dem
+ Bescheid der Datenschutzbehörde binnen acht Wochen nicht
+ entsprochen, so hat die Datenschutzbehörde die Offenlegung der Daten
+ gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte
+ Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits
+ berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in
+ Verfahren nach § 30 sinngemäß.
-3. Ist in einem Verfahren nach § 31 Abs. 2 die Richtigkeit von Daten strittig, so ist vom Beschwerdegegner bis zum Abschluss des Verfahrens ein Bestreitungsvermerk anzubringen. Erforderlichenfalls hat dies die Datenschutzbehörde auf Antrag des Beschwerdeführers mit Mandatsbescheid anzuordnen.
-4. Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Datenschutzbehörde auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, dass die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Wurde keine Beschwerde erhoben und wird dem Bescheid der Datenschutzbehörde binnen acht Wochen nicht entsprochen, so hat die Datenschutzbehörde die Offenlegung der Daten gegenüber dem Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden. Die ersten beiden Sätze gelten in Verfahren nach § 30 sinngemäß.
diff --git a/dsg2000/art02-par32.md b/dsg2000/art02-par32.md
index 5545464..db23d6f 100644
--- a/dsg2000/art02-par32.md
+++ b/dsg2000/art02-par32.md
@@ -1,16 +1,51 @@
§32 - Anrufung der Gerichte
===========================
-1. Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.
+1. Ansprüche wegen Verletzung der Rechte einer Person oder
+ Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf
+ Löschung gegen natürliche Personen, Personengemeinschaften oder
+ Rechtsträger, die in Formen des Privatrechts eingerichtet sind,
+ sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht
+ in Vollziehung der Gesetze tätig geworden sind, auf dem
+ Zivilrechtsweg geltend zu machen.
-2. Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes verwendet worden, so hat der Betroffene Anspruch auf Unterlassung und Beseitigung des diesem Bundesgesetz widerstreitenden Zustandes.
+2. Sind Daten entgegen den Bestimmungen dieses Bundesgesetzes verwendet
+ worden, so hat der Betroffene Anspruch auf Unterlassung und
+ Beseitigung des diesem Bundesgesetz widerstreitenden Zustandes.
-3. Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf Unterlassung können einstweilige Verfügungen erlassen werden, auch wenn die in § 381 EO bezeichneten Voraussetzungen nicht zutreffen. Dies gilt auch für Verfügungen über die Verpflichtung zur Anbringung eines Bestreitungsvermerks.
+3. Zur Sicherung der auf dieses Bundesgesetz gestützten Ansprüche auf
+ Unterlassung können einstweilige Verfügungen erlassen werden, auch
+ wenn die in § 381 EO bezeichneten Voraussetzungen nicht zutreffen.
+ Dies gilt auch für Verfügungen über die Verpflichtung zur Anbringung
+ eines Bestreitungsvermerks.
-4. Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.
+4. Für Klagen und Anträge auf Erlassung einer einstweiligen Verfügung
+ nach diesem Bundesgesetz ist in erster Instanz das mit der Ausübung
+ der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute
+ Landesgericht zuständig, in dessen Sprengel der
+ Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat.
+ Klagen (Anträge) können aber auch bei dem Landesgericht erhoben
+ werden, in dessen Sprengel der Beklagte seinen gewöhnlichen
+ Aufenthalt oder Sitz oder eine Niederlassung hat.
-5. Die Datenschutzbehörde hat in Fällen, in welchen der begründete Verdacht einer schwerwiegenden Datenschutzverletzung durch einen Auftraggeber des privaten Bereichs besteht, gegen diesen eine Feststellungsklage (§ 228 ZPO) bei dem gemäß Abs. 4 zweiter Satz zuständigen Gericht zu erheben.
+5. Die Datenschutzbehörde hat in Fällen, in welchen der begründete
+ Verdacht einer schwerwiegenden Datenschutzverletzung durch einen
+ Auftraggeber des privaten Bereichs besteht, gegen diesen eine
+ Feststellungsklage (§ 228 ZPO) bei dem gemäß Abs. 4 zweiter Satz
+ zuständigen Gericht zu erheben.
+
+6. Die Datenschutzbehörde hat, wenn ein Einschreiter (§ 30 Abs. 1) es
+ verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten
+ Interessen einer größeren Zahl von natürlichen Personen geboten ist,
+ einem Rechtsstreit auf Seiten des Einschreiters als
+ Nebenintervenient (§§ 17 ff ZPO) beizutreten.
+
+7. Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine
+ nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht,
+ kann das Gericht die Datenschutzbehörde um Überprüfung nach den §§
+ 22 und 22a ersuchen. Die Datenschutzbehörde hat das Gericht vom
+ Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom
+ Gericht auch den Parteien bekannt zu geben, sofern das Verfahren
+ noch nicht rechtskräftig beendet ist.
-6. Die Datenschutzbehörde hat, wenn ein Einschreiter (§ 30 Abs. 1) es verlangt und es zur Wahrung der nach diesem Bundesgesetz geschützten Interessen einer größeren Zahl von natürlichen Personen geboten ist, einem Rechtsstreit auf Seiten des Einschreiters als Nebenintervenient (§§ 17 ff ZPO) beizutreten.
-7. Anlässlich einer zulässigen Klage nach Abs. 1, die sich auf eine nach Ansicht des Gerichts meldepflichtige Datenanwendung bezieht, kann das Gericht die Datenschutzbehörde um Überprüfung nach den §§ 22 und 22a ersuchen. Die Datenschutzbehörde hat das Gericht vom Ergebnis der Überprüfung zu verständigen. Dieses ist sodann vom Gericht auch den Parteien bekannt zu geben, sofern das Verfahren noch nicht rechtskräftig beendet ist.
diff --git a/dsg2000/art02-par33.md b/dsg2000/art02-par33.md
index f8f4dce..f38e134 100644
--- a/dsg2000/art02-par33.md
+++ b/dsg2000/art02-par33.md
@@ -1,10 +1,32 @@
§33 - Schadenersatz
===================
-1. Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß § 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so gilt diese Bestimmung auch in Fällen, in welchen die öffentlich zugängliche Verwendung nicht in Form der Veröffentlichung in einem Medium geschieht. Der Anspruch auf angemessene Entschädigung für die erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung geltend zu machen.
+1. Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen
+ den Bestimmungen dieses Bundesgesetzes verwendet, hat dem
+ Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen
+ des bürgerlichen Rechts zu ersetzen. Werden durch die öffentlich
+ zugängliche Verwendung der in § 18 Abs. 2 Z 1 bis 3 genannten
+ Datenarten schutzwürdige Geheimhaltungsinteressen eines Betroffenen
+ in einer Weise verletzt, die einer Eignung zur Bloßstellung gemäß §
+ 7 Abs. 1 des Mediengesetzes, BGBl. Nr. 314/1981, gleichkommt, so
+ gilt diese Bestimmung auch in Fällen, in welchen die öffentlich
+ zugängliche Verwendung nicht in Form der Veröffentlichung in einem
+ Medium geschieht. Der Anspruch auf angemessene Entschädigung für die
+ erlittene Kränkung ist gegen den Auftraggeber der Datenverwendung
+ geltend zu machen.
-2. Der Auftraggeber und der Dienstleister haften auch für das Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden ursächlich war.
+2. Der Auftraggeber und der Dienstleister haften auch für das
+ Verschulden ihrer Leute, soweit deren Tätigkeit für den Schaden
+ ursächlich war.
+
+3. Der Auftraggeber kann sich von seiner Haftung befreien, wenn er
+ nachweist, daß der Umstand, durch den der Schaden eingetreten ist,
+ ihm und seinen Leuten (Abs. 2) nicht zur Last gelegt werden kann.
+ Dasselbe gilt für die Haftungsbefreiung des Dienstleisters. Für den
+ Fall eines Mitverschuldens des Geschädigten oder einer Person, deren
+ Verhalten er zu vertreten hat, gilt § 1304 ABGB.
+
+4. Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 32 Abs.
+ 4.
-3. Der Auftraggeber kann sich von seiner Haftung befreien, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihm und seinen Leuten (Abs. 2) nicht zur Last gelegt werden kann. Dasselbe gilt für die Haftungsbefreiung des Dienstleisters. Für den Fall eines Mitverschuldens des Geschädigten oder einer Person, deren Verhalten er zu vertreten hat, gilt § 1304 ABGB.
-4. Die Zuständigkeit für Klagen nach Abs. 1 richtet sich nach § 32 Abs. 4.
diff --git a/dsg2000/art02-par34.md b/dsg2000/art02-par34.md
index 864571d..f81ccda 100644
--- a/dsg2000/art02-par34.md
+++ b/dsg2000/art02-par34.md
@@ -1,10 +1,30 @@
§34 - Gemeinsame Bestimmungen
=============================
-1. Der Anspruch auf Behandlung einer Eingabe nach § 30, einer Beschwerde nach § 31 oder einer Klage nach § 32 erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behauptetermaßen stattgefunden hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten Eingabe gemäß § 30 mitzuteilen; verspätete Beschwerden nach § 31 und Klagen nach § 32 sind zurückzuweisen.
+1. Der Anspruch auf Behandlung einer Eingabe nach § 30, einer
+ Beschwerde nach § 31 oder einer Klage nach § 32 erlischt, wenn der
+ Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von
+ dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei
+ Jahren, nachdem das Ereignis behauptetermaßen stattgefunden
+ hat, einbringt. Dies ist dem Einschreiter im Falle einer verspäteten
+ Eingabe gemäß § 30 mitzuteilen; verspätete Beschwerden nach § 31 und
+ Klagen nach § 32 sind zurückzuweisen.
-2. Eingaben nach § 30, Beschwerden nach § 31, Klagen nach § 32 sowie Schadenersatzansprüche nach § 33 können nicht nur auf die Verletzung der Vorschriften dieses Bundesgesetzes, sondern auch auf die Verletzung von datenschutzrechtlichen Vorschriften eines anderen Mitgliedstaates der Europäischen Union gegründet werden, soweit solche Vorschriften gemäß § 3 im Inland anzuwenden sind.
+2. Eingaben nach § 30, Beschwerden nach § 31, Klagen nach § 32 sowie
+ Schadenersatzansprüche nach § 33 können nicht nur auf die Verletzung
+ der Vorschriften dieses Bundesgesetzes, sondern auch auf die
+ Verletzung von datenschutzrechtlichen Vorschriften eines anderen
+ Mitgliedstaates der Europäischen Union gegründet werden, soweit
+ solche Vorschriften gemäß § 3 im Inland anzuwenden sind.
+
+3. Ist ein von der Datenschutzbehörde zu prüfender Sachverhalt gemäß §
+ 3 nach der Rechtsordnung eines anderen Vertragsstaates des
+ Europäischen Wirtschaftsraumes zu beurteilen, so kann die
+ Datenschutzbehörde die zuständige ausländische
+ Datenschutzkontrollstelle um Unterstützung ersuchen.
+
+4. Die Datenschutzbehörde hat den Unabhängigen
+ Datenschutzkontrollstellen der anderen Vertragsstaaten des
+ Europäischen Wirtschaftsraumes über Ersuchen Amtshilfe zu leisten.
-3. Ist ein von der Datenschutzbehörde zu prüfender Sachverhalt gemäß § 3 nach der Rechtsordnung eines anderen Vertragsstaates des Europäischen Wirtschaftsraumes zu beurteilen, so kann die Datenschutzbehörde die zuständige ausländische Datenschutzkontrollstelle um Unterstützung ersuchen.
-4. Die Datenschutzbehörde hat den Unabhängigen Datenschutzkontrollstellen der anderen Vertragsstaaten des Europäischen Wirtschaftsraumes über Ersuchen Amtshilfe zu leisten.
diff --git a/dsg2000/art02-par35.md b/dsg2000/art02-par35.md
index f2e40a0..36d0aff 100644
--- a/dsg2000/art02-par35.md
+++ b/dsg2000/art02-par35.md
@@ -1,6 +1,13 @@
§35 - Datenschutzbehörde und Datenschutzrat
===========================================
-1. Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen dieses Bundesgesetzes – unbeschadet der Zuständigkeit des Bundeskanzlers und der ordentlichen Gerichte – die Datenschutzbehörde und der Datenschutzrat berufen.
+1. Zur Wahrung des Datenschutzes sind nach den näheren Bestimmungen
+ dieses Bundesgesetzes – unbeschadet der Zuständigkeit des
+ Bundeskanzlers und der ordentlichen Gerichte – die
+ Datenschutzbehörde und der Datenschutzrat berufen.
+
+2. (**Verfassungsbestimmung**) Die Datenschutzbehörde übt ihre
+ Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten
+ Organen der Vollziehung aus.
+
-2. (**Verfassungsbestimmung**) Die Datenschutzbehörde übt ihre Befugnisse auch gegenüber den in Art. 19 B-VG bezeichneten obersten Organen der Vollziehung aus.
diff --git a/dsg2000/art02-par36.md b/dsg2000/art02-par36.md
index 471f16c..c6eef4f 100644
--- a/dsg2000/art02-par36.md
+++ b/dsg2000/art02-par36.md
@@ -1,30 +1,67 @@
§36 - Einrichtung der Datenschutzbehörde
========================================
-1. Der Datenschutzbehörde steht ein Leiter vor. Dieser wird vom Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer von fünf Jahren bestellt; die Wiederbestellung ist zulässig. Dem Vorschlag hat eine Ausschreibung zur allgemeinen Bewerbung voranzugehen. Die Ausschreibung ist vom Bundeskanzler zu veranlassen. Die Funktion des Leiters der Datenschutzbehörde ist auf der beim Bundeskanzleramt eingerichteten Website „Karriere Öffentlicher Dienst“ auszuschreiben. Die Ausschreibung ist zusätzlich im „Amtsblatt zur Wiener Zeitung“ kundzumachen.
+1. Der Datenschutzbehörde steht ein Leiter vor. Dieser wird vom
+ Bundespräsidenten auf Vorschlag der Bundesregierung für eine Dauer
+ von fünf Jahren bestellt; die Wiederbestellung ist zulässig. Dem
+ Vorschlag hat eine Ausschreibung zur allgemeinen
+ Bewerbung voranzugehen. Die Ausschreibung ist vom Bundeskanzler
+ zu veranlassen. Die Funktion des Leiters der Datenschutzbehörde ist
+ auf der beim Bundeskanzleramt eingerichteten Website „Karriere
+ Öffentlicher Dienst“ auszuschreiben. Die Ausschreibung ist
+ zusätzlich im „Amtsblatt zur Wiener Zeitung“ kundzumachen.
-2. Der Leiter der Datenschutzbehörde hat
+2. Der Leiter der Datenschutzbehörde hat
- 1. das Studium der Rechtswissenschaften oder die rechts- und staatswissenschaftlichen Studien abgeschlossen zu haben,
+ 1. das Studium der Rechtswissenschaften oder die rechts- und
+ staatswissenschaftlichen Studien abgeschlossen zu haben,
- 2. die persönliche und fachliche Eignung durch eine entsprechende Vorbildung und einschlägige Berufserfahrung in den von der Datenschutzbehörde zu besorgenden Angelegenheiten aufzuweisen,
+ 2. die persönliche und fachliche Eignung durch eine entsprechende
+ Vorbildung und einschlägige Berufserfahrung in den von der
+ Datenschutzbehörde zu besorgenden Angelegenheiten aufzuweisen,
- 3. über ausgezeichnete Kenntnisse des österreichischen Datenschutzrechtes, des Unionsrechtes und der Grundrechte zu verfügen und
+ 3. über ausgezeichnete Kenntnisse des österreichischen
+ Datenschutzrechtes, des Unionsrechtes und der Grundrechte zu
+ verfügen und
- 4. über eine mindestens fünfjährige juristische Berufserfahrung zu verfügen.
+ 4. über eine mindestens fünfjährige juristische Berufserfahrung
+ zu verfügen.
-3. Zum Leiter der Datenschutzbehörde dürfen nicht bestellt werden:
+3. Zum Leiter der Datenschutzbehörde dürfen nicht bestellt werden:
- 1. Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder einer Landesregierung, Mitglieder des Nationalrates, des Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder des Europäischen Parlaments, ferner Volksanwälte und der Präsident des Rechnungshofes,
+ 1. Mitglieder der Bundesregierung, Staatssekretäre, Mitglieder
+ einer Landesregierung, Mitglieder des Nationalrates, des
+ Bundesrates oder sonst eines allgemeinen Vertretungskörpers oder
+ des Europäischen Parlaments, ferner Volksanwälte und der
+ Präsident des Rechnungshofes,
- 2. Personen, die eine der in der Z 1 genannten Funktionen innerhalb der letzten zwei Jahre ausgeübt haben, und
+ 2. Personen, die eine der in der Z 1 genannten Funktionen innerhalb
+ der letzten zwei Jahre ausgeübt haben, und
- 3. Personen, die von der Wählbarkeit in den Nationalrat ausgeschlossen sind.
+ 3. Personen, die von der Wählbarkeit in den Nationalrat
+ ausgeschlossen sind.
-4. Der Leiter der Datenschutzbehörde darf für die Dauer seines Amtes keine Tätigkeit ausüben, die Zweifel an der unabhängigen Ausübung seines Amtes oder die Vermutung einer Befangenheit hervorrufen könnte oder die ihn an der Erfüllung seiner dienstlichen Aufgaben behindert oder wesentliche dienstliche Interessen gefährdet. Er ist verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter der Datenschutzbehörde ausübt, unverzüglich dem Bundeskanzler zur Kenntnis zu bringen.
+4. Der Leiter der Datenschutzbehörde darf für die Dauer seines Amtes
+ keine Tätigkeit ausüben, die Zweifel an der unabhängigen Ausübung
+ seines Amtes oder die Vermutung einer Befangenheit hervorrufen
+ könnte oder die ihn an der Erfüllung seiner dienstlichen Aufgaben
+ behindert oder wesentliche dienstliche Interessen gefährdet. Er ist
+ verpflichtet, Tätigkeiten, die er neben seiner Tätigkeit als Leiter
+ der Datenschutzbehörde ausübt, unverzüglich dem Bundeskanzler zur
+ Kenntnis zu bringen.
-5. Die Funktion des Leiters der Datenschutzbehörde endet durch Zeitablauf, Tod, Verzicht oder bei Verlust der Wählbarkeit zum Nationalrat.
+5. Die Funktion des Leiters der Datenschutzbehörde endet durch
+ Zeitablauf, Tod, Verzicht oder bei Verlust der Wählbarkeit
+ zum Nationalrat.
+
+6. Bei Beendigung der Funktion des Leiters der Datenschutzbehörde ist
+ nach Maßgabe der Abs. 1 bis 3 unverzüglich ein neuer Leiter
+ zu bestellen.
+
+7. Vom Bundespräsidenten wird auf Vorschlag der Bundesregierung ein
+ Stellvertreter des Leiters der Datenschutzbehörde nach Maßgabe
+ der Abs. 1 bis 3 bestellt. Für den Stellvertreter des Leiters der
+ Datenschutzbehörde gelten die Abs. 4 bis 6 sinngemäß. Er vertritt
+ den Leiter der Datenschutzbehörde in dessen Abwesenheit.
-6. Bei Beendigung der Funktion des Leiters der Datenschutzbehörde ist nach Maßgabe der Abs. 1 bis 3 unverzüglich ein neuer Leiter zu bestellen.
-7. Vom Bundespräsidenten wird auf Vorschlag der Bundesregierung ein Stellvertreter des Leiters der Datenschutzbehörde nach Maßgabe der Abs. 1 bis 3 bestellt. Für den Stellvertreter des Leiters der Datenschutzbehörde gelten die Abs. 4 bis 6 sinngemäß. Er vertritt den Leiter der Datenschutzbehörde in dessen Abwesenheit.
diff --git a/dsg2000/art02-par37.md b/dsg2000/art02-par37.md
index e51895f..6034d08 100644
--- a/dsg2000/art02-par37.md
+++ b/dsg2000/art02-par37.md
@@ -1,14 +1,40 @@
§37 - Organisation und Unabhängigkeit der Datenschutzbehörde
============================================================
-1. Der Leiter der Datenschutzbehörde ist in Ausübung seines Amtes unabhängig und an keine Weisungen gebunden.
+1. Der Leiter der Datenschutzbehörde ist in Ausübung seines Amtes
+ unabhängig und an keine Weisungen gebunden.
-2. Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle. Im Bundesfinanzgesetz ist die notwendige Sach- und Personalausstattung sicherzustellen. Die Bediensteten der Datenschutzbehörde unterstehen nur den Weisungen des Leiters der Datenschutzbehörde. Der Leiter der Datenschutzbehörde übt die Diensthoheit über die Bediensteten der Datenschutzbehörde aus.
+2. Die Datenschutzbehörde ist eine Dienstbehörde und Personalstelle. Im
+ Bundesfinanzgesetz ist die notwendige Sach- und
+ Personalausstattung sicherzustellen. Die Bediensteten der
+ Datenschutzbehörde unterstehen nur den Weisungen des Leiters
+ der Datenschutzbehörde. Der Leiter der Datenschutzbehörde übt die
+ Diensthoheit über die Bediensteten der Datenschutzbehörde aus.
-3. Der Bundeskanzler kann sich beim Leiter der Datenschutzbehörde über die Gegenstände der Geschäftsführung unterrichten. Dem ist vom Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31, widerspricht.
+3. Der Bundeskanzler kann sich beim Leiter der Datenschutzbehörde über
+ die Gegenstände der Geschäftsführung unterrichten. Dem ist vom
+ Leiter der Datenschutzbehörde nur insoweit zu entsprechen, als dies
+ nicht der völligen Unabhängigkeit der Kontrollstelle im Sinne
+ von Art. 28 Abs. 1 UAbs. 2 der Richtlinie 95/46/EG zum Schutz
+ natürlicher Personen bei der Verarbeitung personenbezogener Daten
+ und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S.
+ 31, widerspricht.
-4. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen, die wesentliche Fragen des Datenschutzes unmittelbar betreffen, sowie von Verordnungen des Bundes, die auf der Grundlage dieses Bundesgesetzes ergehen oder sonstige wesentliche Fragen des Datenschutzes unmittelbar betreffen, anzuhören.
+4. Die Datenschutzbehörde ist vor Erlassung von Bundesgesetzen, die
+ wesentliche Fragen des Datenschutzes unmittelbar betreffen, sowie
+ von Verordnungen des Bundes, die auf der Grundlage dieses
+ Bundesgesetzes ergehen oder sonstige wesentliche Fragen des
+ Datenschutzes unmittelbar betreffen, anzuhören.
+
+5. Die Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen
+ Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu
+ erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise
+ zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem
+ Nationalrat und dem Bundesrat vorzulegen.
+
+6. Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung
+ für die Allgemeinheit sind von der Datenschutzbehörde unter
+ Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter
+ Weise zu veröffentlichen.
-5. Die Datenschutzbehörde hat bis zum 31. März eines jeden Jahres einen Bericht über ihre Tätigkeit im vorangegangenen Kalenderjahr zu erstellen, dem Bundeskanzler vorzulegen und in geeigneter Weise zu veröffentlichen. Der Bericht ist vom Bundeskanzler dem Nationalrat und dem Bundesrat vorzulegen.
-6. Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung für die Allgemeinheit sind von der Datenschutzbehörde unter Beachtung der Erfordernisse der Amtsverschwiegenheit in geeigneter Weise zu veröffentlichen.
diff --git a/dsg2000/art02-par38.md b/dsg2000/art02-par38.md
index e3332c4..0421aae 100644
--- a/dsg2000/art02-par38.md
+++ b/dsg2000/art02-par38.md
@@ -1,8 +1,16 @@
§38 - Bescheide der Datenschutzbehörde
======================================
-1. Partei in Verfahren vor der Datenschutzbehörde sind auch die Auftraggeber des öffentlichen Bereichs.
+1. Partei in Verfahren vor der Datenschutzbehörde sind auch die
+ Auftraggeber des öffentlichen Bereichs.
+
+2. Bescheide, mit denen gemäß § 13 Übermittlungen oder Überlassungen
+ von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die
+ rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der
+ Genehmigung, insbesondere auch infolge einer gemäß § 55 ergangenen
+ Kundmachung des Bundeskanzlers, nicht mehr bestehen.
+
+3. Parteien gemäß Abs. 1 können Beschwerde an das
+ Bundesverwaltungsgericht erheben.
-2. Bescheide, mit denen gemäß § 13 Übermittlungen oder Überlassungen von Daten ins Ausland genehmigt wurden, sind zu widerrufen, wenn die rechtlichen oder tatsächlichen Voraussetzungen für die Erteilung der Genehmigung, insbesondere auch infolge einer gemäß § 55 ergangenen Kundmachung des Bundeskanzlers, nicht mehr bestehen.
-3. Parteien gemäß Abs. 1 können Beschwerde an das Bundesverwaltungsgericht erheben.
diff --git a/dsg2000/art02-par39.md b/dsg2000/art02-par39.md
index c68b983..958e7fb 100644
--- a/dsg2000/art02-par39.md
+++ b/dsg2000/art02-par39.md
@@ -1,10 +1,26 @@
§39 - Verfahren vor dem Bundesverwaltungsgericht
================================================
-1. Das Bundesverwaltungsgericht entscheidet in Verfahren über Beschwerden gegen Bescheide sowie wegen Verletzung der Entscheidungspflicht in den Angelegenheiten dieses Bundesgesetzes durch Senat.
+1. Das Bundesverwaltungsgericht entscheidet in Verfahren über
+ Beschwerden gegen Bescheide sowie wegen Verletzung der
+ Entscheidungspflicht in den Angelegenheiten dieses Bundesgesetzes
+ durch Senat.
-2. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Die fachkundigen Laienrichter werden auf Vorschlag der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter und Angestellte bestellt. Es sind entsprechende Vorkehrungen zu treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen Laienrichtern zur Verfügung steht.
+2. Der Senat besteht aus einem Vorsitzenden und je einem fachkundigen
+ Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis
+ der Arbeitnehmer. Die fachkundigen Laienrichter werden auf Vorschlag
+ der Wirtschaftskammer Österreich und der Bundeskammer für Arbeiter
+ und Angestellte bestellt. Es sind entsprechende Vorkehrungen zu
+ treffen, dass zeitgerecht eine hinreichende Anzahl von fachkundigen
+ Laienrichtern zur Verfügung steht.
+
+3. Die fachkundigen Laienrichter müssen eine mindestens fünfjährige
+ einschlägige Berufserfahrung und besondere Kenntnisse des
+ Datenschutzrechtes besitzen.
+
+4. Der Vorsitzende hat den fachkundigen Laienrichtern alle
+ entscheidungsrelevanten Dokumente unverzüglich zu übermitteln bzw.,
+ wenn dies untunlich oder zur Wahrung der Vertraulichkeit von
+ Dokumenten unbedingt erforderlich ist, zur Verfügung zu stellen.
-3. Die fachkundigen Laienrichter müssen eine mindestens fünfjährige einschlägige Berufserfahrung und besondere Kenntnisse des Datenschutzrechtes besitzen.
-4. Der Vorsitzende hat den fachkundigen Laienrichtern alle entscheidungsrelevanten Dokumente unverzüglich zu übermitteln bzw., wenn dies untunlich oder zur Wahrung der Vertraulichkeit von Dokumenten unbedingt erforderlich ist, zur Verfügung zu stellen.
diff --git a/dsg2000/art02-par40.md b/dsg2000/art02-par40.md
index 3da781f..2b39972 100644
--- a/dsg2000/art02-par40.md
+++ b/dsg2000/art02-par40.md
@@ -1,4 +1,5 @@
§40 - Revision beim Verwaltungsgerichtshof
==========================================
-Revision beim Verwaltungsgerichtshof können auch Parteien gemäß § 38 Abs. 1 erheben.
+Revision beim Verwaltungsgerichtshof können auch Parteien gemäß § 38
+Abs. 1 erheben.
diff --git a/dsg2000/art02-par41.md b/dsg2000/art02-par41.md
index a51e242..86fa212 100644
--- a/dsg2000/art02-par41.md
+++ b/dsg2000/art02-par41.md
@@ -1,22 +1,45 @@
§41 - Einrichtung und Aufgaben des Datenschutzrates
===================================================
-1. Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
+1. Beim Bundeskanzleramt ist ein Datenschutzrat eingerichtet.
-2. Der Datenschutzrat berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes. Zur Erfüllung dieser Aufgabe
+2. Der Datenschutzrat berät die Bundesregierung und die
+ Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen
+ des Datenschutzes. Zur Erfüllung dieser Aufgabe
- 1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für den Datenschutz in Beratung ziehen und dazu Gutachten erstellen oder in Auftrag geben;
+ 1. kann der Datenschutzrat Fragen von grundsätzlicher Bedeutung für
+ den Datenschutz in Beratung ziehen und dazu Gutachten erstellen
+ oder in Auftrag geben;
- 2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu Gesetzesentwürfen der Bundesministerien zu geben, soweit diese datenschutzrechtlich von Bedeutung sind;
+ 2. ist dem Datenschutzrat Gelegenheit zur Stellungnahme zu
+ Gesetzesentwürfen der Bundesministerien zu geben, soweit diese
+ datenschutzrechtlich von Bedeutung sind;
- 3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem Datenschutzrat zur Stellungnahme zuzuleiten, soweit diese datenschutzrechtlich von Bedeutung sind;
+ 3. haben Auftraggeber des öffentlichen Bereichs ihre Vorhaben dem
+ Datenschutzrat zur Stellungnahme zuzuleiten, soweit diese
+ datenschutzrechtlich von Bedeutung sind;
- 4. hat der Datenschutzrat das Recht, von Auftraggebern des öffentlichen Bereichs Auskünfte und Berichte sowie die Einsicht in Unterlagen zu verlangen, soweit dies zur datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen Auswirkungen auf den Datenschutz in Österreich notwendig ist;
+ 4. hat der Datenschutzrat das Recht, von Auftraggebern des
+ öffentlichen Bereichs Auskünfte und Berichte sowie die Einsicht
+ in Unterlagen zu verlangen, soweit dies zur
+ datenschutzrechtlichen Beurteilung von Vorhaben mit wesentlichen
+ Auswirkungen auf den Datenschutz in Österreich notwendig ist;
- a. (Anm.: Z 4a aufgehoben durch BGBl. I Nr. /2013)
+ a. (Anm.: Z 4a aufgehoben durch BGBl. I Nr. /2013)
- 5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder auch ihre gesetzliche Interessenvertretung zur Stellungnahme zu Entwicklungen von allgemeiner Bedeutung auffordern, die aus datenschutzrechtlicher Sicht Anlaß zu Bedenken, zumindest aber Anlaß zur Beobachtung geben;
+ 5. kann der Datenschutzrat Auftraggeber des privaten Bereichs oder
+ auch ihre gesetzliche Interessenvertretung zur Stellungnahme zu
+ Entwicklungen von allgemeiner Bedeutung auffordern, die aus
+ datenschutzrechtlicher Sicht Anlaß zu Bedenken, zumindest aber
+ Anlaß zur Beobachtung geben;
+
+ 6. kann der Datenschutzrat seine Beobachtungen, Bedenken und
+ allfälligen Anregungen zur Verbesserung des Datenschutzes in
+ Österreich der Bundesregierung und den Landesregierungen
+ mitteilen, sowie über Vermittlung dieser Organe den
+ gesetzgebenden Körperschaften zur Kenntnis bringen.
+
+3. Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der
+ anerkannten Kirchen und Religionsgesellschaften betroffen sind.
- 6. kann der Datenschutzrat seine Beobachtungen, Bedenken und allfälligen Anregungen zur Verbesserung des Datenschutzes in Österreich der Bundesregierung und den Landesregierungen mitteilen, sowie über Vermittlung dieser Organe den gesetzgebenden Körperschaften zur Kenntnis bringen.
-3. Abs. 2 Z 3 und 4 gilt nicht, soweit innere Angelegenheiten der anerkannten Kirchen und Religionsgesellschaften betroffen sind.
diff --git a/dsg2000/art02-par42.md b/dsg2000/art02-par42.md
index 1ac78c5..d199491 100644
--- a/dsg2000/art02-par42.md
+++ b/dsg2000/art02-par42.md
@@ -1,24 +1,48 @@
§42 - Zusammensetzung des Datenschutzrates
==========================================
-1. Dem Datenschutzrat gehören an:
+1. Dem Datenschutzrat gehören an:
- 1. Vertreter der politischen Parteien: Von der im Hauptausschuss des Nationalrates am stärksten vertretenen Partei sind vier Vertreter, von der am zweitstärksten vertretenen Partei sind drei Vertreter und von jeder anderen im Hauptausschuss des Nationalrates vertretenen Partei ist ein Vertreter in den Datenschutzrat zu entsenden, wobei es allein auf die Stärke im Zeitpunkt der Entsendung ankommt. Bei Mandatsgleichheit zweier Parteien im Hauptausschuss ist die Stimmenstärke bei der letzten Wahl zum Nationalrat ausschlaggebend;
+ 1. Vertreter der politischen Parteien: Von der im Hauptausschuss
+ des Nationalrates am stärksten vertretenen Partei sind vier
+ Vertreter, von der am zweitstärksten vertretenen Partei sind
+ drei Vertreter und von jeder anderen im Hauptausschuss des
+ Nationalrates vertretenen Partei ist ein Vertreter in den
+ Datenschutzrat zu entsenden, wobei es allein auf die Stärke im
+ Zeitpunkt der Entsendung ankommt. Bei Mandatsgleichheit zweier
+ Parteien im Hauptausschuss ist die Stimmenstärke bei der letzten
+ Wahl zum Nationalrat ausschlaggebend;
- 2. je ein Vertreter der Bundeskammer für Arbeiter und Angestellte und der Wirtschaftskammer Österreich;
+ 2. je ein Vertreter der Bundeskammer für Arbeiter und Angestellte
+ und der Wirtschaftskammer Österreich;
- 3. zwei Vertreter der Länder;
+ 3. zwei Vertreter der Länder;
- 4. je ein Vertreter des Gemeindebundes und des Städtebundes;
+ 4. je ein Vertreter des Gemeindebundes und des Städtebundes;
- 5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.
+ 5. ein vom Bundeskanzler zu ernennender Vertreter des Bundes.
-2. Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen berufliche Erfahrung auf dem Gebiet der Informatik und des Datenschutzes haben.
+2. Die in Abs. 1 Z 3, 4 und 5 genannten Vertreter sollen berufliche
+ Erfahrung auf dem Gebiet der Informatik und des Datenschutzes haben.
-3. Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.
+3. Für jedes Mitglied ist ein Ersatzmitglied namhaft zu machen.
-4. Dem Datenschutzrat können Mitglieder der Bundesregierung oder einer Landesregierung sowie Staatssekretäre und weiters Personen, die zum Nationalrat nicht wählbar sind, nicht angehören.
+4. Dem Datenschutzrat können Mitglieder der Bundesregierung oder einer
+ Landesregierung sowie Staatssekretäre und weiters Personen, die zum
+ Nationalrat nicht wählbar sind, nicht angehören.
+
+5. Die Mitglieder gehören dem Datenschutzrat solange an, bis sie dem
+ Bundeskanzler schriftlich ihr Ausscheiden mitteilen oder, mangels
+ einer solchen Mitteilung, von der entsendenden Stelle (Abs. 1) dem
+ Bundeskanzler ein anderer Vertreter namhaft gemacht wird. Mitglieder
+ nach Abs. 1 Z 1 scheiden außerdem aus, sobald der Hauptausschuss
+ nach den §§ 29 und 30 des Geschäftsordnungsgesetzes 1975, BGBl. Nr.
+ 410, neu gewählt wurde, und sie nicht neuerlich entsendet werden.
+
+6. Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich.
+ Mitglieder des Datenschutzrates, die außerhalb von Wien wohnen,
+ haben im Fall der Teilnahme an Sitzungen des Datenschutzrates
+ Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) nach Maßgabe
+ der für Bundesbeamte geltenden Rechtsvorschriften.
-5. Die Mitglieder gehören dem Datenschutzrat solange an, bis sie dem Bundeskanzler schriftlich ihr Ausscheiden mitteilen oder, mangels einer solchen Mitteilung, von der entsendenden Stelle (Abs. 1) dem Bundeskanzler ein anderer Vertreter namhaft gemacht wird. Mitglieder nach Abs. 1 Z 1 scheiden außerdem aus, sobald der Hauptausschuss nach den §§ 29 und 30 des Geschäftsordnungsgesetzes 1975, BGBl. Nr. 410, neu gewählt wurde, und sie nicht neuerlich entsendet werden.
-6. Die Tätigkeit der Mitglieder des Datenschutzrates ist ehrenamtlich. Mitglieder des Datenschutzrates, die außerhalb von Wien wohnen, haben im Fall der Teilnahme an Sitzungen des Datenschutzrates Anspruch auf Ersatz der Reisekosten (Gebührenstufe 3) nach Maßgabe der für Bundesbeamte geltenden Rechtsvorschriften.
diff --git a/dsg2000/art02-par43.md b/dsg2000/art02-par43.md
index 46acf63..2420149 100644
--- a/dsg2000/art02-par43.md
+++ b/dsg2000/art02-par43.md
@@ -1,8 +1,18 @@
§43 - Vorsitz und Geschäftsführung des Datenschutzrates
=======================================================
-1. Der Datenschutzrat gibt sich mit Beschluß eine Geschäftsordnung.
+1. Der Datenschutzrat gibt sich mit Beschluß eine Geschäftsordnung.
+
+2. Der Datenschutzrat hat aus seiner Mitte einen Vorsitzenden und zwei
+ stellvertretende Vorsitzende zu wählen. Die Funktionsperiode des
+ Vorsitzenden und der stellvertretenden Vorsitzenden dauert –
+ unbeschadet des § 42 Abs. 5 – fünf Jahre. Wiederbestellungen
+ sind zulässig.
+
+3. Die Geschäftsführung des Datenschutzrates obliegt
+ dem Bundeskanzleramt. Der Bundeskanzler hat das hiefür notwendige
+ Personal zur Verfügung zu stellen. Bei ihrer Tätigkeit für den
+ Datenschutzrat sind die Bediensteten des Bundeskanzleramtes fachlich
+ an die Weisungen des Vorsitzenden des Datenschutzrates gebunden.
-2. Der Datenschutzrat hat aus seiner Mitte einen Vorsitzenden und zwei stellvertretende Vorsitzende zu wählen. Die Funktionsperiode des Vorsitzenden und der stellvertretenden Vorsitzenden dauert – unbeschadet des § 42 Abs. 5 – fünf Jahre. Wiederbestellungen sind zulässig.
-3. Die Geschäftsführung des Datenschutzrates obliegt dem Bundeskanzleramt. Der Bundeskanzler hat das hiefür notwendige Personal zur Verfügung zu stellen. Bei ihrer Tätigkeit für den Datenschutzrat sind die Bediensteten des Bundeskanzleramtes fachlich an die Weisungen des Vorsitzenden des Datenschutzrates gebunden.
diff --git a/dsg2000/art02-par44.md b/dsg2000/art02-par44.md
index b106767..0724673 100644
--- a/dsg2000/art02-par44.md
+++ b/dsg2000/art02-par44.md
@@ -1,18 +1,46 @@
§44 - Sitzungen und Beschlußfassung des Datenschutzrates
========================================================
-1. Die Sitzungen des Datenschutzrates werden vom Vorsitzenden nach Bedarf einberufen. Begehrt ein Mitglied die Einberufung einer Sitzung, so hat der Vorsitzende die Sitzung so einzuberufen, daß sie binnen vier Wochen stattfinden kann.
+1. Die Sitzungen des Datenschutzrates werden vom Vorsitzenden nach
+ Bedarf einberufen. Begehrt ein Mitglied die Einberufung einer
+ Sitzung, so hat der Vorsitzende die Sitzung so einzuberufen, daß sie
+ binnen vier Wochen stattfinden kann.
+
+2. Zu den Sitzungen kann der Vorsitzende nach Bedarf
+ Sachverständige zuziehen.
+
+3. Für Beratungen und Beschlußfassungen im Datenschutzrat ist die
+ Anwesenheit von mehr als der Hälfte seiner Mitglieder erforderlich.
+ Zur Beschlußfassung genügt die einfache Mehrheit der
+ abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des
+ Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Die
+ Beifügung von Minderheitenvoten ist zulässig.
+
+4. Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige
+ Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung
+ und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist
+ auch berechtigt, die Geschäftsführung, Vorbegutachtung und die
+ Bearbeitung einzelner Angelegenheiten einem einzelnen
+ Mitglied (Berichterstatter) zu übertragen.
+
+5. Jedes Mitglied des Datenschutzrates ist verpflichtet, an den
+ Sitzungen – außer im Fall der gerechtfertigten Verhinderung
+ – teilzunehmen. Ist ein Mitglied an der Teilnahme verhindert, hat es
+ hievon unverzüglich das Ersatzmitglied zu verständigen.
+
+6. Der Leiter der Datenschutzbehörde ist berechtigt, an den Sitzungen
+ des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein
+ Stimmrecht steht ihm nicht zu.
+
+7. Die Beratungen in der Sitzung des Datenschutzrates sind, soweit er
+ nicht selbst anderes beschließt, vertraulich.
+
+8. Die Mitglieder des Datenschutzrates, der Leiter der
+ Datenschutzbehörde und die zur Sitzung gemäß Abs. 2 zugezogenen
+ Sachverständigen sind zur Verschwiegenheit über alle ihnen
+ ausschließlich aus ihrer Tätigkeit im Datenschutzrat
+ bekanntgewordenen Tatsachen verpflichtet, sofern die Geheimhaltung
+ im öffentlichen Interesse oder im Interesse einer Partei
+ geboten ist.
-2. Zu den Sitzungen kann der Vorsitzende nach Bedarf Sachverständige zuziehen.
-3. Für Beratungen und Beschlußfassungen im Datenschutzrat ist die Anwesenheit von mehr als der Hälfte seiner Mitglieder erforderlich. Zur Beschlußfassung genügt die einfache Mehrheit der abgegebenen Stimmen. Bei Stimmengleichheit gibt die Stimme des Vorsitzenden den Ausschlag. Stimmenthaltung ist unzulässig. Die Beifügung von Minderheitenvoten ist zulässig.
-
-4. Der Datenschutzrat kann aus seiner Mitte ständige oder nichtständige Arbeitsausschüsse bilden, denen er die Vorbereitung, Begutachtung und Bearbeitung einzelner Angelegenheiten übertragen kann. Er ist auch berechtigt, die Geschäftsführung, Vorbegutachtung und die Bearbeitung einzelner Angelegenheiten einem einzelnen Mitglied (Berichterstatter) zu übertragen.
-
-5. Jedes Mitglied des Datenschutzrates ist verpflichtet, an den Sitzungen – außer im Fall der gerechtfertigten Verhinderung – teilzunehmen. Ist ein Mitglied an der Teilnahme verhindert, hat es hievon unverzüglich das Ersatzmitglied zu verständigen.
-
-6. Der Leiter der Datenschutzbehörde ist berechtigt, an den Sitzungen des Datenschutzrates oder seiner Arbeitsausschüsse teilzunehmen. Ein Stimmrecht steht ihm nicht zu.
-
-7. Die Beratungen in der Sitzung des Datenschutzrates sind, soweit er nicht selbst anderes beschließt, vertraulich.
-
-8. Die Mitglieder des Datenschutzrates, der Leiter der Datenschutzbehörde und die zur Sitzung gemäß Abs. 2 zugezogenen Sachverständigen sind zur Verschwiegenheit über alle ihnen ausschließlich aus ihrer Tätigkeit im Datenschutzrat bekanntgewordenen Tatsachen verpflichtet, sofern die Geheimhaltung im öffentlichen Interesse oder im Interesse einer Partei geboten ist.
diff --git a/dsg2000/art02-par45.md b/dsg2000/art02-par45.md
index 7cb4053..c986b33 100644
--- a/dsg2000/art02-par45.md
+++ b/dsg2000/art02-par45.md
@@ -1,6 +1,15 @@
§45 - Private Zwecke
====================
-1. Für ausschließlich persönliche oder familiäre Tätigkeiten dürfen natürliche Personen Daten verarbeiten, wenn sie ihnen vom Betroffenen selbst mitgeteilt wurden oder ihnen sonst rechtmäßigerweise, insbesondere in Übereinstimmung mit § 7 Abs. 2, zugekommen sind.
+1. Für ausschließlich persönliche oder familiäre Tätigkeiten dürfen
+ natürliche Personen Daten verarbeiten, wenn sie ihnen vom
+ Betroffenen selbst mitgeteilt wurden oder ihnen sonst
+ rechtmäßigerweise, insbesondere in Übereinstimmung mit § 7 Abs. 2,
+ zugekommen sind.
+
+2. Daten, die eine natürliche Person für ausschließlich persönliche
+ oder familiäre Tätigkeiten verarbeitet, dürfen, soweit gesetzlich
+ nicht ausdrücklich anderes vorgesehen ist, für andere Zwecke nur mit
+ Zustimmung des Betroffenen übermittelt werden.
+
-2. Daten, die eine natürliche Person für ausschließlich persönliche oder familiäre Tätigkeiten verarbeitet, dürfen, soweit gesetzlich nicht ausdrücklich anderes vorgesehen ist, für andere Zwecke nur mit Zustimmung des Betroffenen übermittelt werden.
diff --git a/dsg2000/art02-par46.md b/dsg2000/art02-par46.md
index 9dfec55..cecd29b 100644
--- a/dsg2000/art02-par46.md
+++ b/dsg2000/art02-par46.md
@@ -1,36 +1,76 @@
§46 - Wissenschaftliche Forschung und Statistik
===============================================
-1. Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die
+1. Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die
+ keine personenbezogenen Ergebnisse zum Ziel haben, darf der
+ Auftraggeber der Untersuchung alle Daten verwenden, die
- 1. öffentlich zugänglich sind oder
+ 1. öffentlich zugänglich sind oder
- 2. er für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder
+ 2. er für andere Untersuchungen oder auch andere Zwecke
+ zulässigerweise ermittelt hat oder
- 3. für ihn nur indirekt personenbezogen sind.
+ 3. für ihn nur indirekt personenbezogen sind.
- Andere Daten dürfen nur unter den Voraussetzungen des Abs. 2 Z 1 bis 3 verwendet werden.
+ Andere Daten dürfen nur unter den Voraussetzungen des Abs. 2 Z 1 bis
+ 3 verwendet werden.
-2. Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und Statistik, die nicht unter Abs. 1 fallen, dürfen Daten nur
+2. Bei Datenanwendungen für Zwecke wissenschaftlicher Forschung und
+ Statistik, die nicht unter Abs. 1 fallen, dürfen Daten nur
- 1. gemäß besonderen gesetzlichen Vorschriften oder
+ 1. gemäß besonderen gesetzlichen Vorschriften oder
- 2. mit Zustimmung des Betroffenen oder
+ 2. mit Zustimmung des Betroffenen oder
- 3. mit Genehmigung der Datenschutzbehörde gemäß Abs. 3 verwendet werden.
+ 3. mit Genehmigung der Datenschutzbehörde gemäß Abs. 3
+ verwendet werden.
-3. Eine Genehmigung der Datenschutzbehörde für die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik ist auf Antrag des Auftraggebers der Untersuchung zu erteilen, wenn
+3. Eine Genehmigung der Datenschutzbehörde für die Verwendung von Daten
+ für Zwecke der wissenschaftlichen Forschung oder Statistik ist auf
+ Antrag des Auftraggebers der Untersuchung zu erteilen, wenn
- 1. die Einholung der Zustimmung der Betroffenen mangels ihrer Erreichbarkeit unmöglich ist oder sonst einen unverhältnismäßigen Aufwand bedeutet und
+ 1. die Einholung der Zustimmung der Betroffenen mangels ihrer
+ Erreichbarkeit unmöglich ist oder sonst einen
+ unverhältnismäßigen Aufwand bedeutet und
- 2. ein öffentliches Interesse an der beantragten Verwendung besteht und
+ 2. ein öffentliches Interesse an der beantragten Verwendung besteht
+ und
- 3. die fachliche Eignung des Antragstellers glaubhaft gemacht wird.
+ 3. die fachliche Eignung des Antragstellers glaubhaft gemacht wird.
- Sollen sensible Daten ermittelt werden, muß ein wichtiges öffentliches Interesse an der Untersuchung vorliegen; weiters muß gewährleistet sein, daß die Daten beim Auftraggeber der Untersuchung nur von Personen verwendet werden, die hinsichtlich des Gegenstandes der Untersuchung einer gesetzlichen Verschwiegenheitspflicht unterliegen oder deren diesbezügliche Verläßlichkeit sonst glaubhaft ist. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung sensibler Daten, notwendig ist.
+ Sollen sensible Daten ermittelt werden, muß ein wichtiges
+ öffentliches Interesse an der Untersuchung vorliegen; weiters muß
+ gewährleistet sein, daß die Daten beim Auftraggeber der Untersuchung
+ nur von Personen verwendet werden, die hinsichtlich des Gegenstandes
+ der Untersuchung einer gesetzlichen Verschwiegenheitspflicht
+ unterliegen oder deren diesbezügliche Verläßlichkeit sonst
+ glaubhaft ist. Die Datenschutzbehörde kann die Genehmigung an die
+ Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur
+ Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere
+ bei der Verwendung sensibler Daten, notwendig ist.
- a. Einem Antrag nach Abs. 3 ist jedenfalls eine vom Verfügungsbefugten über die Datenbestände, aus denen die Daten ermittelt werden sollen, oder einem sonst darüber Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass er dem Auftraggeber die Datenbestände für die Untersuchung zur Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.
+ a. Einem Antrag nach Abs. 3 ist jedenfalls eine vom
+ Verfügungsbefugten über die Datenbestände, aus denen die Daten
+ ermittelt werden sollen, oder einem sonst darüber
+ Verfügungsbefugten unterfertigte Erklärung anzuschließen, dass
+ er dem Auftraggeber die Datenbestände für die Untersuchung zur
+ Verfügung stellt. Anstelle dieser Erklärung kann auch ein diese
+ Erklärung ersetzender Exekutionstitel (§ 367 Abs. 1 der
+ Exekutionsordnung – EO, RGBl. Nr. 79/1896) vorgelegt werden.
+
+4. Rechtliche Beschränkungen der Zulässigkeit der Benützung von Daten
+ aus anderen, insbesondere urheberrechtlichen Gründen
+ bleiben unberührt.
+
+5. Auch in jenen Fällen, in welchen gemäß den vorstehenden Bestimmungen
+ die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung
+ oder Statistik in personenbezogener Form zulässig ist, ist der
+ direkte Personsbezug unverzüglich zu verschlüsseln, wenn in
+ einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit
+ mit nur indirekt personenbezogenen Daten das Auslangen gefunden
+ werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen
+ ist, ist der Personsbezug der Daten gänzlich zu beseitigen, sobald
+ er für die wissenschaftliche oder statistische Arbeit nicht mehr
+ notwendig ist.
-4. Rechtliche Beschränkungen der Zulässigkeit der Benützung von Daten aus anderen, insbesondere urheberrechtlichen Gründen bleiben unberührt.
-5. Auch in jenen Fällen, in welchen gemäß den vorstehenden Bestimmungen die Verwendung von Daten für Zwecke der wissenschaftlichen Forschung oder Statistik in personenbezogener Form zulässig ist, ist der direkte Personsbezug unverzüglich zu verschlüsseln, wenn in einzelnen Phasen der wissenschaftlichen oder statistischen Arbeit mit nur indirekt personenbezogenen Daten das Auslangen gefunden werden kann. Sofern gesetzlich nicht ausdrücklich anderes vorgesehen ist, ist der Personsbezug der Daten gänzlich zu beseitigen, sobald er für die wissenschaftliche oder statistische Arbeit nicht mehr notwendig ist.
diff --git a/dsg2000/art02-par47.md b/dsg2000/art02-par47.md
index a557ed9..1780d30 100644
--- a/dsg2000/art02-par47.md
+++ b/dsg2000/art02-par47.md
@@ -1,30 +1,63 @@
§47 - Zurverfügungstellung von Adressen zur Benachrichtigung und Befragung von Betroffenen
==========================================================================================
-1. Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf die Übermittlung von Adreßdaten eines bestimmten Kreises von Betroffenen zum Zweck ihrer Benachrichtigung oder Befragung der Zustimmung der Betroffenen.
+1. Soweit gesetzlich nicht ausdrücklich anderes bestimmt ist, bedarf
+ die Übermittlung von Adreßdaten eines bestimmten Kreises von
+ Betroffenen zum Zweck ihrer Benachrichtigung oder Befragung der
+ Zustimmung der Betroffenen.
-2. Wenn allerdings angesichts der Auswahlkriterien für den Betroffenenkreis und des Gegenstands der Benachrichtigung oder Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der Betroffenen unwahrscheinlich ist, bedarf es keiner Zustimmung, wenn
+2. Wenn allerdings angesichts der Auswahlkriterien für den
+ Betroffenenkreis und des Gegenstands der Benachrichtigung oder
+ Befragung eine Beeinträchtigung der Geheimhaltungsinteressen der
+ Betroffenen unwahrscheinlich ist, bedarf es keiner Zustimmung, wenn
- 1. Daten desselben Auftraggebers verwendet werden oder
+ 1. Daten desselben Auftraggebers verwendet werden oder
- 2. bei einer beabsichtigten Übermittlung der Adreßdaten an Dritte
+ 2. bei einer beabsichtigten Übermittlung der Adreßdaten an Dritte
- a. an der Benachrichtigung oder Befragung auch ein öffentliches Interesse besteht oder
+ a. an der Benachrichtigung oder Befragung auch ein öffentliches
+ Interesse besteht oder
- b. der Betroffene nach entsprechender Information über Anlaß und Inhalt der Übermittlung innerhalb angemessener Frist keinen Widerspruch gegen die Übermittlung erhoben hat.
+ b. der Betroffene nach entsprechender Information über Anlaß
+ und Inhalt der Übermittlung innerhalb angemessener Frist
+ keinen Widerspruch gegen die Übermittlung erhoben hat.
-3. Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die Einholung der Zustimmung der Betroffenen gemäß Abs. 1 einen unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der Adreßdaten mit Genehmigung der Datenschutzbehörde gemäß Abs. 4 zulässig, falls die Übermittlung an Dritte
+3. Liegen die Voraussetzungen des Abs. 2 nicht vor und würde die
+ Einholung der Zustimmung der Betroffenen gemäß Abs. 1 einen
+ unverhältnismäßigen Aufwand erfordern, ist die Übermittlung der
+ Adreßdaten mit Genehmigung der Datenschutzbehörde gemäß Abs. 4
+ zulässig, falls die Übermittlung an Dritte
- 1. zum Zweck der Benachrichtigung oder Befragung aus einem wichtigen Interesse des Betroffenen selbst oder
+ 1. zum Zweck der Benachrichtigung oder Befragung aus einem
+ wichtigen Interesse des Betroffenen selbst oder
- 2. aus einem wichtigen öffentlichen Benachrichtigungs- oder Befragungsinteresse oder
+ 2. aus einem wichtigen öffentlichen Benachrichtigungs- oder
+ Befragungsinteresse oder
- 3. zur Befragung der Betroffenen für wissenschaftliche oder statistische Zwecke
+ 3. zur Befragung der Betroffenen für wissenschaftliche oder
+ statistische Zwecke
- erfolgen soll.
+ erfolgen soll.
-4. Die Datenschutzbehörde hat auf Antrag eines Auftraggebers, der Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu erteilen, wenn der Antragsteller das Vorliegen der in Abs. 3 genannten Voraussetzungen glaubhaft macht und überwiegende schutzwürdige Geheimhaltungsinteressen der Betroffenen der Übermittlung nicht entgegenstehen. Die Datenschutzbehörde kann die Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen, soweit dies zur Wahrung der schutzwürdigen Interessen der Betroffenen, insbesondere bei der Verwendung sensibler Daten als Auswahlkriterium, notwendig ist.
+4. Die Datenschutzbehörde hat auf Antrag eines Auftraggebers, der
+ Adressdaten verarbeitet, die Genehmigung zur Übermittlung zu
+ erteilen, wenn der Antragsteller das Vorliegen der in Abs. 3
+ genannten Voraussetzungen glaubhaft macht und überwiegende
+ schutzwürdige Geheimhaltungsinteressen der Betroffenen der
+ Übermittlung nicht entgegenstehen. Die Datenschutzbehörde kann die
+ Genehmigung an die Erfüllung von Bedingungen und Auflagen knüpfen,
+ soweit dies zur Wahrung der schutzwürdigen Interessen der
+ Betroffenen, insbesondere bei der Verwendung sensibler Daten als
+ Auswahlkriterium, notwendig ist.
+
+5. Die übermittelten Adreßdaten dürfen ausschließlich für den
+ genehmigten Zweck verwendet werden und sind zu löschen, sobald sie
+ für die Benachrichtigung oder Befragung nicht mehr benötigt werden.
+
+6. In jenen Fällen, in welchen es gemäß den vorstehenden Bestimmungen
+ zulässig ist, Namen und Adresse von Personen, die einem bestimmten
+ Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum
+ Zweck der Auswahl der zu übermittelnden Adreßdaten notwendigen
+ Verarbeitungen vorgenommen werden.
-5. Die übermittelten Adreßdaten dürfen ausschließlich für den genehmigten Zweck verwendet werden und sind zu löschen, sobald sie für die Benachrichtigung oder Befragung nicht mehr benötigt werden.
-6. In jenen Fällen, in welchen es gemäß den vorstehenden Bestimmungen zulässig ist, Namen und Adresse von Personen, die einem bestimmten Betroffenenkreis angehören, zu übermitteln, dürfen auch die zum Zweck der Auswahl der zu übermittelnden Adreßdaten notwendigen Verarbeitungen vorgenommen werden.
diff --git a/dsg2000/art02-par48.md b/dsg2000/art02-par48.md
index fdcf2a2..3b91081 100644
--- a/dsg2000/art02-par48.md
+++ b/dsg2000/art02-par48.md
@@ -1,8 +1,19 @@
§48 - Publizistische Tätigkeit
==============================
-1. Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter Daten unmittelbar für ihre publizistische Tätigkeit im Sinne des Mediengesetzes verwenden, sind von den einfachgesetzlichen Bestimmungen des vorliegenden Bundesgesetzes nur die §§ 4 bis 6, 10, 11, 14 und 15 anzuwenden.
+1. Soweit Medienunternehmen, Mediendienste oder ihre Mitarbeiter Daten
+ unmittelbar für ihre publizistische Tätigkeit im Sinne des
+ Mediengesetzes verwenden, sind von den einfachgesetzlichen
+ Bestimmungen des vorliegenden Bundesgesetzes nur die §§ 4 bis 6, 10,
+ 11, 14 und 15 anzuwenden.
+
+2. Die Verwendung von Daten für Tätigkeiten nach Abs. 1 ist insoweit
+ zulässig, als dies zur Erfüllung der Informationsaufgabe der
+ Medienunternehmer, Mediendienste und ihrer Mitarbeiter in Ausübung
+ des Grundrechtes auf freie Meinungsäußerung gemäß Art. 10 Abs. 1
+ EMRK erforderlich ist.
+
+3. Im übrigen gelten die Bestimmungen des Mediengesetzes, insbesondere
+ seines dritten Abschnitts über den Persönlichkeitsschutz.
-2. Die Verwendung von Daten für Tätigkeiten nach Abs. 1 ist insoweit zulässig, als dies zur Erfüllung der Informationsaufgabe der Medienunternehmer, Mediendienste und ihrer Mitarbeiter in Ausübung des Grundrechtes auf freie Meinungsäußerung gemäß Art. 10 Abs. 1 EMRK erforderlich ist.
-3. Im übrigen gelten die Bestimmungen des Mediengesetzes, insbesondere seines dritten Abschnitts über den Persönlichkeitsschutz.
diff --git a/dsg2000/art02-par48a.md b/dsg2000/art02-par48a.md
index 4396d56..c5f8a49 100644
--- a/dsg2000/art02-par48a.md
+++ b/dsg2000/art02-par48a.md
@@ -1,24 +1,111 @@
§48a - Verwendung von Daten im Katastrophenfall
===============================================
-1. Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für die von der Katastrophe unmittelbar betroffenen Personen, zur Auffindung und Identifizierung von Abgängigen und Verstorbenen und zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung in Form der Teilnahme an einem Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen übermitteln, sofern diese die Daten zur Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des konkreten Zwecks nicht mehr benötigt werden.
+1. Auftraggeber des öffentlichen Bereiches sind im Katastrophenfall
+ ermächtigt, Daten zu verwenden, soweit dies zur Hilfeleistung für
+ die von der Katastrophe unmittelbar betroffenen Personen, zur
+ Auffindung und Identifizierung von Abgängigen und Verstorbenen und
+ zur Information von Angehörigen notwendig ist. Zu diesem Zweck sind
+ auch Hilfsorganisationen (Abs. 6) nach Maßgabe der ihnen zukommenden
+ Aufgaben und rechtlichen Befugnis ermächtigt, Daten zu verwenden.
+ Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist,
+ darf eine Datenverwendung in Form der Teilnahme an einem
+ Informationsverbundsystem erfolgen. Wer rechtmäßig über Daten
+ verfügt, darf diese an Auftraggeber des öffentlichen Bereiches und
+ Hilfsorganisationen übermitteln, sofern diese die Daten zur
+ Bewältigung der Katastrophe für die genannten Zwecke benötigen. Die
+ Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung des
+ konkreten Zwecks nicht mehr benötigt werden.
-2. Eine Überlassung oder Übermittlung von Daten in das Ausland ist zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der Katastrophe notwendig ist, darf eine Datenverwendung durch Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen in Form der Teilnahme an einem Informationsverbundsystem, an dem auch ausländische Auftraggeber beteiligt sind, erfolgen. Die Übermittlung erkennungsdienstlicher und sensibler Daten zu Identifizierungszwecken an ein derartiges System darf erst stattfinden, wenn auf Grund von Erhebungen konkrete Anhaltspunkte dafür vorliegen, dass die vermisste Person verstorben sein dürfte. Daten, die für sich allein den Betroffenen strafrechtlich belasten, dürfen nicht übermittelt werden, es sei denn, dass diese zur Identifizierung im Einzelfall unbedingt notwendig sind. Die Übermittlung von Daten Angehöriger darf nur in pseudonymisierter Form erfolgen. Daten dürfen in Staaten ohne angemessenes Datenschutzniveau nur übermittelt oder überlassen werden, wenn der Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem Empfänger oder auf Grund schriftlicher Zusagen des Empfängers oder, wenn dies nach den Umständen nicht oder nicht in angemessener Zeit möglich ist, durch Erteilung von Auflagen an den Empfänger davon ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu unterbleiben, wenn Grund zur Annahme besteht, dass der Empfänger nicht für den gebotenen Schutz der Geheimhaltungsinteressen der Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche Auflagen des Auftraggebers missachten werde. Während der Dauer der Katastrophensituation entfällt im Hinblick auf § 12 Abs. 3 Z 3 die Genehmigungspflicht. Die Datenschutzbehörde ist von den veranlassten Übermittlungen und Überlassungen und den näheren Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich zu verständigen. Die Datenschutzbehörde kann zum Schutz der Betroffenenrechte Datenübermittlungen oder -überlassungen untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in das Grundrecht auf Datenschutz durch die besonderen Umstände der Katastrophensituation nicht gerechtfertigt ist.
+2. Eine Überlassung oder Übermittlung von Daten in das Ausland ist
+ zulässig, soweit dies für die Erfüllung der in Abs. 1 genannten
+ Zwecke notwendig ist. Wenn dies zur raschen Bewältigung der
+ Katastrophe notwendig ist, darf eine Datenverwendung durch
+ Auftraggeber des öffentlichen Bereichs und Hilfsorganisationen in
+ Form der Teilnahme an einem Informationsverbundsystem, an dem auch
+ ausländische Auftraggeber beteiligt sind, erfolgen. Die Übermittlung
+ erkennungsdienstlicher und sensibler Daten zu
+ Identifizierungszwecken an ein derartiges System darf erst
+ stattfinden, wenn auf Grund von Erhebungen konkrete Anhaltspunkte
+ dafür vorliegen, dass die vermisste Person verstorben sein dürfte.
+ Daten, die für sich allein den Betroffenen strafrechtlich belasten,
+ dürfen nicht übermittelt werden, es sei denn, dass diese zur
+ Identifizierung im Einzelfall unbedingt notwendig sind. Die
+ Übermittlung von Daten Angehöriger darf nur in pseudonymisierter
+ Form erfolgen. Daten dürfen in Staaten ohne angemessenes
+ Datenschutzniveau nur übermittelt oder überlassen werden, wenn der
+ Auftraggeber auf Grund schriftlicher Vereinbarungen mit dem
+ Empfänger oder auf Grund schriftlicher Zusagen des Empfängers oder,
+ wenn dies nach den Umständen nicht oder nicht in angemessener Zeit
+ möglich ist, durch Erteilung von Auflagen an den Empfänger davon
+ ausgehen kann, dass die schutzwürdigen Geheimhaltungsinteressen der
+ vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend
+ gewahrt werden. Eine Übermittlung oder Überlassung hat dann zu
+ unterbleiben, wenn Grund zur Annahme besteht, dass der Empfänger
+ nicht für den gebotenen Schutz der Geheimhaltungsinteressen der
+ Betroffenen Sorge tragen oder ausdrückliche datenschutzrechtliche
+ Auflagen des Auftraggebers missachten werde. Während der Dauer der
+ Katastrophensituation entfällt im Hinblick auf § 12 Abs. 3 Z 3
+ die Genehmigungspflicht. Die Datenschutzbehörde ist von den
+ veranlassten Übermittlungen und Überlassungen und den näheren
+ Umständen des Anlass gebenden Sachverhaltes jedoch unverzüglich
+ zu verständigen. Die Datenschutzbehörde kann zum Schutz der
+ Betroffenenrechte Datenübermittlungen oder -überlassungen
+ untersagen, wenn der durch die Datenweitergabe bewirkte Eingriff in
+ das Grundrecht auf Datenschutz durch die besonderen Umstände der
+ Katastrophensituation nicht gerechtfertigt ist.
-3. Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer tatsächlich oder vermutlich von der Katastrophe unmittelbar betroffenen Person sind Auftraggeber ermächtigt, dem Anfragenden Daten über die Reise in das und aus dem Katastrophengebiet, Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand der Ausforschung von betroffenen Personen zu übermitteln, wenn der Angehörige folgende Daten bekannt gibt:
+3. Auf Grund einer konkreten Anfrage eines nahen Angehörigen einer
+ tatsächlich oder vermutlich von der Katastrophe unmittelbar
+ betroffenen Person sind Auftraggeber ermächtigt, dem Anfragenden
+ Daten über die Reise in das und aus dem Katastrophengebiet,
+ Aufenthaltsdaten im Katastrophengebiet sowie Daten über den Stand
+ der Ausforschung von betroffenen Personen zu übermitteln, wenn der
+ Angehörige folgende Daten bekannt gibt:
- 1. Vor- und Zuname, Geburtsdatum sowie Wohnadresse der tatsächlich oder vermutlich von der Katastrophe betroffenen Person und
+ 1. Vor- und Zuname, Geburtsdatum sowie Wohnadresse der tatsächlich
+ oder vermutlich von der Katastrophe betroffenen Person und
- 2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse und sonstige Erreichbarkeit sowie seine Angehörigeneigenschaft zur betroffenen Person.
+ 2. seinen Vor- und Zunamen, sein Geburtsdatum, seine Wohnadresse
+ und sonstige Erreichbarkeit sowie seine Angehörigeneigenschaft
+ zur betroffenen Person.
- Bestehen Zweifel an der Angehörigeneigenschaft und können diese durch Überprüfungen nicht ausgeräumt werden, ist ein Nachweis der Identität und Angehörigeneigenschaft notwendig.
+ Bestehen Zweifel an der Angehörigeneigenschaft und können diese
+ durch Überprüfungen nicht ausgeräumt werden, ist ein Nachweis der
+ Identität und Angehörigeneigenschaft notwendig.
-4. Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des öffentlichen Bereiches und Hilfsorganisationen Daten einschließlich sensibler Daten über tatsächlich oder vermutlich unmittelbar von der Katastrophe betroffene Personen nur übermittelt werden, wenn sie ihre Identität und ihre Angehörigeneigenschaft nachweisen und die Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person erforderlich ist. Die Sozialversicherungsträger sind verpflichtet, die Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen bei der Überprüfung der Daten gemäß Abs. 3 und der Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die zur Überprüfung dieser Angaben notwendigen Daten im Wege der Amtshilfe zu ermitteln und für diesen Zweck zu verwenden.
+4. Über Abs. 3 hinaus dürfen nahen Angehörigen von Auftraggebern des
+ öffentlichen Bereiches und Hilfsorganisationen Daten einschließlich
+ sensibler Daten über tatsächlich oder vermutlich unmittelbar von der
+ Katastrophe betroffene Personen nur übermittelt werden, wenn sie
+ ihre Identität und ihre Angehörigeneigenschaft nachweisen und die
+ Auskunft zur Wahrung ihrer Rechte oder jener der betroffenen Person
+ erforderlich ist. Die Sozialversicherungsträger sind verpflichtet,
+ die Auftraggeber des öffentlichen Bereiches und Hilfsorganisationen
+ bei der Überprüfung der Daten gemäß Abs. 3 und der
+ Angehörigenbeziehung zu unterstützen. Behörden sind ermächtigt, die
+ zur Überprüfung dieser Angaben notwendigen Daten im Wege der
+ Amtshilfe zu ermitteln und für diesen Zweck zu verwenden.
-5. Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder, Ehegatten, eingetragene Partner und Lebensgefährten der Betroffenen zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn sie eine besondere Nahebeziehung zu der von der Katastrophe tatsächlich oder vermutlich unmittelbar betroffenen Person glaubhaft machen.
+5. Als nahe Angehörige im Sinne dieser Bestimmung sind Eltern, Kinder,
+ Ehegatten, eingetragene Partner und Lebensgefährten der Betroffenen
+ zu verstehen. Andere Angehörige dürfen die erwähnten Auskünfte unter
+ denselben Voraussetzungen wie nahe Angehörige dann erhalten, wenn
+ sie eine besondere Nahebeziehung zu der von der Katastrophe
+ tatsächlich oder vermutlich unmittelbar betroffenen Person
+ glaubhaft machen.
-6. Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein anerkannte gemeinnützige Organisation, die statuten- oder satzungsgemäß das Ziel hat, Menschen in Notsituationen zu unterstützen und von der angenommen werden kann, dass sie in wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall erbringen kann.
+6. Eine Hilfsorganisation im Sinne dieser Bestimmung ist eine allgemein
+ anerkannte gemeinnützige Organisation, die statuten- oder
+ satzungsgemäß das Ziel hat, Menschen in Notsituationen zu
+ unterstützen und von der angenommen werden kann, dass sie in
+ wesentlichem Ausmaß eine Hilfeleistung im Katastrophenfall
+ erbringen kann.
+
+7. Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7
+ zu protokollieren.
+
+8. Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in
+ den §§ 8 und 9 genannter Tatbestände bleibt unberührt.
-7. Alle Datenverwendungen sind im Sinne des § 14 Abs. 2 Z 7 zu protokollieren.
-8. Die Zulässigkeit von Datenverwendungen auf der Grundlage anderer in den §§ 8 und 9 genannter Tatbestände bleibt unberührt.
diff --git a/dsg2000/art02-par49.md b/dsg2000/art02-par49.md
index 8839bd1..07d341f 100644
--- a/dsg2000/art02-par49.md
+++ b/dsg2000/art02-par49.md
@@ -1,14 +1,29 @@
§49 - Automatisierte Einzelentscheidungen
=========================================
-1. Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.
+1. Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden
+ oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen
+ werden, die ausschließlich auf Grund einer automationsunterstützten
+ Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte
+ seiner Person ergeht, wie beispielsweise seiner beruflichen
+ Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit
+ oder seines Verhaltens.
-2. Abweichend von Abs. 1 darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn
+2. Abweichend von Abs. 1 darf eine Person einer ausschließlich
+ automationsunterstützt erzeugten Entscheidung unterworfen werden,
+ wenn
- 1. dies gesetzlich ausdrücklich vorgesehen ist oder
+ 1. dies gesetzlich ausdrücklich vorgesehen ist oder
- 2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluß oder Erfüllung des Vertrages stattgegeben wurde oder
+ 2. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung
+ eines Vertrages ergeht und dem Ersuchen des Betroffenen auf
+ Abschluß oder Erfüllung des Vertrages stattgegeben wurde oder
+
+ 3. die Wahrung der berechtigten Interessen des Betroffenen durch
+ geeignete Maßnahmen – beispielsweise die Möglichkeit, seinen
+ Standpunkt geltend zu machen – garantiert wird.
+
+3. Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf
+ Antrag der logische Ablauf der autom
- 3. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen – beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen – garantiert wird.
-3. Dem Betroffenen ist bei automatisierten Einzelentscheidungen auf Antrag der logische Ablauf der autom
diff --git a/dsg2000/art02-par50.md b/dsg2000/art02-par50.md
index 5bc1cc5..72b7607 100644
--- a/dsg2000/art02-par50.md
+++ b/dsg2000/art02-par50.md
@@ -1,10 +1,51 @@
§50 - Informationsverbundsysteme
================================
-1. Die Auftraggeber eines Informationsverbundsystems haben, soweit dies nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber für das System zu bestellen. Name (Bezeichnung) und Anschrift des Betreibers sind in der Meldung zwecks Eintragung in das Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben, die notwendig sind, um den für die Verarbeitung seiner Daten im System verantwortlichen Auftraggeber festzustellen; in Fällen, in welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung unterliegender Auftraggeber benannt werden kann. Abgesehen von der abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die Unterstützungspflicht des Betreibers gilt auch bei Anfragen von Behörden. Den Betreiber trifft überdies die Verantwortung für die notwendigen Maßnahmen der Datensicherheit (§ 14) im Informationsverbundsystem. Von der Haftung für diese Verantwortung kann sich der Betreiber unter den gleichen Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien. Wird ein Informationsverbundsystem geführt, ohne daß eine entsprechende Meldung an die Datenschutzbehörde unter Angabe eines Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die Pflichten des Betreibers.
+1. Die Auftraggeber eines Informationsverbundsystems haben, soweit dies
+ nicht bereits durch Gesetz geregelt ist, einen geeigneten Betreiber
+ für das System zu bestellen. Name (Bezeichnung) und Anschrift des
+ Betreibers sind in der Meldung zwecks Eintragung in das
+ Datenverarbeitungsregister bekannt zu geben. Unbeschadet des Rechtes
+ des Betroffenen auf Auskunft nach § 26 hat der Betreiber jedem
+ Betroffenen auf Antrag binnen zwölf Wochen alle Auskünfte zu geben,
+ die notwendig sind, um den für die Verarbeitung seiner Daten im
+ System verantwortlichen Auftraggeber festzustellen; in Fällen, in
+ welchen der Auftraggeber gemäß § 26 Abs. 5 vorzugehen hätte, hat der
+ Betreiber mitzuteilen, daß kein der Pflicht zur Auskunftserteilung
+ unterliegender Auftraggeber benannt werden kann. Abgesehen von der
+ abweichenden Frist gilt § 26 Abs. 3 bis 10 sinngemäß. Die
+ Unterstützungspflicht des Betreibers gilt auch bei Anfragen
+ von Behörden. Den Betreiber trifft überdies die Verantwortung für
+ die notwendigen Maßnahmen der Datensicherheit (§ 14)
+ im Informationsverbundsystem. Von der Haftung für diese
+ Verantwortung kann sich der Betreiber unter den gleichen
+ Voraussetzungen, wie sie in § 33 Abs. 3 vorgesehen sind, befreien.
+ Wird ein Informationsverbundsystem geführt, ohne daß eine
+ entsprechende Meldung an die Datenschutzbehörde unter Angabe eines
+ Betreibers erfolgt ist, treffen jeden einzelnen Auftraggeber die
+ Pflichten des Betreibers.
-2. Durch entsprechenden Rechtsakt können auch weitere Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung des Informationsverbundsystems, auf den Betreiber übertragen werden. Allein für die Übertragung der Meldepflicht ist die Vorlage von Vollmachten nach § 10 AVG nicht erforderlich. Soweit der Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er gegenüber Dritten nur wirksam, wenn er – auf Grund einer entsprechenden Meldung an die Datenschutzbehörde – aus der Registrierung im Datenverarbeitungsregister ersichtlich ist.
+2. Durch entsprechenden Rechtsakt können auch weitere
+ Auftraggeberpflichten, insbesondere auch die Vornahme der Meldung
+ des Informationsverbundsystems, auf den Betreiber übertragen werden.
+ Allein für die Übertragung der Meldepflicht ist die Vorlage von
+ Vollmachten nach § 10 AVG nicht erforderlich. Soweit der
+ Pflichtenübergang nicht durch Gesetz angeordnet ist, ist er
+ gegenüber Dritten nur wirksam, wenn er – auf Grund einer
+ entsprechenden Meldung an die Datenschutzbehörde – aus der
+ Registrierung im Datenverarbeitungsregister ersichtlich ist.
+
+ a. Wird ein Informationsverbundsystem auf Grund einer Meldung von
+ zumindest zwei Auftraggebern registriert, so können
+ Auftraggeber, die in der Folge die Teilnahme an dem
+ Informationsverbundsystem anstreben, die Meldung im Umfang des §
+ 19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung
+ eines bereits registrierten Auftraggebers beschränken, wenn sie
+ eine Teilnahme im genau gleichen Umfang anstreben.
+
+3. Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der
+ besonderen, insbesondere internationalen Struktur eines bestimmten
+ Informationsverbundsystems gesetzlich ausdrücklich anderes
+ vorgesehen ist.
- a. Wird ein Informationsverbundsystem auf Grund einer Meldung von zumindest zwei Auftraggebern registriert, so können Auftraggeber, die in der Folge die Teilnahme an dem Informationsverbundsystem anstreben, die Meldung im Umfang des § 19 Abs. 1 Z 3 bis 7 auf einen Verweis auf den Inhalt der Meldung eines bereits registrierten Auftraggebers beschränken, wenn sie eine Teilnahme im genau gleichen Umfang anstreben.
-3. Die Bestimmungen der Abs. 1 und 2 gelten nicht, soweit infolge der besonderen, insbesondere internationalen Struktur eines bestimmten Informationsverbundsystems gesetzlich ausdrücklich anderes vorgesehen ist.
diff --git a/dsg2000/art02-par50a.md b/dsg2000/art02-par50a.md
index 32c9cb7..b312109 100644
--- a/dsg2000/art02-par50a.md
+++ b/dsg2000/art02-par50a.md
@@ -1,34 +1,86 @@
§50a - Allgemeines
==================
-1. Videoüberwachung im Sinne dieses Abschnittes bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder eine bestimmte Person (überwachte Person) betreffen, durch technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige Überwachungen gelten die folgenden Absätze, sofern nicht durch andere Gesetze Besonderes bestimmt ist.
+1. Videoüberwachung im Sinne dieses Abschnittes bezeichnet die
+ systematische, insbesondere fortlaufende Feststellung von
+ Ereignissen, die ein bestimmtes Objekt (überwachtes Objekt) oder
+ eine bestimmte Person (überwachte Person) betreffen, durch
+ technische Bildaufnahme- oder Bildübertragungsgeräte. Für derartige
+ Überwachungen gelten die folgenden Absätze, sofern nicht durch
+ andere Gesetze Besonderes bestimmt ist.
+
+2. Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der
+ Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer
+ Videoüberwachung, insbesondere der Auswertung und Übermittlung der
+ dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur
+ der Schutz des überwachten Objekts oder der überwachten Person oder
+ die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich
+ der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1.
+ Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt.
+
+3. Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen
+ schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt,
+ wenn
+
+ 1. diese im lebenswichtigen Interesse einer Person erfolgt, oder
+
+ 2. Daten über ein Verhalten verarbeitet werden, das ohne jeden
+ Zweifel den Schluss zulässt, dass es darauf gerichtet war,
+ öffentlich wahrgenommen zu werden, oder
+
+ 3. er der Verwendung seiner Daten im Rahmen der Überwachung
+ ausdrücklich zugestimmt hat.
+
+4. Ein Betroffener ist darüber hinaus durch eine Videoüberwachung
+ ausschließlich dann nicht in seinen schutzwürdigen
+ Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht
+ im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und
+
+ 1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte
+ Objekt oder die überwachte Person könnte das Ziel oder der Ort
+ eines gefährlichen Angriffs werden, oder
+
+ 2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des
+ Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder
+ gerichtliche Entscheidungen dem Auftraggeber spezielle
+ Sorgfaltspflichten zum Schutz des überwachten Objekts oder der
+ überwachten Person auferlegen, oder
+
+ 3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das
+ überwachte Objekt/die überwachte Person betreffenden Ereignisse
+ erschöpft, diese also weder gespeichert (aufgezeichnet) noch in
+ sonst einer anderen Form weiterverarbeitet werden
+ (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib,
+ Leben oder Eigentum des Auftraggebers erfolgt.
+
+5. Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an
+ Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich
+ eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck
+ der Mitarbeiterkontrolle an Arbeitsstätten untersagt.
+
+6. Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann
+ nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten
+ über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in
+ folgenden Fällen übermittelt werden:
+
+ 1. an die zuständige Behörde oder das zuständige Gericht, weil beim
+ Auftraggeber der begründete Verdacht entstanden ist, die Daten
+ könnten eine von Amts wegen zu verfolgende gerichtlich strafbare
+ Handlung dokumentieren, oder
+
+ 2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5
+ des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991,
+ eingeräumten Befugnisse,
+
+ auch wenn sich die Handlung oder der Angriff nicht gegen das
+ überwachte Objekt oder die überwachte Person richtet. Die Befugnisse
+ von Behörden und Gerichten zur Durchsetzung der Herausgabe von
+ Beweismaterial und zur Beweismittelsicherung sowie damit
+ korrespondierende Verpflichtungen des Auftraggebers
+ bleiben unberührt.
+
+7. Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen
+ nicht automationsunterstützt mit anderen Bilddaten abgeglichen und
+ nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden.
-2. Für Videoüberwachung gelten die §§ 6 und 7, insbesondere der Verhältnismäßigkeitsgrundsatz (§ 7 Abs. 3). Rechtmäßige Zwecke einer Videoüberwachung, insbesondere der Auswertung und Übermittlung der dabei ermittelten Daten, sind jedoch vorbehaltlich des Abs. 5 nur der Schutz des überwachten Objekts oder der überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich der Beweissicherung, im Hinblick auf Ereignisse nach Abs. 1. Persönlichkeitsrechte nach § 16 ABGB bleiben unberührt.
-3. Ein Betroffener ist durch eine Videoüberwachung dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn
-
- 1. diese im lebenswichtigen Interesse einer Person erfolgt, oder
-
- 2. Daten über ein Verhalten verarbeitet werden, das ohne jeden Zweifel den Schluss zulässt, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden, oder
-
- 3. er der Verwendung seiner Daten im Rahmen der Überwachung ausdrücklich zugestimmt hat.
-
-4. Ein Betroffener ist darüber hinaus durch eine Videoüberwachung ausschließlich dann nicht in seinen schutzwürdigen Geheimhaltungsinteressen (§ 7 Abs. 2 Z 3) verletzt, wenn sie nicht im Rahmen der Vollziehung hoheitlicher Aufgaben erfolgt und
-
- 1. bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt oder die überwachte Person könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, oder
-
- 2. unmittelbar anwendbare Rechtsvorschriften des Völker- oder des Gemeinschaftsrechts, Gesetze, Verordnungen, Bescheide oder gerichtliche Entscheidungen dem Auftraggeber spezielle Sorgfaltspflichten zum Schutz des überwachten Objekts oder der überwachten Person auferlegen, oder
-
- 3. sich die Überwachung in einer bloßen Echtzeitwiedergabe von das überwachte Objekt/die überwachte Person betreffenden Ereignisse erschöpft, diese also weder gespeichert (aufgezeichnet) noch in sonst einer anderen Form weiterverarbeitet werden (Echtzeitüberwachung), und sie zum Zweck des Schutzes von Leib, Leben oder Eigentum des Auftraggebers erfolgt.
-
-5. Mit einer Videoüberwachung nach Abs. 4 dürfen nicht Ereignisse an Orten festgestellt werden, die zum höchstpersönlichen Lebensbereich eines Betroffenen zählen. Weiters ist die Videoüberwachung zum Zweck der Mitarbeiterkontrolle an Arbeitsstätten untersagt.
-
-6. Schutzwürdige Geheimhaltungsinteressen Betroffener sind auch dann nicht verletzt, wenn durch Videoüberwachung aufgezeichnete Daten über eine Verwendung entsprechend den Abs. 2 bis 4 hinaus in folgenden Fällen übermittelt werden:
-
- 1. an die zuständige Behörde oder das zuständige Gericht, weil beim Auftraggeber der begründete Verdacht entstanden ist, die Daten könnten eine von Amts wegen zu verfolgende gerichtlich strafbare Handlung dokumentieren, oder
-
- 2. an Sicherheitsbehörden zur Ausübung der diesen durch § 53 Abs. 5 des Sicherheitspolizeigesetzes – SPG, BGBl. Nr. 566/1991, eingeräumten Befugnisse,
-
- auch wenn sich die Handlung oder der Angriff nicht gegen das überwachte Objekt oder die überwachte Person richtet. Die Befugnisse von Behörden und Gerichten zur Durchsetzung der Herausgabe von Beweismaterial und zur Beweismittelsicherung sowie damit korrespondierende Verpflichtungen des Auftraggebers bleiben unberührt.
-
-7. Mit einer Videoüberwachung gewonnene Daten von Betroffenen dürfen nicht automationsunterstützt mit anderen Bilddaten abgeglichen und nicht nach sensiblen Daten als Auswahlkriterium durchsucht werden.
diff --git a/dsg2000/art02-par50b.md b/dsg2000/art02-par50b.md
index 306cdab..8508e01 100644
--- a/dsg2000/art02-par50b.md
+++ b/dsg2000/art02-par50b.md
@@ -1,6 +1,18 @@
§50b - Besondere Protokollierungs- und Löschungspflicht
=======================================================
-1. Jeder Verwendungsvorgang einer Videoüberwachung ist zu protokollieren. Dies gilt nicht für Fälle der Echtzeitüberwachung.
+1. Jeder Verwendungsvorgang einer Videoüberwachung ist
+ zu protokollieren. Dies gilt nicht für Fälle
+ der Echtzeitüberwachung.
+
+2. Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für
+ die Verwirklichung der zu Grunde liegenden Schutz- oder
+ Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt
+ werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt.
+ Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung
+ anzuführen und zu begründen. In diesem Fall darf die
+ Datenschutzbehörde die Videoüberwachung nur registrieren, wenn dies
+ aus besonderen Gründen zur Zweckerreichung regelmäßig
+ erforderlich ist.
+
-2. Aufgezeichnete Daten sind, sofern sie nicht aus konkretem Anlass für die Verwirklichung der zu Grunde liegenden Schutz- oder Beweissicherungszwecke oder für Zwecke nach § 50a Abs. 6 benötigt werden, spätestens nach 72 Stunden zu löschen. § 33 Abs. 2 AVG gilt. Eine beabsichtigte längere Aufbewahrungsdauer ist in der Meldung anzuführen und zu begründen. In diesem Fall darf die Datenschutzbehörde die Videoüberwachung nur registrieren, wenn dies aus besonderen Gründen zur Zweckerreichung regelmäßig erforderlich ist.
diff --git a/dsg2000/art02-par50c.md b/dsg2000/art02-par50c.md
index 036d31c..62ed539 100644
--- a/dsg2000/art02-par50c.md
+++ b/dsg2000/art02-par50c.md
@@ -1,12 +1,31 @@
§50c - Meldepflicht und Registrierungsverfahren
===============================================
-1. Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff. Sofern der Auftraggeber nicht in der Meldung zusagt, die Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des einzigen Schlüssels bei der Datenschutzbehörde sicherzustellen, dass eine Auswertung der Videoaufzeichnungen nur im begründeten Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von § 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen sind, sind diese im Registrierungsverfahren vorzulegen.
+1. Videoüberwachungen unterliegen der Meldepflicht gemäß den §§ 17 ff.
+ Sofern der Auftraggeber nicht in der Meldung zusagt, die
+ Videoüberwachungsdaten zu verschlüsseln und unter Hinterlegung des
+ einzigen Schlüssels bei der Datenschutzbehörde sicherzustellen, dass
+ eine Auswertung der Videoaufzeichnungen nur im begründeten
+ Anlassfall durch eine bestimmte Stelle stattfindet, unterliegen sie
+ der Vorabkontrolle (§ 18 Abs. 2). Bestimmte Tatsachen im Sinn von §
+ 50a Abs. 4 Z 1 müssen bei Erstattung der Meldung glaubhaft
+ gemacht werden. Soweit gemäß § 96a des Arbeitsverfassungsgesetzes
+ 1974 – ArbVG, BGBl. Nr. 22, Betriebsvereinbarungen abzuschließen
+ sind, sind diese im Registrierungsverfahren vorzulegen.
-2. Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der Meldepflicht ausgenommen
+2. Eine Videoüberwachung ist über § 17 Abs. 2 und 3 hinaus von der
+ Meldepflicht ausgenommen
- 1. in Fällen der Echtzeitüberwachung oder
+ 1. in Fällen der Echtzeitüberwachung oder
+
+ 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen
+ Speichermedium erfolgt.
+
+3. Mehrere überwachte Objekte oder überwachte Personen, für deren
+ Videoüberwachung derselbe Auftraggeber eine gesetzliche
+ Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf
+ Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen
+ Verbundenheit in einer Meldung zusammengefasst werden, wenn sich
+ diese auf die gleiche Rechtsgrundlage stützt.
- 2. wenn eine Speicherung (Aufzeichnung) nur auf einem analogen Speichermedium erfolgt.
-3. Mehrere überwachte Objekte oder überwachte Personen, für deren Videoüberwachung derselbe Auftraggeber eine gesetzliche Zuständigkeit oder rechtliche Befugnis (§ 7 Abs. 1) hat, können auf Grund ihrer gleichartigen Beschaffenheit oder ihrer räumlichen Verbundenheit in einer Meldung zusammengefasst werden, wenn sich diese auf die gleiche Rechtsgrundlage stützt.
diff --git a/dsg2000/art02-par50d.md b/dsg2000/art02-par50d.md
index b4448c9..70bb267 100644
--- a/dsg2000/art02-par50d.md
+++ b/dsg2000/art02-par50d.md
@@ -1,6 +1,17 @@
§50d - Information durch Kennzeichnung
======================================
-1. Der Auftraggeber einer Videoüberwachung hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den Betroffenen nach den Umständen des Falles bereits bekannt. Die Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell Betroffene, der sich einem überwachten Objekt oder einer überwachten Person nähert, tunlichst die Möglichkeit hat, der Videoüberwachung auszuweichen.
+1. Der Auftraggeber einer Videoüberwachung hat diese geeignet
+ zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der
+ Auftraggeber eindeutig hervorzugehen, es sei denn, dieser ist den
+ Betroffenen nach den Umständen des Falles bereits bekannt. Die
+ Kennzeichnung hat örtlich derart zu erfolgen, dass jeder potentiell
+ Betroffene, der sich einem überwachten Objekt oder einer überwachten
+ Person nähert, tunlichst die Möglichkeit hat, der
+ Videoüberwachung auszuweichen.
+
+2. Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im
+ Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3
+ von der Meldepflicht ausgenommen sind.
+
-2. Keine Kennzeichnungsverpflichtung besteht bei Videoüberwachungen im Rahmen der Vollziehung hoheitlicher Aufgaben, die nach § 17 Abs. 3 von der Meldepflicht ausgenommen sind.
diff --git a/dsg2000/art02-par50e.md b/dsg2000/art02-par50e.md
index 30dbd70..4f7f9d5 100644
--- a/dsg2000/art02-par50e.md
+++ b/dsg2000/art02-par50e.md
@@ -1,8 +1,30 @@
§50e - Auskunftsrecht
=====================
-1. Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser den Zeitraum, in dem er möglicherweise von der Überwachung betroffen war, und den Ort möglichst genau benannt und seine Identität in geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person verarbeiteten Daten durch Übersendung einer Kopie der zu seiner Person verarbeiteten Daten in einem üblichen technischen Format zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen Bestandteile der Auskunft (verfügbare Informationen über die Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck, Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall der Überwachung schriftlich zu erteilen, wenn nicht der Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.
+1. Abweichend von § 26 Abs. 1 ist dem Auskunftswerber, nachdem dieser
+ den Zeitraum, in dem er möglicherweise von der Überwachung betroffen
+ war, und den Ort möglichst genau benannt und seine Identität in
+ geeigneter Form nachgewiesen hat, Auskunft über die zu seiner Person
+ verarbeiteten Daten durch Übersendung einer Kopie der zu seiner
+ Person verarbeiteten Daten in einem üblichen technischen Format
+ zu gewähren. Alternativ kann der Auskunftswerber eine Einsichtnahme
+ auf Lesegeräten des Auftraggebers verlangen, wobei ihm auch in
+ diesem Fall die Ausfolgung einer Kopie zusteht. Die übrigen
+ Bestandteile der Auskunft (verfügbare Informationen über die
+ Herkunft, Empfänger oder Empfängerkreise von Übermittlungen, Zweck,
+ Rechtsgrundlagen sowie allenfalls Dienstleister) sind auch im Fall
+ der Überwachung schriftlich zu erteilen, wenn nicht der
+ Auskunftswerber einer mündlichen Auskunftserteilung zustimmt.
+
+2. § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass
+ eine Auskunft wegen überwiegender berechtigter Interessen Dritter
+ oder des Auftraggebers nicht in der in Abs. 1 geregelten Form
+ erteilt werden kann, der Auskunftswerber Anspruch auf eine
+ schriftliche Beschreibung seines von der Überwachung verarbeiteten
+ Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der
+ anderen Personen hat.
+
+3. In Fällen der Echtzeitüberwachung ist ein
+ Auskunftsrecht ausgeschlossen.
-2. § 26 Abs. 2 ist mit der Maßgabe anzuwenden, dass in dem Fall, dass eine Auskunft wegen überwiegender berechtigter Interessen Dritter oder des Auftraggebers nicht in der in Abs. 1 geregelten Form erteilt werden kann, der Auskunftswerber Anspruch auf eine schriftliche Beschreibung seines von der Überwachung verarbeiteten Verhaltens oder auf eine Auskunft unter Unkenntlichmachung der anderen Personen hat.
-3. In Fällen der Echtzeitüberwachung ist ein Auskunftsrecht ausgeschlossen.
diff --git a/dsg2000/art02-par51.md b/dsg2000/art02-par51.md
index ffcd5cd..ffc58f5 100644
--- a/dsg2000/art02-par51.md
+++ b/dsg2000/art02-par51.md
@@ -1,4 +1,13 @@
§51 - Datenverwendung in Gewinn- oder Schädigungsabsicht
========================================================
-Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr zu bestrafen.
+Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu
+bereichern, oder mit der Absicht, einen anderen dadurch in seinem von §
+1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten,
+die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung
+anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich
+verschafft hat, selbst benützt, einem anderen zugänglich macht oder
+veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges
+Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen
+Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit
+Freiheitsstrafe bis zu einem Jahr zu bestrafen.
diff --git a/dsg2000/art02-par52.md b/dsg2000/art02-par52.md
index c04a429..6b3f373 100644
--- a/dsg2000/art02-par52.md
+++ b/dsg2000/art02-par52.md
@@ -1,38 +1,79 @@
§52 - Verwaltungsstrafbestimmung
================================
-1. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25 000 Euro zu ahnden ist, wer
+1. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der
+ Gerichte fallenden strafbaren Handlung bildet oder nach anderen
+ Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist,
+ begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 25 000
+ Euro zu ahnden ist, wer
- 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält oder
+ 1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenanwendung
+ verschafft oder einen erkennbar widerrechtlichen Zugang
+ vorsätzlich aufrechterhält oder
- 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15) übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47 anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder
+ 2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 15)
+ übermittelt, insbesondere Daten, die ihm gemäß §§ 46 oder 47
+ anvertraut wurden, vorsätzlich für andere Zwecke verwendet oder
- 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid verwendet, nicht beauskunftet, nicht richtigstellt oder nicht löscht oder
+ 3. Daten entgegen einem rechtskräftigen Urteil oder Bescheid
+ verwendet, nicht beauskunftet, nicht richtigstellt oder nicht
+ löscht oder
- 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht;
+ 4. Daten vorsätzlich entgegen § 26 Abs. 7 löscht;
- 5. sich unter Vortäuschung falscher Tatsachen vorsätzlich Daten gemäß § 48a verschafft.
+ 5. sich unter Vortäuschung falscher Tatsachen vorsätzlich Daten
+ gemäß § 48a verschafft.
-2. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 10 000 Euro zu ahnden ist, wer
+2. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der
+ Gerichte fallenden strafbaren Handlung bildet, begeht eine
+ Verwaltungsübertretung, die mit Geldstrafe bis zu 10 000 Euro zu
+ ahnden ist, wer
- 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine Datenanwendung auf eine von der Meldung abweichende Weise betreibt oder
+ 1. Daten ermittelt, verarbeitet oder übermittelt, ohne seine
+ Meldepflicht gemäß den §§ 17 oder 50c erfüllt zu haben oder eine
+ Datenanwendung auf eine von der Meldung abweichende Weise
+ betreibt oder
- 2. Daten ins Ausland übermittelt oder überlässt, ohne die erforderliche Genehmigung der Datenschutzbehörde gemäß § 13 Abs. 1 eingeholt zu haben oder
+ 2. Daten ins Ausland übermittelt oder überlässt, ohne die
+ erforderliche Genehmigung der Datenschutzbehörde gemäß § 13 Abs.
+ 1 eingeholt zu haben oder
- 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene Zusagen oder von der Datenschutzbehörde gemäß § 13 Abs. 1 oder § 21 Abs. 2 erteilte Auflagen verstößt oder
+ 3. gegen gemäß § 13 Abs. 2 Z 2, § 19 oder § 50c Abs. 1 abgegebene
+ Zusagen oder von der Datenschutzbehörde gemäß § 13 Abs. 1 oder §
+ 21 Abs. 2 erteilte Auflagen verstößt oder
- 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23, 24, 25 oder 50d verletzt oder
+ 4. seine Offenlegungs- oder Informationspflichten gemäß den §§ 23,
+ 24, 25 oder 50d verletzt oder
- 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich außer Acht lässt oder
+ 5. die gemäß § 14 erforderlichen Sicherheitsmaßnahmen gröblich
+ außer Acht lässt oder
- 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen Sicherheitsmaßnahmen außer Acht lässt oder
+ 6. die gemäß § 50a Abs. 7 und § 50b Abs. 1 erforderlichen
+ Sicherheitsmaßnahmen außer Acht lässt oder
- 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist nicht löscht.
+ 7. Daten nach Ablauf der in § 50b Abs. 2 vorgesehene Löschungsfrist
+ nicht löscht.
- a. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit einer Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt oder löscht.
+ a. Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit
+ der Gerichte fallenden strafbaren Handlung bildet oder nach
+ anderen Verwaltungsstrafbestimmungen mit strengerer Strafe
+ bedroht ist, begeht eine Verwaltungsübertretung, die mit einer
+ Strafe bis zu 500 Euro zu ahnden ist, wer Daten entgegen den §§
+ 26, 27 oder 28 nicht fristgerecht beauskunftet, richtigstellt
+ oder löscht.
-3. Der Versuch ist strafbar.
+3. Der Versuch ist strafbar.
+
+4. Die Strafe des Verfalls von Datenträgern und Programmen sowie
+ Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen
+ werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer
+ Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.
+
+5. Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die
+ Bezirksverwaltungsbehörde, in deren Sprengel der
+ Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder
+ Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am
+ Sitz der Datenschutzbehörde eingerichtete
+ Bezirksverwaltungsbehörde zuständig.
-4. Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 oder 2 in Zusammenhang stehen.
-5. Zuständig für Entscheidungen nach Abs. 1 bis 4 ist die Bezirksverwaltungsbehörde, in deren Sprengel der Auftraggeber (Dienstleister) seinen gewöhnlichen Aufenthalt oder Sitz hat. Falls ein solcher im Inland nicht gegeben ist, ist die am Sitz der Datenschutzbehörde eingerichtete Bezirksverwaltungsbehörde zuständig.
diff --git a/dsg2000/art02-par53.md b/dsg2000/art02-par53.md
index ed405c8..68e612e 100644
--- a/dsg2000/art02-par53.md
+++ b/dsg2000/art02-par53.md
@@ -1,6 +1,14 @@
§53 - Anm.: Befreiung von Gebühren, Abgaben und vom Kostenersatz
================================================================
-1. Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im Registrierungsverfahren und die gemäß § 21 Abs. 3 zu erstellenden Registerauszüge sind von den Stempelgebühren und von den Verwaltungsabgaben des Bundes befreit.
+1. Die durch dieses Bundesgesetz unmittelbar veranlaßten Eingaben der
+ Betroffenen zur Wahrung ihrer Interessen sowie die Eingaben im
+ Registrierungsverfahren und die gemäß § 21 Abs. 3 zu erstellenden
+ Registerauszüge sind von den Stempelgebühren und von den
+ Verwaltungsabgaben des Bundes befreit.
+
+2. Für Abschriften aus dem Datenverarbeitungsregister, die ein
+ Betroffener zur Verfolgung seiner Rechte benötigt, ist kein
+ Kostenersatz zu verlangen.
+
-2. Für Abschriften aus dem Datenverarbeitungsregister, die ein Betroffener zur Verfolgung seiner Rechte benötigt, ist kein Kostenersatz zu verlangen.
diff --git a/dsg2000/art02-par54.md b/dsg2000/art02-par54.md
index 3310f1f..451c259 100644
--- a/dsg2000/art02-par54.md
+++ b/dsg2000/art02-par54.md
@@ -1,10 +1,21 @@
§54 - Mitteilungen an die Europäische Kommission und an die anderen Mitgliedstaaten der Europäischen Union
==========================================================================================================
-1. Von der Erlassung eines Bundesgesetzes, das die Zulässigkeit der Verarbeitung sensibler Daten betrifft, hat der Bundeskanzler anläßlich der Kundmachung des Gesetzes im Bundesgesetzblatt der Europäischen Kommission Mitteilung zu machen.
+1. Von der Erlassung eines Bundesgesetzes, das die Zulässigkeit der
+ Verarbeitung sensibler Daten betrifft, hat der Bundeskanzler
+ anläßlich der Kundmachung des Gesetzes im Bundesgesetzblatt der
+ Europäischen Kommission Mitteilung zu machen.
-2. Die Datenschutzbehörde hat den anderen Mitgliedstaaten der Europäischen Union und der Europäischen Kommission mitzuteilen, in welchen Fällen
+2. Die Datenschutzbehörde hat den anderen Mitgliedstaaten der
+ Europäischen Union und der Europäischen Kommission mitzuteilen, in
+ welchen Fällen
+
+ 1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt
+ wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 1 nicht als
+ gegeben erachtet wurden;
+
+ 2. der Datenverkehr in ein Drittland ohne angemessenes
+ Datenschutzniveau genehmigt wurde, weil die Voraussetzungen des
+ § 13 Abs. 2 Z 2 als gegeben erachtet wurden.
- 1. keine Genehmigung für den Datenverkehr in ein Drittland erteilt wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 1 nicht als gegeben erachtet wurden;
- 2. der Datenverkehr in ein Drittland ohne angemessenes Datenschutzniveau genehmigt wurde, weil die Voraussetzungen des § 13 Abs. 2 Z 2 als gegeben erachtet wurden.
diff --git a/dsg2000/art02-par55.md b/dsg2000/art02-par55.md
index c907fb3..034ed4f 100644
--- a/dsg2000/art02-par55.md
+++ b/dsg2000/art02-par55.md
@@ -1,10 +1,18 @@
§55 - Feststellungen der Europäischen Kommission
================================================
-Der Inhalt der in einem Verfahren gemäß Art. 31 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S. 31, getroffenen Feststellungen der Europäischen Kommission über
+Der Inhalt der in einem Verfahren gemäß Art. 31 Abs. 2 der Richtlinie
+95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995
+zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
+Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995,
+S. 31, getroffenen Feststellungen der Europäischen Kommission über
-1. das Vorliegen oder Nichtvorliegen eines angemessenen Datenschutzniveaus in einem Drittland oder
+1. das Vorliegen oder Nichtvorliegen eines angemessenen
+ Datenschutzniveaus in einem Drittland oder
-2. die Eignung bestimmter Standardvertragsklauseln oder Verpflichtungserklärungen zur Gewährleistung eines ausreichenden Schutzes der Datenverwendung in einem Drittland
+2. die Eignung bestimmter Standardvertragsklauseln oder
+ Verpflichtungserklärungen zur Gewährleistung eines ausreichenden
+ Schutzes der Datenverwendung in einem Drittland
-ist vom Bundeskanzler im Bundesgesetzblatt gemäß § 4 des Bundesgesetzblattgesetzes, BGBl. I Nr. 100/2003, kundzumachen.
+ist vom Bundeskanzler im Bundesgesetzblatt gemäß § 4 des
+Bundesgesetzblattgesetzes, BGBl. I Nr. 100/2003, kundzumachen.
diff --git a/dsg2000/art02-par56.md b/dsg2000/art02-par56.md
index 2e15095..8efeb51 100644
--- a/dsg2000/art02-par56.md
+++ b/dsg2000/art02-par56.md
@@ -1,4 +1,12 @@
§56 - Verwaltungsangelegenheiten gemäß Art. 30 B-VG
===================================================
-Der Präsident des Nationalrats ist Auftraggeber jener Datenanwendungen, die für Zwecke der ihm gemäß Art. 30 B-VG übertragenen Angelegenheiten durchgeführt werden. Übermittlungen von Daten aus solchen Datenanwendungen dürfen nur über Auftrag des Präsidenten des Nationalrats vorgenommen werden. Der Präsident trifft Vorsorge dafür, daß im Falle eines Übermittlungsauftrags die Voraussetzungen des § 7 Abs. 2 vorliegen und insbesondere die Zustimmung des Betroffenen in jenen Fällen eingeholt wird, in welchen dies gemäß § 7 Abs. 2 mangels einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.
+Der Präsident des Nationalrats ist Auftraggeber jener Datenanwendungen,
+die für Zwecke der ihm gemäß Art. 30 B-VG übertragenen Angelegenheiten
+durchgeführt werden. Übermittlungen von Daten aus solchen
+Datenanwendungen dürfen nur über Auftrag des Präsidenten des
+Nationalrats vorgenommen werden. Der Präsident trifft Vorsorge dafür,
+daß im Falle eines Übermittlungsauftrags die Voraussetzungen des § 7
+Abs. 2 vorliegen und insbesondere die Zustimmung des Betroffenen in
+jenen Fällen eingeholt wird, in welchen dies gemäß § 7 Abs. 2 mangels
+einer anderen Rechtsgrundlage für die Übermittlung notwendig ist.
diff --git a/dsg2000/art02-par57.md b/dsg2000/art02-par57.md
index f8ea433..b4cbf3c 100644
--- a/dsg2000/art02-par57.md
+++ b/dsg2000/art02-par57.md
@@ -1,4 +1,8 @@
§57 - Sprachliche Gleichbehandlung
==================================
-Soweit in diesem Artikel auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
+Soweit in diesem Artikel auf natürliche Personen bezogene Bezeichnungen
+nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und
+Männer in gleicher Weise. Bei der Anwendung der Bezeichnungen auf
+bestimmte natürliche Personen ist die jeweils geschlechtsspezifische
+Form zu verwenden.
diff --git a/dsg2000/art02-par58.md b/dsg2000/art02-par58.md
index b847410..163b95a 100644
--- a/dsg2000/art02-par58.md
+++ b/dsg2000/art02-par58.md
@@ -1,4 +1,9 @@
§58 - Manuelle Dateien
======================
-Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der Vorabkontrolle unterliegt.
+Soweit manuell, dh. ohne Automationsunterstützung geführte Dateien für
+Zwecke solcher Angelegenheiten bestehen, in denen die Zuständigkeit zur
+Gesetzgebung Bundessache ist, gelten sie als Datenanwendungen im Sinne
+des § 4 Z 7. § 17 gilt mit der Maßgabe, daß die Meldepflicht nur für
+solche Dateien besteht, deren Inhalt gemäß § 18 Abs. 2 der
+Vorabkontrolle unterliegt.
diff --git a/dsg2000/art02-par59.md b/dsg2000/art02-par59.md
index f9310b0..9648131 100644
--- a/dsg2000/art02-par59.md
+++ b/dsg2000/art02-par59.md
@@ -1,4 +1,7 @@
§59 - Umsetzungshinweis
=======================
-Mit diesem Bundesgesetz wird die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S 31, umgesetzt.
+Mit diesem Bundesgesetz wird die Richtlinie 95/46/EG des Europäischen
+Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher
+Personen bei der Verarbeitung personenbezogener Daten und zum freien
+Datenverkehr, ABl. Nr. L 281 vom 23. November 1995, S 31, umgesetzt.
diff --git a/dsg2000/art02-par60.md b/dsg2000/art02-par60.md
index ec5d3f6..44f035d 100644
--- a/dsg2000/art02-par60.md
+++ b/dsg2000/art02-par60.md
@@ -1,20 +1,63 @@
§60 - Inkrafttreten
===================
-1. _(Anm.: Abs. 1 durch Art. 2 § 2 Abs. 1 Z 24 und Abs. 2 Z 71, BGBl. I Nr. 2/2008, als nicht mehr geltend festgestellt.)_
+1. *(Anm.: Abs. 1 durch Art. 2 § 2 Abs. 1 Z 24 und Abs. 2 Z 71, BGBl.
+ I Nr. 2/2008, als nicht mehr geltend festgestellt.)*
+
+2. Die übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls
+ mit 1. Jänner 2000 in Kraft.
+
+3. §§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des
+ Bundesgesetzes BGBl. I Nr. 136/2001 treten mit 1. Jänner 2002
+ in Kraft.
+
+4. § 48a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 135/2009
+ tritt mit 1. Jänner 2010 in Kraft.
+
+5. Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, §
+ 8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in §
+ 13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a
+ und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis
+ 22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8
+ und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt
+ Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, §
+ 36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z
+ 4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis
+ 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt,
+ § 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der
+ Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 treten mit 1. Jänner
+ 2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3
+ sowie § 51 Abs. 2 außer Kraft.
+
+6. § 36 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009
+ tritt am 1. Juli 2010 in Kraft.
+
+ a. § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des
+ Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013
+ in Kraft.
+
+7. Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, §
+ 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, §
+ 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, §
+ 21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs.
+ 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30,
+ § 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1,
+ 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die
+ Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, §
+ 41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, §
+ 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, §
+ 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und §
+ 61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes BGBl. I Nr.
+ 83/2013 treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten §
+ 41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, BGBl. II Nr.
+ 145/2006, außer Kraft. Die für die Bestellung des Leiters der
+ Datenschutzbehörde und seines Stellvertreters notwendigen
+ organisatorischen und personellen Maßnahmen können bereits vor
+ Inkrafttreten des Bundesgesetzes BGBl. I Nr. 83/2013
+ getroffen werden.
+
+8. (**Verfassungsbestimmung**) § 2 Abs. 2 und § 35 Abs. 2 in der
+ Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner
+ 2014 in Kraft.
-2. Die übrigen Bestimmungen dieses Bundesgesetzes treten ebenfalls mit 1. Jänner 2000 in Kraft.
-3. §§ 26 Abs. 6 und 52 Abs. 1 und 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 136/2001 treten mit 1. Jänner 2002 in Kraft.
-
-4. § 48a Abs. 5 in der Fassung des Bundesgesetzes BGBl. I Nr. 135/2009 tritt mit 1. Jänner 2010 in Kraft.
-
-5. Das Inhaltsverzeichnis, § 4 Abs. 1 Z 4, 5, 7 bis 9, 11 und 12, § 8 Abs. 1, 2 und 4, § 12 Abs. 1, die Umnummerierung der Absätze in § 13, § 16 Abs. 1 und 3, § 17 Abs. 1, 1a und 4, § 19 Abs. 1 Z 3a und Abs. 2, die Umnummerierung der Absätze in § 19, die §§ 20 bis 22a samt Überschriften, § 24 Abs. 2a, § 24 Abs. 4, § 26 Abs. 1 bis 8 und 10, § 28 Abs. 3, § 30 Abs. 2a, 5 bis 6a, die §§ 31 und 31a samt Überschriften, § 32 Abs. 1, 4, 6 und 7, § 34 Abs. 1, 3 und 4, § 36 Abs. 3, 3a und 9, § 39 Abs. 5, § 40 Abs. 1 und 2, § 41 Abs. 2 Z 4a, § 42 Abs. 1 Z 1, § 42 Abs. 5, § 46 Abs. 1 Z 2 und 3, Abs. 2 bis 3a, § 47 Abs. 4, § 49 Abs. 3, § 50 Abs. 1 bis 2a, der 9a. Abschnitt, § 51, § 52 Abs. 2 und 4, § 55, § 61 Abs. 6 bis 9 sowie § 64 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 treten mit 1. Jänner 2010 in Kraft. Gleichzeitig treten § 4 Abs. 1 Z 10, § 13 Abs. 3 sowie § 51 Abs. 2 außer Kraft.
-
-6. § 36 Abs. 6 in der Fassung des Bundesgesetzes BGBl. I Nr. 133/2009 tritt am 1. Juli 2010 in Kraft.
-
- a. § 37 Abs. 2, § 38 Abs. 2 und § 61 Abs. 9 in der Fassung des Bundesgesetzes BGBl. I Nr. 57/2013 treten mit 1. Mai 2013 in Kraft.
-
-7. Das Inhaltverzeichnis, § 5 Abs. 4, § 10 Abs. 2, § 12 Abs. 4, § 13 Abs. 1, 2 Z 2, Abs. 3, 4 und 6, § 16 Abs. 1, § 17 Abs. 1, § 18 Abs. 2, § 19 Abs. 1 Z 6 und Abs. 2, § 20 Abs. 2 und 5 Z 2, § 21 Abs. 1 Z 3, § 22 Abs. 2 bis 4, § 22a Abs. 1, 3 bis 5, § 23 Abs. 2, § 26 Abs. 2, 5 und 7, § 27 Abs. 5 und 7, die Überschrift zu § 30, § 30 Abs. 1, 2, 2a, 4 bis 6a, die Überschrift zu § 31, § 31 Abs. 1, 2, 5, 6 und 8, § 31a, § 32 Abs. 5 bis 7, § 34 Abs. 3 und 4, die Überschrift zu § 35, § 35 Abs. 1, §§ 36 bis 40 samt Überschriften, § 41 Abs. 2 Z 1, § 44 Abs. 6 und 8, § 46 Abs. 2 Z 3 und Abs. 3, § 47 Abs. 3 und 4, § 48a Abs. 2, § 50 Abs. 1 und 2, § 50b Abs. 2, § 50c Abs. 1, § 52 Abs. 2 Z 2 und 3 sowie Abs. 5, § 54 Abs. 2 und § 61 Abs. 8 bis 10 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft. Gleichzeitig treten § 41 Abs. 2 Z 4a und die DSK-Vergütungsverordnung, BGBl. II Nr. 145/2006, außer Kraft. Die für die Bestellung des Leiters der Datenschutzbehörde und seines Stellvertreters notwendigen organisatorischen und personellen Maßnahmen können bereits vor Inkrafttreten des Bundesgesetzes BGBl. I Nr. 83/2013 getroffen werden.
-
-8. (**Verfassungsbestimmung**) § 2 Abs. 2 und § 35 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 treten mit 1. Jänner 2014 in Kraft.
diff --git a/dsg2000/art02-par61.md b/dsg2000/art02-par61.md
index db99685..1edce30 100644
--- a/dsg2000/art02-par61.md
+++ b/dsg2000/art02-par61.md
@@ -1,22 +1,96 @@
§61 - Übergangsbestimmungen
===========================
-1. Meldungen, die vor Inkrafttreten dieses Bundesgesetzes an das Datenverarbeitungsregister erstattet wurden, gelten als Meldungen im Sinne des § 17, soweit sie nicht im Hinblick auf das Entfallen von Meldepflichten gemäß § 17 Abs. 2 oder 3 gegenstandslos geworden sind. Desgleichen gelten vor Inkrafttreten dieses Bundesgesetzes durchgeführte Registrierungen als Registrierungen im Sinne des § 21.
+1. Meldungen, die vor Inkrafttreten dieses Bundesgesetzes an das
+ Datenverarbeitungsregister erstattet wurden, gelten als Meldungen im
+ Sinne des § 17, soweit sie nicht im Hinblick auf das Entfallen von
+ Meldepflichten gemäß § 17 Abs. 2 oder 3 gegenstandslos
+ geworden sind. Desgleichen gelten vor Inkrafttreten dieses
+ Bundesgesetzes durchgeführte Registrierungen als Registrierungen im
+ Sinne des § 21.
-2. Soweit nach der neuen Rechtslage eine Genehmigung für die Übermittlung von Daten ins Ausland erforderlich ist, muß für Übermittlungen, für die eine Genehmigung vor Inkrafttreten dieses Bundesgesetzes erteilt wurde, eine Genehmigung vor dem 1. Jänner 2003 neu beantragt werden. Wird der Antrag rechtzeitig gestellt, dürfen solche Übermittlungen bis zur rechtskräftigen Entscheidung über den Genehmigungsantrag fortgeführt werden.
+2. Soweit nach der neuen Rechtslage eine Genehmigung für die
+ Übermittlung von Daten ins Ausland erforderlich ist, muß für
+ Übermittlungen, für die eine Genehmigung vor Inkrafttreten dieses
+ Bundesgesetzes erteilt wurde, eine Genehmigung vor dem 1. Jänner
+ 2003 neu beantragt werden. Wird der Antrag rechtzeitig gestellt,
+ dürfen solche Übermittlungen bis zur rechtskräftigen Entscheidung
+ über den Genehmigungsantrag fortgeführt werden.
-3. Datenschutzverletzungen, die vor dem Inkrafttreten dieses Bundesgesetzes stattgefunden haben, sind, soweit es sich um die Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit eines Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt der Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die Verpflichtung zu einer Leistung oder Unterlassung handelt, ist die Rechtslage im Zeitpunkt der Entscheidung in erster Instanz zugrundezulegen. Ein strafbarer Tatbestand ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren.
+3. Datenschutzverletzungen, die vor dem Inkrafttreten dieses
+ Bundesgesetzes stattgefunden haben, sind, soweit es sich um die
+ Feststellung der Rechtmäßigkeit oder Rechtswidrigkeit eines
+ Sachverhalts handelt, nach der Rechtslage zum Zeitpunkt der
+ Verwirklichung des Sachverhalts zu beurteilen; soweit es sich um die
+ Verpflichtung zu einer Leistung oder Unterlassung handelt, ist die
+ Rechtslage im Zeitpunkt der Entscheidung in erster
+ Instanz zugrundezulegen. Ein strafbarer Tatbestand ist nach jener
+ Rechtslage zu beurteilen, die für den Täter in ihrer
+ Gesamtauswirkung günstiger ist; dies gilt auch für
+ das Rechtsmittelverfahren.
-4. (**Verfassungsbestimmung**) Datenanwendungen, die für die in § 17 Abs. 3 genannten Zwecke notwendig sind, dürfen auch bei Fehlen einer im Sinne des § 1 Abs. 2 ausreichenden gesetzlichen Grundlage bis 31. Dezember 2007 vorgenommen werden, in den Fällen des § 17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von bundesgesetzlichen Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
+4. (**Verfassungsbestimmung**) Datenanwendungen, die für die in §
+ 17 Abs. 3 genannten Zwecke notwendig sind, dürfen auch bei Fehlen
+ einer im Sinne des § 1 Abs. 2 ausreichenden gesetzlichen Grundlage
+ bis 31. Dezember 2007 vorgenommen werden, in den Fällen des §
+ 17 Abs. 3 Z 1 bis 3 jedoch bis zur Erlassung von bundesgesetzlichen
+ Regelungen über die Aufgaben und Befugnisse in diesen Bereichen.
-5. Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht unterliegen, sind, soweit sie schon im Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bestanden haben, dem Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden. Dasselbe gilt für automationsunterstützte Datenanwendungen gemäß § 17 Abs. 3, für die durch die nunmehr geltende Rechtslage die Meldepflicht neu eingeführt wurde.
+5. Manuelle Datenanwendungen, die gemäß § 58 der Meldepflicht
+ unterliegen, sind, soweit sie schon im Zeitpunkt des Inkrafttretens
+ dieses Bundesgesetzes bestanden haben, dem
+ Datenverarbeitungsregister bis spätestens 1. Jänner 2003 zu melden.
+ Dasselbe gilt für automationsunterstützte Datenanwendungen gemäß §
+ 17 Abs. 3, für die durch die nunmehr geltende Rechtslage die
+ Meldepflicht neu eingeführt wurde.
-6. Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e registriert wurden, bleiben in ihrer registrierten Form rechtmäßig, wenn sie den am 31. Dezember 2009 geltenden datenschutzrechtlichen Bestimmungen genügen und die Datenschutzkommission keine Befristung verfügt hat. Hat die Datenschutzkommission hingegen eine Befristung einer solchen Videoüberwachung verfügt, bleibt diese bis zum Ablauf der Befristung, längstens aber bis zum 31. Dezember 2012 rechtmäßig.
+6. Videoüberwachungen, die vor dem Inkrafttreten der §§ 50a bis 50e
+ registriert wurden, bleiben in ihrer registrierten Form rechtmäßig,
+ wenn sie den am 31. Dezember 2009 geltenden datenschutzrechtlichen
+ Bestimmungen genügen und die Datenschutzkommission keine Befristung
+ verfügt hat. Hat die Datenschutzkommission hingegen eine Befristung
+ einer solchen Videoüberwachung verfügt, bleibt diese bis zum Ablauf
+ der Befristung, längstens aber bis zum 31. Dezember 2012 rechtmäßig.
-7. Soweit in einzelnen Vorschriften Verweise auf das Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese bis zu ihrer Anpassung an dieses Bundesgesetz sinngemäß weiter.
+7. Soweit in einzelnen Vorschriften Verweise auf das
+ Datenschutzgesetz, BGBl. Nr. 565/1978, enthalten sind, gelten diese
+ bis zu ihrer Anpassung an dieses Bundesgesetz sinngemäß weiter.
-8. Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe der technischen Möglichkeiten des Datenverarbeitungsregisters bis spätestens 1. September 2012 neu zu erlassen. Bis zum Inkrafttreten dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 3 und 6 sowie § 40 Abs. 1 (letzterer mit Ausnahme des Verweises auf § 31a Abs. 3) in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 anzuwenden; § 22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 und 2 sowie § 32 Abs. 7 sind bis dahin nicht anzuwenden. § 31 Abs. 3 in der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 ist bis dahin zusätzlich weiter anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt (§ 19 Abs. 1 Z 3a), ist der Datenschutzbehörde bei im Zeitpunkt des Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten Datenanwendungen anlässlich der ersten über eine Streichung hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a ist nicht erforderlich.
+8. Die Verordnung nach § 16 Abs. 3 ist vom Bundeskanzler nach Maßgabe
+ der technischen Möglichkeiten des Datenverarbeitungsregisters bis
+ spätestens 1. September 2012 neu zu erlassen. Bis zum Inkrafttreten
+ dieser Verordnung sind die §§ 16 bis 22, § 30 Abs. 3 und 6 sowie §
+ 40 Abs. 1 (letzterer mit Ausnahme des Verweises auf § 31a Abs. 3) in
+ der Fassung vor dem Bundesgesetz BGBl. I Nr. 133/2009 anzuwenden; §
+ 22a, § 30 Abs. 2a und 6a, § 31a Abs. 1 und 2 sowie § 32 Abs. 7 sind
+ bis dahin nicht anzuwenden. § 31 Abs. 3 in der Fassung vor dem
+ Bundesgesetz BGBl. I Nr. 133/2009 ist bis dahin zusätzlich
+ weiter anzuwenden. Die Erklärung, ob eine Datenanwendung einen oder
+ mehrere der in § 18 Abs. 2 Z 1 bis 4 genannten Tatbestände erfüllt
+ (§ 19 Abs. 1 Z 3a), ist der Datenschutzbehörde bei im Zeitpunkt des
+ Inkrafttretens der neuen Verordnung nach § 16 Abs. 3 registrierten
+ Datenanwendungen anlässlich der ersten über eine Streichung
+ hinausgehenden Änderungsmeldung zu melden, die nach diesem Zeitpunkt
+ erstattet wird. Eine Meldung allein im Hinblick auf § 19 Abs. 1 Z 3a
+ ist nicht erforderlich.
+
+9. Mit Ablauf des 31. Dezember 2013 tritt die Datenschutzbehörde an die
+ Stelle der Datenschutzkommission. Zum Zeitpunkt des Inkrafttretens
+ des Bundesgesetzes BGBl. I Nr. 83/2013 bei der Datenschutzkommission
+ anhängige Verfahren sind nach Maßgabe der Bestimmungen dieses
+ Bundesgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013
+ von der Datenschutzbehörde fortzuführen. Erledigungen der
+ Datenschutzkommission gelten als entsprechende Erledigungen
+ der Datenschutzbehörde. Die Bestimmungen des
+ Verwaltungsgerichtsbarkeits-Übergangsgesetzes, BGBl. I Nr. 83/2013,
+ bleiben unberührt. Nach Beendigung des Verfahrens vor dem
+ Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der
+ Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend
+ den Bescheid der Datenschutzkommission ist das Verfahren von der
+ Datenschutzbehörde fortzusetzen.
+
+10. Die Bediensteten der Datenschutzkommission werden mit Inkrafttreten
+ des BGBl. I Nr. 83/2013 als Bedienstete der
+ Datenschutzbehörde übernommen.
-9. Mit Ablauf des 31. Dezember 2013 tritt die Datenschutzbehörde an die Stelle der Datenschutzkommission. Zum Zeitpunkt des Inkrafttretens des Bundesgesetzes BGBl. I Nr. 83/2013 bei der Datenschutzkommission anhängige Verfahren sind nach Maßgabe der Bestimmungen dieses Bundesgesetzes in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013 von der Datenschutzbehörde fortzuführen. Erledigungen der Datenschutzkommission gelten als entsprechende Erledigungen der Datenschutzbehörde. Die Bestimmungen des Verwaltungsgerichtsbarkeits-Übergangsgesetzes, BGBl. I Nr. 83/2013, bleiben unberührt. Nach Beendigung des Verfahrens vor dem Verwaltungsgerichtshof betreffend den Bescheid oder die Säumnis der Datenschutzkommission oder vor dem Verfassungsgerichtshof betreffend den Bescheid der Datenschutzkommission ist das Verfahren von der Datenschutzbehörde fortzusetzen.
-10. Die Bediensteten der Datenschutzkommission werden mit Inkrafttreten des BGBl. I Nr. 83/2013 als Bedienstete der Datenschutzbehörde übernommen.
diff --git a/dsg2000/art02-par62.md b/dsg2000/art02-par62.md
index 5b2228c..51cfa96 100644
--- a/dsg2000/art02-par62.md
+++ b/dsg2000/art02-par62.md
@@ -1,4 +1,8 @@
§62 - Verordnungserlassung
==========================
-Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen Fassung dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.
+Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen
+Fassung dürfen bereits von dem Tag an erlassen werden, der der
+Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen
+jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft
+treten.
diff --git a/dsg2000/art02-par63.md b/dsg2000/art02-par63.md
index 607f3dc..775f3a3 100644
--- a/dsg2000/art02-par63.md
+++ b/dsg2000/art02-par63.md
@@ -1,4 +1,6 @@
§63 - Verweisungen
==================
-Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in ihrer jeweils geltenden Fassung anzuwenden.
+Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze
+verwiesen wird, sind diese in ihrer jeweils geltenden Fassung
+anzuwenden.
diff --git a/dsg2000/art02-par64.md b/dsg2000/art02-par64.md
index 611f21b..f6a4c37 100644
--- a/dsg2000/art02-par64.md
+++ b/dsg2000/art02-par64.md
@@ -1,4 +1,6 @@
§64 - Vollziehung
=================
-Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der Bundesregierung obliegt, der Bundeskanzler und die anderen Bundesminister im Rahmen ihres Wirkungsbereiches betraut.
+Mit der Vollziehung dieses Bundesgesetzes sind, soweit sie nicht der
+Bundesregierung obliegt, der Bundeskanzler und die anderen
+Bundesminister im Rahmen ihres Wirkungsbereiches betraut.
diff --git a/dsgvo/ch01/ch01-art01.md b/dsgvo/ch01/ch01-art01.md
index 89afc03..c7006ba 100644
--- a/dsgvo/ch01/ch01-art01.md
+++ b/dsgvo/ch01/ch01-art01.md
@@ -1,9 +1,16 @@
Artikel 1 - Gegenstand und Ziele
--------------------------------
-1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
+1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher
+ Personen bei der Verarbeitung personenbezogener Daten und zum freien
+ Verkehr solcher Daten.
-2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
+2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten
+ natürlicher Personen und insbesondere deren Recht auf Schutz
+ personenbezogener Daten.
+
+3. Der freie Verkehr personenbezogener Daten in der Union darf aus
+ Gründen des Schutzes natürlicher Personen bei der Verarbeitung
+ personenbezogener Daten weder eingeschränkt noch verboten werden.
-3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
diff --git a/dsgvo/ch01/ch01-art02.md b/dsgvo/ch01/ch01-art02.md
index 978a0e8..ab490e0 100644
--- a/dsgvo/ch01/ch01-art02.md
+++ b/dsgvo/ch01/ch01-art02.md
@@ -1,19 +1,38 @@
Artikel 2 - Sachlicher Anwendungsbereich
----------------------------------------
-1. Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
+1. Diese Verordnung gilt für die ganz oder teilweise automatisierte
+ Verarbeitung personenbezogener Daten sowie für die
+ nichtautomatisierte Verarbeitung personenbezogener Daten, die in
+ einem Dateisystem gespeichert sind oder gespeichert werden sollen.
-2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
+2. Diese Verordnung findet keine Anwendung auf die Verarbeitung
+ personenbezogener Daten
- a. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
+ a. im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich
+ des Unionsrechts fällt,
- b. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
+ b. durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den
+ Anwendungsbereich von Titel V Kapitel 2 EUV fallen,
- c. durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
+ c. durch natürliche Personen zur Ausübung ausschließlich
+ persönlicher oder familiärer Tätigkeiten,
- d. durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.
+ d. durch die zuständigen Behörden zum Zwecke der Verhütung,
+ Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der
+ Strafvollstreckung, einschließlich des Schutzes vor und der
+ Abwehr von Gefahren für die öffentliche Sicherheit.
-3. Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst.
+3. Für die Verarbeitung personenbezogener Daten durch die Organe,
+ Einrichtungen, Ämter und Agenturen der Union gilt die
+ Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und
+ sonstige Rechtsakte der Union, die diese Verarbeitung
+ personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an
+ die Grundsätze und Vorschriften der vorliegenden
+ Verordnung angepasst.
+
+4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie
+ 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15
+ dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
-4. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt.
diff --git a/dsgvo/ch01/ch01-art03.md b/dsgvo/ch01/ch01-art03.md
index 7bd4187..cd6a0c0 100644
--- a/dsgvo/ch01/ch01-art03.md
+++ b/dsgvo/ch01/ch01-art03.md
@@ -1,13 +1,28 @@
Artikel 3 - Räumlicher Anwendungsbereich
----------------------------------------
-1. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
+1. Diese Verordnung findet Anwendung auf die Verarbeitung
+ personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten
+ einer Niederlassung eines Verantwortlichen oder eines
+ Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die
+ Verarbeitung in der Union stattfindet.
-2. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
+2. Diese Verordnung findet Anwendung auf die Verarbeitung
+ personenbezogener Daten von betroffenen Personen, die sich in der
+ Union befinden, durch einen nicht in der Union niedergelassenen
+ Verantwortlichen oder Auftragsverarbeiter, wenn die
+ Datenverarbeitung im Zusammenhang damit steht
- a. betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
+ a. betroffenen Personen in der Union Waren oder Dienstleistungen
+ anzubieten, unabhängig davon, ob von diesen betroffenen Personen
+ eine Zahlung zu leisten ist;
- b. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
+ b. das Verhalten betroffener Personen zu beobachten, soweit ihr
+ Verhalten in der Union erfolgt.
+
+3. Diese Verordnung findet Anwendung auf die Verarbeitung
+ personenbezogener Daten durch einen nicht in der Union
+ niedergelassenen Verantwortlichen an einem Ort, der aufgrund
+ Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
-3. Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.
diff --git a/dsgvo/ch01/ch01-art04.md b/dsgvo/ch01/ch01-art04.md
index dfce3a5..4cba0ac 100644
--- a/dsgvo/ch01/ch01-art04.md
+++ b/dsgvo/ch01/ch01-art04.md
@@ -3,69 +3,210 @@ Artikel 4 - Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
-1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
+1. „personenbezogene Daten“ alle Informationen, die sich auf eine
+ identifizierte oder identifizierbare natürliche Person (im Folgenden
+ „betroffene Person“) beziehen; als identifizierbar wird eine
+ natürliche Person angesehen, die direkt oder indirekt, insbesondere
+ mittels Zuordnung zu einer Kennung wie einem Namen, zu einer
+ Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem
+ oder mehreren besonderen Merkmalen, die Ausdruck der physischen,
+ physiologischen, genetischen, psychischen, wirtschaftlichen,
+ kulturellen oder sozialen Identität dieser natürlichen Person sind,
+ identifiziert werden kann;
+
+2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren
+ ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang
+ mit personenbezogenen Daten wie das Erheben, das Erfassen, die
+ Organisation, das Ordnen, die Speicherung, die Anpassung oder
+ Veränderung, das Auslesen, das Abfragen, die Verwendung, die
+ Offenlegung durch Übermittlung, Verbreitung oder eine andere Form
+ der Bereitstellung, den Abgleich oder die Verknüpfung, die
+ Einschränkung, das Löschen oder die Vernichtung;
+
+3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter
+ personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung
+ einzuschränken;
+
+4. „Profiling“ jede Art der automatisierten Verarbeitung
+ personenbezogener Daten, die darin besteht, dass diese
+ personenbezogenen Daten verwendet werden, um bestimmte persönliche
+ Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten,
+ insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche
+ Lage, Gesundheit, persönliche Vorlieben, Interessen,
+ Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser
+ natürlichen Person zu analysieren oder vorherzusagen;
+
+5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in
+ einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung
+ zusätzlicher Informationen nicht mehr einer spezifischen betroffenen
+ Person zugeordnet werden können, sofern diese zusätzlichen
+ Informationen gesondert aufbewahrt werden und technischen und
+ organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die
+ personenbezogenen Daten nicht einer identifizierten oder
+ identifizierbaren natürlichen Person zugewiesen werden;
+
+6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten,
+ die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob
+ diese Sammlung zentral, dezentral oder nach funktionalen oder
+ geografischen Gesichtspunkten geordnet geführt wird;
+
+7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde,
+ Einrichtung oder andere Stelle, die allein oder gemeinsam mit
+ anderen über die Zwecke und Mittel der Verarbeitung von
+ personenbezogenen Daten entscheidet; sind die Zwecke und Mittel
+ dieser Verarbeitung durch das Unionsrecht oder das Recht der
+ Mitgliedstaaten vorgegeben, so kann der Verantwortliche
+ beziehungsweise können die bestimmten Kriterien seiner Benennung
+ nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen
+ werden;
+
+8. „Auftragsverarbeiter“ eine natürliche oder juristische Person,
+ Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten
+ im Auftrag des Verantwortlichen verarbeitet;
+
+9. „Empfänger“ eine natürliche oder juristische Person, Behörde,
+ Einrichtung oder andere Stelle, der personenbezogene Daten
+ offengelegt werden, unabhängig davon, ob es sich bei ihr um einen
+ Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten
+ Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der
+ Mitgliedstaaten möglicherweise personenbezogene Daten erhalten,
+ gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten
+ durch die genannten Behörden erfolgt im Einklang mit den geltenden
+ Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
+
+10. „Dritter“ eine natürliche oder juristische Person, Behörde,
+ Einrichtung oder andere Stelle, außer der betroffenen Person, dem
+ Verantwortlichen, dem Auftragsverarbeiter und den Personen, die
+ unter der unmittelbaren Verantwortung des Verantwortlichen oder des
+ Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu
+ verarbeiten;
+
+11. „Einwilligung“ der betroffenen Person jede freiwillig für den
+ bestimmten Fall, in informierter Weise und unmissverständlich
+ abgegebene Willensbekundung in Form einer Erklärung oder einer
+ sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene
+ Person zu verstehen gibt, dass sie mit der Verarbeitung der sie
+ betreffenden personenbezogenen Daten einverstanden ist;
+
+12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung
+ der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur
+ Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten
+ Offenlegung von beziehungsweise zum unbefugten Zugang zu
+ personenbezogenen Daten führt, die übermittelt, gespeichert oder auf
+ sonstige Weise verarbeitet wurden;
+
+13. „genetische Daten“ personenbezogene Daten zu den ererbten oder
+ erworbenen genetischen Eigenschaften einer natürlichen Person, die
+ eindeutige Informationen über die Physiologie oder die Gesundheit
+ dieser natürlichen Person liefern und insbesondere aus der Analyse
+ einer biologischen Probe der betreffenden natürlichen Person
+ gewonnen wurden;
+
+14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene
+ personenbezogene Daten zu den physischen, physiologischen oder
+ verhaltenstypischen Merkmalen einer natürlichen Person, die die
+ eindeutige Identifizierung dieser natürlichen Person ermöglichen
+ oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
+
+15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die
+ körperliche oder geistige Gesundheit einer natürlichen Person,
+ einschließlich der Erbringung von Gesundheitsdienstleistungen,
+ beziehen und aus denen Informationen über deren Gesundheitszustand
+ hervorgehen;
+
+16. „Hauptniederlassung“
+
+ a. im Falle eines Verantwortlichen mit Niederlassungen in mehr als
+ einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union,
+ es sei denn, die Entscheidungen hinsichtlich der Zwecke und
+ Mittel der Verarbeitung personenbezogener Daten werden in einer
+ anderen Niederlassung des Verantwortlichen in der Union
+ getroffen und diese Niederlassung ist befugt, diese
+ Entscheidungen umsetzen zu lassen; in diesem Fall gilt die
+ Niederlassung, die derartige Entscheidungen trifft, als
+ Hauptniederlassung;
+
+ b. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr
+ als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der
+ Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung
+ in der Union hat, die Niederlassung des Auftragsverarbeiters in
+ der Union, in der die Verarbeitungstätigkeiten im Rahmen der
+ Tätigkeiten einer Niederlassung eines Auftragsverarbeiters
+ hauptsächlich stattfinden, soweit der Auftragsverarbeiter
+ spezifischen Pflichten aus dieser Verordnung unterliegt;
+
+17. „Vertreter“ eine in der Union niedergelassene natürliche oder
+ juristische Person, die von dem Verantwortlichen oder
+ Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und
+ den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen
+ jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
+
+18. „Unternehmen“ eine natürliche und juristische Person, die eine
+ wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform,
+ einschließlich Personengesellschaften oder Vereinigungen, die
+ regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
+
+19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden
+ Unternehmen und den von diesem abhängigen Unternehmen besteht;
+
+20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz
+ personenbezogener Daten, zu deren Einhaltung sich ein im
+ Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher
+ oder Auftragsverarbeiter verpflichtet im Hinblick auf
+ Datenübermittlungen oder eine Kategorie von Datenübermittlungen
+ personenbezogener Daten an einen Verantwortlichen oder
+ Auftragsverarbeiter derselben Unternehmensgruppe oder derselben
+ Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit
+ ausüben, in einem oder mehreren Drittländern;
+
+21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51
+ eingerichtete unabhängige staatliche Stelle;
+
+22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der
+ Verarbeitung personenbezogener Daten betroffen ist, weil
+
+ a. der Verantwortliche oder der Auftragsverarbeiter im
+ Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde
+ niedergelassen ist,
+
+ b. diese Verarbeitung erhebliche Auswirkungen auf betroffene
+ Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde
+ hat oder haben kann oder
+
+ c. eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
+
+23. „grenzüberschreitende Verarbeitung“ entweder
+
+ a. eine Verarbeitung personenbezogener Daten, die im Rahmen der
+ Tätigkeiten von Niederlassungen eines Verantwortlichen oder
+ eines Auftragsverarbeiters in der Union in mehr als einem
+ Mitgliedstaat erfolgt, wenn der Verantwortliche oder
+ Auftragsverarbeiter in mehr als einem Mitgliedstaat
+ niedergelassen ist, oder
+
+ b. eine Verarbeitung personenbezogener Daten, die im Rahmen der
+ Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen
+ oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch
+ erhebliche Auswirkungen auf betroffene Personen in mehr als
+ einem Mitgliedstaat hat oder haben kann;
+
+24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen
+ Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese
+ Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den
+ Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser
+ Verordnung steht, wobei aus diesem Einspruch die Tragweite der
+ Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf
+ die Grundrechte und Grundfreiheiten der betroffenen Personen und
+ gegebenenfalls den freien Verkehr personenbezogener Daten in der
+ Union ausgehen;
+
+25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne
+ des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535
+ des Europäischen Parlaments und des Rates (19);
+
+26. „internationale Organisation“ eine völkerrechtliche Organisation und
+ ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die
+ durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft
+ oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
-2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
-
-3. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
-
-4. „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
-
-5. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
-
-6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
-
-7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
-
-8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
-
-9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
-
-10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
-
-11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;
-
-12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
-
-13. „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden;
-
-14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
-
-15. „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen;
-
-16. „Hauptniederlassung“
-
- a. im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;
-
- b. im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;
-
-17. „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt;
-
-18. „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;
-
-19. „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;
-
-20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern;
-
-21. „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle;
-
-22. „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
-
- a. der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
-
- b. diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
-
- c. eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde;
-
-23. „grenzüberschreitende Verarbeitung“ entweder
-
- a. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
-
- b. eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann;
-
-24. „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen;
-
-25. „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19);
-
-26. „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde.
diff --git a/dsgvo/ch02/ch02-art05.md b/dsgvo/ch02/ch02-art05.md
index a76ab82..fd3fb26 100644
--- a/dsgvo/ch02/ch02-art05.md
+++ b/dsgvo/ch02/ch02-art05.md
@@ -1,19 +1,55 @@
Artikel 5 - Grundsätze für die Verarbeitung personenbezogener Daten
-------------------------------------------------------------------
-1. Personenbezogene Daten müssen
+1. Personenbezogene Daten müssen
+
+ a. auf rechtmäßige Weise, nach Treu und Glauben und in einer für
+ die betroffene Person nachvollziehbaren Weise verarbeitet werden
+ („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
+ Transparenz“);
+
+ b. für festgelegte, eindeutige und legitime Zwecke erhoben werden
+ und dürfen nicht in einer mit diesen Zwecken nicht zu
+ vereinbarenden Weise weiterverarbeitet werden; eine
+ Weiterverarbeitung für im öffentlichen Interesse liegende
+ Archivzwecke, für wissenschaftliche oder historische
+ Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel
+ 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken
+ („Zweckbindung“);
+
+ c. dem Zweck angemessen und erheblich sowie auf das für die Zwecke
+ der Verarbeitung notwendige Maß beschränkt sein
+ („Datenminimierung“);
+
+ d. sachlich richtig und erforderlichenfalls auf dem neuesten Stand
+ sein; es sind alle angemessenen Maßnahmen zu treffen, damit
+ personenbezogene Daten, die im Hinblick auf die Zwecke ihrer
+ Verarbeitung unrichtig sind, unverzüglich gelöscht oder
+ berichtigt werden („Richtigkeit“);
+
+ e. in einer Form gespeichert werden, die die Identifizierung der
+ betroffenen Personen nur so lange ermöglicht, wie es für die
+ Zwecke, für die sie verarbeitet werden, erforderlich ist;
+ personenbezogene Daten dürfen länger gespeichert werden, soweit
+ die personenbezogenen Daten vorbehaltlich der Durchführung
+ geeigneter technischer und organisatorischer Maßnahmen, die von
+ dieser Verordnung zum Schutz der Rechte und Freiheiten der
+ betroffenen Person gefordert werden, ausschließlich für im
+ öffentlichen Interesse liegende Archivzwecke oder für
+ wissenschaftliche und historische Forschungszwecke oder für
+ statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden
+ („Speicherbegrenzung“);
+
+ f. in einer Weise verarbeitet werden, die eine angemessene
+ Sicherheit der personenbezogenen Daten gewährleistet,
+ einschließlich Schutz vor unbefugter oder unrechtmäßiger
+ Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
+ Zerstörung oder unbeabsichtigter Schädigung durch geeignete
+ technische und organisatorische Maßnahmen („Integrität und
+ Vertraulichkeit“);
+
+2. Der Verantwortliche ist für die Einhaltung des Absatzes 1
+ verantwortlich und muss dessen Einhaltung nachweisen
+ können („Rechenschaftspflicht“).
- a. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
-
- b. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
-
- c. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
-
- d. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
-
- e. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
-
- f. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
-
-2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
diff --git a/dsgvo/ch02/ch02-art06.md b/dsgvo/ch02/ch02-art06.md
index 8fb882d..2499609 100644
--- a/dsgvo/ch02/ch02-art06.md
+++ b/dsgvo/ch02/ch02-art06.md
@@ -1,41 +1,108 @@
Artikel 6 - Rechtmäßigkeit der Verarbeitung
-------------------------------------------
-1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
+1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der
+ nachstehenden Bedingungen erfüllt ist:
+
+ a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung
+ der sie betreffenden personenbezogenen Daten für einen oder
+ mehrere bestimmte Zwecke gegeben;
+
+ b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
+ Vertragspartei die betroffene Person ist, oder zur Durchführung
+ vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der
+ betroffenen Person erfolgen;
+
+ c. die Verarbeitung ist zur Erfüllung einer rechtlichen
+ Verpflichtung erforderlich, der der Verantwortliche unterliegt;
+
+ d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen
+ der betroffenen Person oder einer anderen natürlichen Person zu
+ schützen;
+
+ e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe
+ erforderlich, die im öffentlichen Interesse liegt oder in
+ Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
+ übertragen wurde;
+
+ f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des
+ Verantwortlichen oder eines Dritten erforderlich, sofern nicht
+ die Interessen oder Grundrechte und Grundfreiheiten der
+ betroffenen Person, die den Schutz personenbezogener Daten
+ erfordern, überwiegen, insbesondere dann, wenn es sich bei der
+ betroffenen Person um ein Kind handelt.
+
+ Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in
+ Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
+
+2. Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung
+ der Anwendung der Vorschriften dieser Verordnung in Bezug auf die
+ Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e
+ beibehalten oder einführen, indem sie spezifische Anforderungen für
+ die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um
+ eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu
+ gewährleisten, einschließlich für andere besondere
+ Verarbeitungssituationen gemäß Kapitel IX.
+
+3. Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben
+ c und e wird festgelegt durch
+
+ a. Unionsrecht oder
+
+ b. das Recht der Mitgliedstaaten, dem der
+ Verantwortliche unterliegt.
+
+ Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt
+ oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für
+ die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen
+ Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die
+ dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann
+ spezifische Bestimmungen zur Anpassung der Anwendung der
+ Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen
+ darüber, welche allgemeinen Bedingungen für die Regelung der
+ Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten,
+ welche Arten von Daten verarbeitet werden, welche Personen betroffen
+ sind, an welche Einrichtungen und für welche Zwecke die
+ personenbezogenen Daten offengelegt werden dürfen, welcher
+ Zweckbindung sie unterliegen, wie lange sie gespeichert werden
+ dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt
+ werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer
+ rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie
+ solche für sonstige besondere Verarbeitungssituationen gemäß
+ Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten
+ müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in
+ einem angemessenen Verhältnis zu dem verfolgten legitimen
+ Zweck stehen.
+
+4. Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu
+ dem die personenbezogenen Daten erhoben wurden, nicht auf der
+ Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift
+ der Union oder der Mitgliedstaaten, die in einer demokratischen
+ Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum
+ Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so
+ berücksichtigt der Verantwortliche — um festzustellen, ob die
+ Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die
+ personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist —
+ unter anderem
+
+ a. jede Verbindung zwischen den Zwecken, für die die
+ personenbezogenen Daten erhoben wurden, und den Zwecken der
+ beabsichtigten Weiterverarbeitung,
+
+ b. den Zusammenhang, in dem die personenbezogenen Daten erhoben
+ wurden, insbesondere hinsichtlich des Verhältnisses zwischen den
+ betroffenen Personen und dem Verantwortlichen,
+
+ c. die Art der personenbezogenen Daten, insbesondere ob besondere
+ Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet
+ werden oder ob personenbezogene Daten über strafrechtliche
+ Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet
+ werden,
+
+ d. die möglichen Folgen der beabsichtigten Weiterverarbeitung für
+ die betroffenen Personen,
+
+ e. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung
+ oder Pseudonymisierung gehören kann.
- a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
-
- b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
-
- c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
-
- d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
-
- e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
-
- f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
-
- Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.
-
-2. Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.
-
-3. Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch
-
- a. Unionsrecht oder
-
- b. das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.
-
- Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
-
-4. Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem
-
- a. jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,
-
- b. den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
-
- c. die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden,
-
- d. die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
-
- e. das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
diff --git a/dsgvo/ch02/ch02-art07.md b/dsgvo/ch02/ch02-art07.md
index 70885f2..4fbf59c 100644
--- a/dsgvo/ch02/ch02-art07.md
+++ b/dsgvo/ch02/ch02-art07.md
@@ -1,11 +1,31 @@
Artikel 7 - Bedingungen für die Einwilligung
--------------------------------------------
-1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
+1. Beruht die Verarbeitung auf einer Einwilligung, muss der
+ Verantwortliche nachweisen können, dass die betroffene Person in die
+ Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
-2. Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
+2. Erfolgt die Einwilligung der betroffenen Person durch eine
+ schriftliche Erklärung, die noch andere Sachverhalte betrifft, so
+ muss das Ersuchen um Einwilligung in verständlicher und leicht
+ zugänglicher Form in einer klaren und einfachen Sprache so erfolgen,
+ dass es von den anderen Sachverhalten klar zu unterscheiden ist.
+ Teile der Erklärung sind dann nicht verbindlich, wenn sie einen
+ Verstoß gegen diese Verordnung darstellen.
-3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
+3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit
+ zu widerrufen. Durch den Widerruf der Einwilligung wird die
+ Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
+ erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor
+ Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf
+ der Einwilligung muss so einfach wie die Erteilung der
+ Einwilligung sein.
+
+4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde,
+ muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden,
+ ob unter anderem die Erfüllung eines Vertrags, einschließlich der
+ Erbringung einer Dienstleistung, von der Einwilligung zu einer
+ Verarbeitung von personenbezogenen Daten abhängig ist, die für die
+ Erfüllung des Vertrags nicht erforderlich sind.
-4. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
diff --git a/dsgvo/ch02/ch02-art08.md b/dsgvo/ch02/ch02-art08.md
index 440cb39..fde6de4 100644
--- a/dsgvo/ch02/ch02-art08.md
+++ b/dsgvo/ch02/ch02-art08.md
@@ -1,11 +1,27 @@
Artikel 8 - Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
-----------------------------------------------------------------------------------------------------------
-1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
+1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten
+ der Informationsgesellschaft, das einem Kind direkt gemacht wird, so
+ ist die Verarbeitung der personenbezogenen Daten des Kindes
+ rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat.
+ Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist
+ diese Verarbeitung nur rechtmäßig, sofern und soweit diese
+ Einwilligung durch den Träger der elterlichen Verantwortung für das
+ Kind oder mit dessen Zustimmung erteilt wird.
- Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
+ Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen
+ Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht
+ unter dem vollendeten dreizehnten Lebensjahr liegen darf.
-2. Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
+2. Der Verantwortliche unternimmt unter Berücksichtigung der
+ verfügbaren Technik angemessene Anstrengungen, um sich in solchen
+ Fällen zu vergewissern, dass die Einwilligung durch den Träger der
+ elterlichen Verantwortung für das Kind oder mit dessen Zustimmung
+ erteilt wurde.
+
+3. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie
+ etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den
+ Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
-3. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
diff --git a/dsgvo/ch02/ch02-art09.md b/dsgvo/ch02/ch02-art09.md
index 5cb9990..4cd30bb 100644
--- a/dsgvo/ch02/ch02-art09.md
+++ b/dsgvo/ch02/ch02-art09.md
@@ -1,31 +1,109 @@
Artikel 9 - Verarbeitung besonderer Kategorien personenbezogener Daten
----------------------------------------------------------------------
-1. Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
+1. Die Verarbeitung personenbezogener Daten, aus denen die rassische
+ und ethnische Herkunft, politische Meinungen, religiöse oder
+ weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
+ hervorgehen, sowie die Verarbeitung von genetischen Daten,
+ biometrischen Daten zur eindeutigen Identifizierung einer
+ natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder
+ der sexuellen Orientierung einer natürlichen Person ist untersagt.
-2. Absatz 1 gilt nicht in folgenden Fällen:
+2. Absatz 1 gilt nicht in folgenden Fällen:
- a. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
+ a. Die betroffene Person hat in die Verarbeitung der genannten
+ personenbezogenen Daten für einen oder mehrere festgelegte
+ Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht
+ oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1
+ durch die Einwilligung der betroffenen Person nicht aufgehoben
+ werden,
- b. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
+ b. die Verarbeitung ist erforderlich, damit der Verantwortliche
+ oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht
+ und dem Recht der sozialen Sicherheit und des Sozialschutzes
+ erwachsenden Rechte ausüben und seinen bzw. ihren
+ diesbezüglichen Pflichten nachkommen kann, soweit dies nach
+ Unionsrecht oder dem Recht der Mitgliedstaaten oder einer
+ Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das
+ geeignete Garantien für die Grundrechte und die Interessen der
+ betroffenen Person vorsieht, zulässig ist,
- c. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
+ c. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der
+ betroffenen Person oder einer anderen natürlichen Person
+ erforderlich und die betroffene Person ist aus körperlichen oder
+ rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
- d. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
+ d. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien
+ durch eine politisch, weltanschaulich, religiös oder
+ gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder
+ sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen
+ ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass
+ sich die Verarbeitung ausschließlich auf die Mitglieder oder
+ ehemalige Mitglieder der Organisation oder auf Personen, die im
+ Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit
+ ihr unterhalten, bezieht und die personenbezogenen Daten nicht
+ ohne Einwilligung der betroffenen Personen nach außen
+ offengelegt werden,
- e. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
+ e. die Verarbeitung bezieht sich auf personenbezogene Daten, die
+ die betroffene Person offensichtlich öffentlich gemacht hat,
- f. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
+ f. die Verarbeitung ist zur Geltendmachung, Ausübung oder
+ Verteidigung von Rechtsansprüchen oder bei Handlungen der
+ Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
- g. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
+ g. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des
+ Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu
+ dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf
+ Datenschutz wahrt und angemessene und spezifische Maßnahmen zur
+ Wahrung der Grundrechte und Interessen der betroffenen Person
+ vorsieht, aus Gründen eines erheblichen öffentlichen Interesses
+ erforderlich,
- h. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
+ h. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der
+ Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des
+ Beschäftigten, für die medizinische Diagnostik, die Versorgung
+ oder Behandlung im Gesundheits- oder Sozialbereich oder für die
+ Verwaltung von Systemen und Diensten im Gesundheits- oder
+ Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts
+ eines Mitgliedstaats oder aufgrund eines Vertrags mit einem
+ Angehörigen eines Gesundheitsberufs und vorbehaltlich der in
+ Absatz 3 genannten Bedingungen und Garantien erforderlich,
- i. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
+ i. die Verarbeitung ist aus Gründen des öffentlichen Interesses im
+ Bereich der öffentlichen Gesundheit, wie dem Schutz vor
+ schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder
+ zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei
+ der Gesundheitsversorgung und bei Arzneimitteln und
+ Medizinprodukten, auf der Grundlage des Unionsrechts oder des
+ Rechts eines Mitgliedstaats, das angemessene und spezifische
+ Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen
+ Person, insbesondere des Berufsgeheimnisses, vorsieht,
+ erforderlich, oder
- j. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
+ j. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des
+ Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu
+ dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf
+ Datenschutz wahrt und angemessene und spezifische Maßnahmen zur
+ Wahrung der Grundrechte und Interessen der betroffenen Person
+ vorsieht, für im öffentlichen Interesse liegende Archivzwecke,
+ für wissenschaftliche oder historische Forschungszwecke oder für
+ statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.
-3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.
+3. Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in
+ Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn
+ diese Daten von Fachpersonal oder unter dessen Verantwortung
+ verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder
+ dem Recht eines Mitgliedstaats oder den Vorschriften nationaler
+ zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die
+ Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach
+ dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den
+ Vorschriften nationaler zuständiger Stellen einer
+ Geheimhaltungspflicht unterliegt.
+
+4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich
+ Beschränkungen, einführen oder aufrechterhalten, soweit die
+ Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten
+ betroffen ist.
-4. Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
diff --git a/dsgvo/ch02/ch02-art10.md b/dsgvo/ch02/ch02-art10.md
index 4130618..87b146c 100644
--- a/dsgvo/ch02/ch02-art10.md
+++ b/dsgvo/ch02/ch02-art10.md
@@ -1,4 +1,11 @@
Artikel 10 - Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
--------------------------------------------------------------------------------------------------------
-Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
+Die Verarbeitung personenbezogener Daten über strafrechtliche
+Verurteilungen und Straftaten oder damit zusammenhängende
+Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter
+behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem
+Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien
+für die Rechte und Freiheiten der betroffenen Personen vorsieht,
+zulässig ist. Ein umfassendes Register der strafrechtlichen
+Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
diff --git a/dsgvo/ch02/ch02-art11.md b/dsgvo/ch02/ch02-art11.md
index c57e008..138d5fa 100644
--- a/dsgvo/ch02/ch02-art11.md
+++ b/dsgvo/ch02/ch02-art11.md
@@ -1,6 +1,19 @@
Artikel 11 - Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
-----------------------------------------------------------------------------------------------------
-1. Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren.
+1. Ist für die Zwecke, für die ein Verantwortlicher personenbezogene
+ Daten verarbeitet, die Identifizierung der betroffenen Person durch
+ den Verantwortlichen nicht oder nicht mehr erforderlich, so ist
+ dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung
+ zusätzliche Informationen aufzubewahren, einzuholen oder zu
+ verarbeiten, um die betroffene Person zu identifizieren.
+
+2. Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden
+ Artikels nachweisen, dass er nicht in der Lage ist, die betroffene
+ Person zu identifizieren, so unterrichtet er die betroffene Person
+ hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis
+ 20 keine Anwendung, es sei denn, die betroffene Person stellt zur
+ Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche
+ Informationen bereit, die ihre Identifizierung ermöglichen.
+
-2. Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen.
diff --git a/dsgvo/ch03/ch03-art12.md b/dsgvo/ch03/ch03-art12.md
index 0f86d66..0a6d15c 100644
--- a/dsgvo/ch03/ch03-art12.md
+++ b/dsgvo/ch03/ch03-art12.md
@@ -1,25 +1,78 @@
Artikel 12 - Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
-----------------------------------------------------------------------------------------------------------------------
-1. Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
+1. Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen
+ Person alle Informationen gemäß den Artikeln 13 und 14 und alle
+ Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich
+ auf die Verarbeitung beziehen, in präziser, transparenter,
+ verständlicher und leicht zugänglicher Form in einer klaren und
+ einfachen Sprache zu übermitteln; dies gilt insbesondere für
+ Informationen, die sich speziell an Kinder richten. Die Übermittlung
+ der Informationen erfolgt schriftlich oder in anderer Form,
+ gegebenenfalls auch elektronisch. Falls von der betroffenen Person
+ verlangt, kann die Information mündlich erteilt werden, sofern die
+ Identität der betroffenen Person in anderer Form nachgewiesen wurde.
-2. Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.
+2. Der Verantwortliche erleichtert der betroffenen Person die Ausübung
+ ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11
+ Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann
+ weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung
+ ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er
+ glaubhaft macht, dass er nicht in der Lage ist, die betroffene
+ Person zu identifizieren.
-3. Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.
+3. Der Verantwortliche stellt der betroffenen Person Informationen über
+ die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen
+ unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang
+ des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate
+ verlängert werden, wenn dies unter Berücksichtigung der Komplexität
+ und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche
+ unterrichtet die betroffene Person innerhalb eines Monats nach
+ Eingang des Antrags über eine Fristverlängerung, zusammen mit den
+ Gründen für die Verzögerung. Stellt die betroffene Person den Antrag
+ elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu
+ unterrichten, sofern sie nichts anderes angibt.
-4. Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
+4. Wird der Verantwortliche auf den Antrag der betroffenen Person hin
+ nicht tätig, so unterrichtet er die betroffene Person ohne
+ Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des
+ Antrags über die Gründe hierfür und über die Möglichkeit, bei einer
+ Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen
+ Rechtsbehelf einzulegen.
-5. Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder
+5. Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen
+ und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden
+ unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten
+ oder — insbesondere im Fall von häufiger Wiederholung — exzessiven
+ Anträgen einer betroffenen Person kann der Verantwortliche entweder
- a. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
+ a. ein angemessenes Entgelt verlangen, bei dem die
+ Verwaltungskosten für die Unterrichtung oder die Mitteilung oder
+ die Durchführung der beantragten Maßnahme berücksichtigt werden,
+ oder
- b. sich weigern, aufgrund des Antrags tätig zu werden.
+ b. sich weigern, aufgrund des Antrags tätig zu werden.
- Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
+ Der Verantwortliche hat den Nachweis für den offenkundig
+ unbegründeten oder exzessiven Charakter des Antrags zu erbringen.
-6. Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
+6. Hat der Verantwortliche begründete Zweifel an der Identität der
+ natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21
+ stellt, so kann er unbeschadet des Artikels 11 zusätzliche
+ Informationen anfordern, die zur Bestätigung der Identität der
+ betroffenen Person erforderlich sind.
-7. Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
+7. Die Informationen, die den betroffenen Personen gemäß den Artikeln
+ 13 und 14 bereitzustellen sind, können in Kombination mit
+ standardisierten Bildsymbolen bereitgestellt werden, um in leicht
+ wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen
+ aussagekräftigen Überblick über die beabsichtigte Verarbeitung
+ zu vermitteln. Werden die Bildsymbole in elektronischer Form
+ dargestellt, müssen sie maschinenlesbar sein.
+
+8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92
+ delegierte Rechtsakte zur Bestimmung der Informationen, die durch
+ Bildsymbole darzustellen sind, und der Verfahren für die
+ Bereitstellung standardisierter Bildsymbole zu erlassen.
-8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.
diff --git a/dsgvo/ch03/ch03-art13.md b/dsgvo/ch03/ch03-art13.md
index fba726d..944dfc9 100644
--- a/dsgvo/ch03/ch03-art13.md
+++ b/dsgvo/ch03/ch03-art13.md
@@ -1,35 +1,80 @@
Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
----------------------------------------------------------------------------------------------------
-1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
+1. Werden personenbezogene Daten bei der betroffenen Person erhoben, so
+ teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der
+ Erhebung dieser Daten Folgendes mit:
+
+ a. den Namen und die Kontaktdaten des Verantwortlichen sowie
+ gegebenenfalls seines Vertreters;
+
+ b. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
+
+ c. die Zwecke, für die die personenbezogenen Daten verarbeitet
+ werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
+
+ d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,
+ die berechtigten Interessen, die von dem Verantwortlichen oder
+ einem Dritten verfolgt werden;
+
+ e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der
+ personenbezogenen Daten und
+
+ f. gegebenenfalls die Absicht des Verantwortlichen, die
+ personenbezogenen Daten an ein Drittland oder eine
+ internationale Organisation zu übermitteln, sowie das
+ Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
+ der Kommission oder im Falle von Übermittlungen gemäß Artikel 46
+ oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen
+ Verweis auf die geeigneten oder angemessenen Garantien und die
+ Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo
+ sie verfügbar sind.
+
+2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der
+ Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung
+ dieser Daten folgende weitere Informationen zur Verfügung, die
+ notwendig sind, um eine faire und transparente Verarbeitung zu
+ gewährleisten:
+
+ a. die Dauer, für die die personenbezogenen Daten gespeichert
+ werden oder, falls dies nicht möglich ist, die Kriterien für die
+ Festlegung dieser Dauer;
+
+ b. das Bestehen eines Rechts auf Auskunft seitens des
+ Verantwortlichen über die betreffenden personenbezogenen Daten
+ sowie auf Berichtigung oder Löschung oder auf Einschränkung der
+ Verarbeitung oder eines Widerspruchsrechts gegen die
+ Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
+
+ c. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder
+ Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines
+ Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
+ Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
+ erfolgten Verarbeitung berührt wird;
+
+ d. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
+
+ e. ob die Bereitstellung der personenbezogenen Daten gesetzlich
+ oder vertraglich vorgeschrieben oder für einen Vertragsabschluss
+ erforderlich ist, ob die betroffene Person verpflichtet ist, die
+ personenbezogenen Daten bereitzustellen, und welche mögliche
+ Folgen die Nichtbereitstellung hätte und
+
+ f. das Bestehen einer automatisierten Entscheidungsfindung
+ einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
+ zumindest in diesen Fällen — aussagekräftige Informationen über
+ die involvierte Logik sowie die Tragweite und die angestrebten
+ Auswirkungen einer derartigen Verarbeitung für die
+ betroffene Person.
+
+3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für
+ einen anderen Zweck weiterzuverarbeiten als den, für den die
+ personenbezogenen Daten erhoben wurden, so stellt er der betroffenen
+ Person vor dieser Weiterverarbeitung Informationen über diesen
+ anderen Zweck und alle anderen maßgeblichen Informationen gemäß
+ Absatz 2 zur Verfügung.
+
+4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die
+ betroffene Person bereits über die Informationen verfügt.
- a. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
-
- b. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
-
- c. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
-
- d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
-
- e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
-
- f. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
-
-2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
-
- a. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
-
- b. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
-
- c. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
-
- d. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
-
- e. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
-
- f. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
-
-3. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
-
-4. Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
diff --git a/dsgvo/ch03/ch03-art14.md b/dsgvo/ch03/ch03-art14.md
index 9c1479b..43a49bd 100644
--- a/dsgvo/ch03/ch03-art14.md
+++ b/dsgvo/ch03/ch03-art14.md
@@ -1,53 +1,121 @@
Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
------------------------------------------------------------------------------------------------------------------
-1. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
+1. Werden personenbezogene Daten nicht bei der betroffenen Person
+ erhoben, so teilt der Verantwortliche der betroffenen Person
+ Folgendes mit:
+
+ a. den Namen und die Kontaktdaten des Verantwortlichen sowie
+ gegebenenfalls seines Vertreters;
+
+ b. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
+
+ c. die Zwecke, für die die personenbezogenen Daten verarbeitet
+ werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
+
+ d. die Kategorien personenbezogener Daten, die verarbeitet werden;
+
+ e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der
+ personenbezogenen Daten;
+
+ f. gegebenenfalls die Absicht des Verantwortlichen, die
+ personenbezogenen Daten an einen Empfänger in einem Drittland
+ oder einer internationalen Organisation zu übermitteln, sowie
+ das Vorhandensein oder das Fehlen eines
+ Angemessenheitsbeschlusses der Kommission oder im Falle von
+ Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49
+ Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder
+ angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen
+ zu erhalten, oder wo sie verfügbar sind.
+
+2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der
+ Verantwortliche der betroffenen Person die folgenden Informationen
+ zur Verfügung, die erforderlich sind, um der betroffenen Person
+ gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
+
+ a. die Dauer, für die die personenbezogenen Daten gespeichert
+ werden oder, falls dies nicht möglich ist, die Kriterien für die
+ Festlegung dieser Dauer;
+
+ b. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,
+ die berechtigten Interessen, die von dem Verantwortlichen oder
+ einem Dritten verfolgt werden;
+
+ c. das Bestehen eines Rechts auf Auskunft seitens des
+ Verantwortlichen über die betreffenden personenbezogenen Daten
+ sowie auf Berichtigung oder Löschung oder auf Einschränkung der
+ Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung
+ sowie des Rechts auf Datenübertragbarkeit;
+
+ d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder
+ Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines
+ Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
+ Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
+ erfolgten Verarbeitung berührt wird;
+
+ e. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
+
+ f. aus welcher Quelle die personenbezogenen Daten stammen und
+ gegebenenfalls ob sie aus öffentlich zugänglichen Quellen
+ stammen;
+
+ g. das Bestehen einer automatisierten Entscheidungsfindung
+ einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
+ zumindest in diesen Fällen — aussagekräftige Informationen über
+ die involvierte Logik sowie die Tragweite und die angestrebten
+ Auswirkungen einer derartigen Verarbeitung für die
+ betroffene Person.
+
+3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1
+ und 2
+
+ a. unter Berücksichtigung der spezifischen Umstände der
+ Verarbeitung der personenbezogenen Daten innerhalb einer
+ angemessenen Frist nach Erlangung der personenbezogenen Daten,
+ längstens jedoch innerhalb eines Monats,
+
+ b. falls die personenbezogenen Daten zur Kommunikation mit der
+ betroffenen Person verwendet werden sollen, spätestens zum
+ Zeitpunkt der ersten Mitteilung an sie, oder,
+
+ c. falls die Offenlegung an einen anderen Empfänger beabsichtigt
+ ist, spätestens zum Zeitpunkt der ersten Offenlegung.
+
+4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für
+ einen anderen Zweck weiterzuverarbeiten als den, für den die
+ personenbezogenen Daten erlangt wurden, so stellt er der betroffenen
+ Person vor dieser Weiterverarbeitung Informationen über diesen
+ anderen Zweck und alle anderen maßgeblichen Informationen gemäß
+ Absatz 2 zur Verfügung.
+
+5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
+
+ a. die betroffene Person bereits über die Informationen verfügt,
+
+ b. die Erteilung dieser Informationen sich als unmöglich erweist
+ oder einen unverhältnismäßigen Aufwand erfordern würde; dies
+ gilt insbesondere für die Verarbeitung für im öffentlichen
+ Interesse liegende Archivzwecke, für wissenschaftliche oder
+ historische Forschungszwecke oder für statistische Zwecke
+ vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen
+ und Garantien oder soweit die in Absatz 1 des vorliegenden
+ Artikels genannte Pflicht voraussichtlich die Verwirklichung der
+ Ziele dieser Verarbeitung unmöglich macht oder ernsthaft
+ beeinträchtigt In diesen Fällen ergreift der Verantwortliche
+ geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie
+ der berechtigten Interessen der betroffenen Person,
+ einschließlich der Bereitstellung dieser Informationen für die
+ Öffentlichkeit,
+
+ c. die Erlangung oder Offenlegung durch Rechtsvorschriften der
+ Union oder der Mitgliedstaaten, denen der Verantwortliche
+ unterliegt und die geeignete Maßnahmen zum Schutz der
+ berechtigten Interessen der betroffenen Person vorsehen,
+ ausdrücklich geregelt ist oder
+
+ d. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht
+ der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer
+ satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher
+ vertraulich behandelt werden müssen.
- a. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
-
- b. zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
-
- c. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
-
- d. die Kategorien personenbezogener Daten, die verarbeitet werden;
-
- e. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
-
- f. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
-
-2. Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
-
- a. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
-
- b. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
-
- c. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
-
- d. wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
-
- e. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
-
- f. aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
-
- g. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
-
-3. Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
-
- a. unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
-
- b. falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
-
- c. falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
-
-4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
-
-5. Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
-
- a. die betroffene Person bereits über die Informationen verfügt,
-
- b. die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
-
- c. die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
-
- d. die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
diff --git a/dsgvo/ch03/ch03-art15.md b/dsgvo/ch03/ch03-art15.md
index f08665d..e47095d 100644
--- a/dsgvo/ch03/ch03-art15.md
+++ b/dsgvo/ch03/ch03-art15.md
@@ -1,27 +1,58 @@
Artikel 15 - Auskunftsrecht der betroffenen Person
--------------------------------------------------
-1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
+1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine
+ Bestätigung darüber zu verlangen, ob sie betreffende
+ personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat
+ sie ein Recht auf Auskunft über diese personenbezogenen Daten und
+ auf folgende Informationen:
+
+ a. die Verarbeitungszwecke;
+
+ b. die Kategorien personenbezogener Daten, die verarbeitet werden;
+
+ c. die Empfänger oder Kategorien von Empfängern, gegenüber denen
+ die personenbezogenen Daten offengelegt worden sind oder noch
+ offengelegt werden, insbesondere bei Empfängern in Drittländern
+ oder bei internationalen Organisationen;
+
+ d. falls möglich die geplante Dauer, für die die personenbezogenen
+ Daten gespeichert werden, oder, falls dies nicht möglich ist,
+ die Kriterien für die Festlegung dieser Dauer;
+
+ e. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie
+ betreffenden personenbezogenen Daten oder auf Einschränkung der
+ Verarbeitung durch den Verantwortlichen oder eines
+ Widerspruchsrechts gegen diese Verarbeitung;
+
+ f. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
+
+ g. wenn die personenbezogenen Daten nicht bei der betroffenen
+ Person erhoben werden, alle verfügbaren Informationen über die
+ Herkunft der Daten;
+
+ h. das Bestehen einer automatisierten Entscheidungsfindung
+ einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
+ zumindest in diesen Fällen — aussagekräftige Informationen über
+ die involvierte Logik sowie die Tragweite und die angestrebten
+ Auswirkungen einer derartigen Verarbeitung für die
+ betroffene Person.
+
+2. Werden personenbezogene Daten an ein Drittland oder an eine
+ internationale Organisation übermittelt, so hat die betroffene
+ Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im
+ Zusammenhang mit der Übermittlung unterrichtet zu werden.
+
+3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten,
+ die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle
+ weiteren Kopien, die die betroffene Person beantragt, kann der
+ Verantwortliche ein angemessenes Entgelt auf der Grundlage der
+ Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag
+ elektronisch, so sind die Informationen in einem gängigen
+ elektronischen Format zur Verfügung zu stellen, sofern sie nichts
+ anderes angibt.
+
+4. Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und
+ Freiheiten anderer Personen nicht beeinträchtigen.
- a. die Verarbeitungszwecke;
-
- b. die Kategorien personenbezogener Daten, die verarbeitet werden;
-
- c. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
-
- d. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
-
- e. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
-
- f. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
-
- g. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
-
- h. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
-
-2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
-
-3. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
-
-4. Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
diff --git a/dsgvo/ch03/ch03-art16.md b/dsgvo/ch03/ch03-art16.md
new file mode 100644
index 0000000..ccbbe7c
--- /dev/null
+++ b/dsgvo/ch03/ch03-art16.md
@@ -0,0 +1,9 @@
+Artikel 16 - Recht auf Berichtigung
+-----------------------------------
+
+Die betroffene Person hat das Recht, von dem Verantwortlichen
+unverzüglich die Berichtigung sie betreffender unrichtiger
+personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke
+der Verarbeitung hat die betroffene Person das Recht, die
+Vervollständigung unvollständiger personenbezogener Daten — auch mittels
+einer ergänzenden Erklärung — zu verlangen.
diff --git a/dsgvo/ch03/ch03-art17.md b/dsgvo/ch03/ch03-art17.md
index 06486fb..8039282 100644
--- a/dsgvo/ch03/ch03-art17.md
+++ b/dsgvo/ch03/ch03-art17.md
@@ -1,31 +1,72 @@
-Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
--------------------------------------------------------------
+## Artikel 17 - Recht auf Löschung („Recht auf Vergessenwerden“)
-1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
+1. Die betroffene Person hat das Recht, von dem Verantwortlichen zu
+ verlangen, dass sie betreffende personenbezogene Daten unverzüglich
+ gelöscht werden, und der Verantwortliche ist verpflichtet,
+ personenbezogene Daten unverzüglich zu löschen, sofern einer der
+ folgenden Gründe zutrifft:
- a. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
+ a. Die personenbezogenen Daten sind für die Zwecke, für die sie
+ erhoben oder auf sonstige Weise verarbeitet wurden, nicht
+ mehr notwendig.
- b. Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
+ b. Die betroffene Person widerruft ihre Einwilligung, auf die sich
+ die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder
+ Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer
+ anderweitigen Rechtsgrundlage für die Verarbeitung.
- c. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
+ c. Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch
+ gegen die Verarbeitung ein und es liegen keine vorrangigen
+ berechtigten Gründe für die Verarbeitung vor, oder die
+ betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch
+ gegen die Verarbeitung ein.
- d. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
+ d. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- e. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
+ e. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer
+ rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht
+ der Mitgliedstaaten erforderlich, dem der
+ Verantwortliche unterliegt.
- f. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
+ f. Die personenbezogenen Daten wurden in Bezug auf angebotene
+ Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz
+ 1 erhoben.
-2. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
+2. Hat der Verantwortliche die personenbezogenen Daten öffentlich
+ gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so
+ trifft er unter Berücksichtigung der verfügbaren Technologie und der
+ Implementierungskosten angemessene Maßnahmen, auch technischer Art,
+ um für die Datenverarbeitung Verantwortliche, die die
+ personenbezogenen Daten verarbeiten, darüber zu informieren, dass
+ eine betroffene Person von ihnen die Löschung aller Links zu diesen
+ personenbezogenen Daten oder von Kopien oder Replikationen dieser
+ personenbezogenen Daten verlangt hat.
-3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
+3. Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung
+ erforderlich ist
- a. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
+ a. zur Ausübung des Rechts auf freie Meinungsäußerung und
+ Information;
- b. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
+ b. zur Erfüllung einer rechtlichen Verpflichtung, die die
+ Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten,
+ dem der Verantwortliche unterliegt, erfordert, oder zur
+ Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
+ oder in Ausübung öffentlicher Gewalt erfolgt, die dem
+ Verantwortlichen übertragen wurde;
- c. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3;
+ c. aus Gründen des öffentlichen Interesses im Bereich der
+ öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h
+ und i sowie Artikel 9 Absatz 3;
- d. für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
+ d. für im öffentlichen Interesse liegende Archivzwecke,
+ wissenschaftliche oder historische Forschungszwecke oder für
+ statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in
+ Absatz 1 genannte Recht voraussichtlich die Verwirklichung der
+ Ziele dieser Verarbeitung unmöglich macht oder ernsthaft
+ beeinträchtigt, oder
+
+ e. zur Geltendmachung, Ausübung oder Verteidigung
+ von Rechtsansprüchen.
- e. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
diff --git a/dsgvo/ch03/ch03-art18.md b/dsgvo/ch03/ch03-art18.md
index 83b6145..f266167 100644
--- a/dsgvo/ch03/ch03-art18.md
+++ b/dsgvo/ch03/ch03-art18.md
@@ -1,17 +1,39 @@
Artikel 18 - Recht auf Einschränkung der Verarbeitung
-----------------------------------------------------
-1. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
+1. Die betroffene Person hat das Recht, von dem Verantwortlichen die
+ Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden
+ Voraussetzungen gegeben ist:
+
+ a. die Richtigkeit der personenbezogenen Daten von der betroffenen
+ Person bestritten wird, und zwar für eine Dauer, die es dem
+ Verantwortlichen ermöglicht, die Richtigkeit der
+ personenbezogenen Daten zu überprüfen,
+
+ b. die Verarbeitung unrechtmäßig ist und die betroffene Person die
+ Löschung der personenbezogenen Daten ablehnt und stattdessen die
+ Einschränkung der Nutzung der personenbezogenen Daten verlangt;
+
+ c. der Verantwortliche die personenbezogenen Daten für die Zwecke
+ der Verarbeitung nicht länger benötigt, die betroffene Person
+ sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von
+ Rechtsansprüchen benötigt, oder
+
+ d. die betroffene Person Widerspruch gegen die Verarbeitung gemäß
+ Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht,
+ ob die berechtigten Gründe des Verantwortlichen gegenüber denen
+ der betroffenen Person überwiegen.
+
+2. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese
+ personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit
+ Einwilligung der betroffenen Person oder zur Geltendmachung,
+ Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der
+ Rechte einer anderen natürlichen oder juristischen Person oder aus
+ Gründen eines wichtigen öffentlichen Interesses der Union oder eines
+ Mitgliedstaats verarbeitet werden.
+
+3. Eine betroffene Person, die eine Einschränkung der Verarbeitung
+ gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen
+ unterrichtet, bevor die Einschränkung aufgehoben wird.
- a. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
-
- b. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
-
- c. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
-
- d. die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
-
-2. Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
-
-3. Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
diff --git a/dsgvo/ch03/ch03-art19.md b/dsgvo/ch03/ch03-art19.md
index 0d603b9..fdef4af 100644
--- a/dsgvo/ch03/ch03-art19.md
+++ b/dsgvo/ch03/ch03-art19.md
@@ -1,4 +1,10 @@
Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
--------------------------------------------------------------------------------------------------------------------------------------------------
-Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
+Der Verantwortliche teilt allen Empfängern, denen personenbezogenen
+Daten offengelegt wurden, jede Berichtigung oder Löschung der
+personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach
+Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies
+erweist sich als unmöglich oder ist mit einem unverhältnismäßigen
+Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene
+Person über diese Empfänger, wenn die betroffene Person dies verlangt.
diff --git a/dsgvo/ch03/ch03-art20.md b/dsgvo/ch03/ch03-art20.md
index d7e3a65..9bf558d 100644
--- a/dsgvo/ch03/ch03-art20.md
+++ b/dsgvo/ch03/ch03-art20.md
@@ -1,15 +1,34 @@
Artikel 20 - Recht auf Datenübertragbarkeit
-------------------------------------------
-1. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern
+1. Die betroffene Person hat das Recht, die sie betreffenden
+ personenbezogenen Daten, die sie einem Verantwortlichen
+ bereitgestellt hat, in einem strukturierten, gängigen und
+ maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese
+ Daten einem anderen Verantwortlichen ohne Behinderung durch den
+ Verantwortlichen, dem die personenbezogenen Daten bereitgestellt
+ wurden, zu übermitteln, sofern
- a. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
+ a. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1
+ Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem
+ Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
- b. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
+ b. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
-2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
+2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz
+ 1 hat die betroffene Person das Recht, zu erwirken, dass die
+ personenbezogenen Daten direkt von einem Verantwortlichen einem
+ anderen Verantwortlichen übermittelt werden, soweit dies technisch
+ machbar ist.
-3. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
+3. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels
+ lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine
+ Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich
+ ist, die im öffentlichen Interesse liegt oder in Ausübung
+ öffentlicher Gewalt erfolgt, die dem Verantwortlichen
+ übertragen wurde.
+
+4. Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer
+ Personen nicht beeinträchtigen.
-4. Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
diff --git a/dsgvo/ch03/ch03-art21.md b/dsgvo/ch03/ch03-art21.md
index e92abf5..433cc1b 100644
--- a/dsgvo/ch03/ch03-art21.md
+++ b/dsgvo/ch03/ch03-art21.md
@@ -1,15 +1,46 @@
Artikel 21 - Widerspruchsrecht
------------------------------
-1. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
+1. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer
+ besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie
+ betreffender personenbezogener Daten, die aufgrund von Artikel 6
+ Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies
+ gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der
+ Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr,
+ es sei denn, er kann zwingende schutzwürdige Gründe für die
+ Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten
+ der betroffenen Person überwiegen, oder die Verarbeitung dient der
+ Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
-2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
+2. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu
+ betreiben, so hat die betroffene Person das Recht, jederzeit
+ Widerspruch gegen die Verarbeitung sie betreffender
+ personenbezogener Daten zum Zwecke derartiger Werbung einzulegen;
+ dies gilt auch für das Profiling, soweit es mit solcher
+ Direktwerbung in Verbindung steht.
-3. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
+3. Widerspricht die betroffene Person der Verarbeitung für Zwecke der
+ Direktwerbung, so werden die personenbezogenen Daten nicht mehr für
+ diese Zwecke verarbeitet.
-4. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
+4. Die betroffene Person muss spätestens zum Zeitpunkt der ersten
+ Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2
+ genannte Recht hingewiesen werden; dieser Hinweis hat in einer
+ verständlichen und von anderen Informationen getrennten Form
+ zu erfolgen.
-5. Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden.
+5. Im Zusammenhang mit der Nutzung von Diensten der
+ Informationsgesellschaft kann die betroffene Person ungeachtet der
+ Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter
+ Verfahren ausüben, bei denen technische Spezifikationen
+ verwendet werden.
+
+6. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer
+ besonderen Situation ergeben, gegen die sie betreffende Verarbeitung
+ sie betreffender personenbezogener Daten, die zu wissenschaftlichen
+ oder historischen Forschungszwecken oder zu statistischen Zwecken
+ gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei
+ denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen
+ Interesse liegenden Aufgabe erforderlich.
-6. Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
diff --git a/dsgvo/ch03/ch03-art22.md b/dsgvo/ch03/ch03-art22.md
index 3dd5ff6..2c53988 100644
--- a/dsgvo/ch03/ch03-art22.md
+++ b/dsgvo/ch03/ch03-art22.md
@@ -1,17 +1,36 @@
Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
---------------------------------------------------------------------------------
-1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
+1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf
+ einer automatisierten Verarbeitung — einschließlich Profiling —
+ beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber
+ rechtliche Wirkung entfaltet oder sie in ähnlicher Weise
+ erheblich beeinträchtigt.
+
+2. Absatz 1 gilt nicht, wenn die Entscheidung
+
+ a. für den Abschluss oder die Erfüllung eines Vertrags zwischen der
+ betroffenen Person und dem Verantwortlichen erforderlich ist,
+
+ b. aufgrund von Rechtsvorschriften der Union oder der
+ Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig
+ ist und diese Rechtsvorschriften angemessene Maßnahmen zur
+ Wahrung der Rechte und Freiheiten sowie der berechtigten
+ Interessen der betroffenen Person enthalten oder
+
+ c. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
+
+3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der
+ Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten
+ sowie die berechtigten Interessen der betroffenen Person zu wahren,
+ wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person
+ seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts
+ und auf Anfechtung der Entscheidung gehört.
+
+4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien
+ personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern
+ nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene
+ Maßnahmen zum Schutz der Rechte und Freiheiten sowie der
+ berechtigten Interessen der betroffenen Person getroffen wurden.
-2. Absatz 1 gilt nicht, wenn die Entscheidung
-
- a. für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
-
- b. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
-
- c. mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
-
-3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
-
-4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
diff --git a/dsgvo/ch03/ch03-art23.md b/dsgvo/ch03/ch03-art23.md
index 7b70348..222d828 100644
--- a/dsgvo/ch03/ch03-art23.md
+++ b/dsgvo/ch03/ch03-art23.md
@@ -1,43 +1,76 @@
Artikel 23 - Beschränkungen
---------------------------
-1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
+1. Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen
+ der Verantwortliche oder der Auftragsverarbeiter unterliegt, können
+ die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34
+ sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12
+ bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von
+ Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche
+ Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten
+ achtet und in einer demokratischen Gesellschaft eine notwendige und
+ verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:
- a. die nationale Sicherheit;
+ a. die nationale Sicherheit;
- b. die Landesverteidigung;
+ b. die Landesverteidigung;
- c. die öffentliche Sicherheit;
+ c. die öffentliche Sicherheit;
- d. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit;
+ d. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von
+ Straftaten oder die Strafvollstreckung, einschließlich des
+ Schutzes vor und der Abwehr von Gefahren für die öffentliche
+ Sicherheit;
- e. den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;
+ e. den Schutz sonstiger wichtiger Ziele des allgemeinen
+ öffentlichen Interesses der Union oder eines Mitgliedstaats,
+ insbesondere eines wichtigen wirtschaftlichen oder finanziellen
+ Interesses der Union oder eines Mitgliedstaats, etwa im
+ Währungs-, Haushalts- und Steuerbereich sowie im Bereich der
+ öffentlichen Gesundheit und der sozialen Sicherheit;
- f. den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren;
+ f. den Schutz der Unabhängigkeit der Justiz und den Schutz von
+ Gerichtsverfahren;
- g. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe;
+ g. die Verhütung, Aufdeckung, Ermittlung und Verfolgung von
+ Verstößen gegen die berufsständischen Regeln reglementierter
+ Berufe;
- h. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind;
+ h. Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd
+ oder zeitweise mit der Ausübung öffentlicher Gewalt für die
+ unter den Buchstaben a bis e und g genannten Zwecke verbunden
+ sind;
- i. den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;
+ i. den Schutz der betroffenen Person oder der Rechte und Freiheiten
+ anderer Personen;
- j. die Durchsetzung zivilrechtlicher Ansprüche.
+ j. die Durchsetzung zivilrechtlicher Ansprüche.
-2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf
+2. Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere
+ gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug
+ auf
- a. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
+ a. die Zwecke der Verarbeitung oder die Verarbeitungskategorien,
- b. die Kategorien personenbezogener Daten,
+ b. die Kategorien personenbezogener Daten,
- c. den Umfang der vorgenommenen Beschränkungen,
+ c. den Umfang der vorgenommenen Beschränkungen,
- d. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung;
+ d. die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder
+ unrechtmäßige Übermittlung;
- e. die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen,
+ e. die Angaben zu dem Verantwortlichen oder den Kategorien von
+ Verantwortlichen,
- f. die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien,
+ f. die jeweiligen Speicherfristen sowie die geltenden Garantien
+ unter Berücksichtigung von Art, Umfang und Zwecken der
+ Verarbeitung oder der Verarbeitungskategorien,
- g. die Risiken für die Rechte und Freiheiten der betroffenen Personen und
+ g. die Risiken für die Rechte und Freiheiten der betroffenen
+ Personen und
+
+ h. das Recht der betroffenen Personen auf Unterrichtung über die
+ Beschränkung, sofern dies nicht dem Zweck der Beschränkung
+ abträglich ist.
- h. das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist.
diff --git a/dsgvo/ch04/ch04-art24.md b/dsgvo/ch04/ch04-art24.md
index 5838d7a..da9df12 100644
--- a/dsgvo/ch04/ch04-art24.md
+++ b/dsgvo/ch04/ch04-art24.md
@@ -1,9 +1,23 @@
Artikel 24 - Verantwortung des für die Verarbeitung Verantwortlichen
--------------------------------------------------------------------
-1. Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
+1. Der Verantwortliche setzt unter Berücksichtigung der Art, des
+ Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
+ unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der
+ Risiken für die Rechte und Freiheiten natürlicher Personen geeignete
+ technische und organisatorische Maßnahmen um, um sicherzustellen und
+ den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß
+ dieser Verordnung erfolgt. Diese Maßnahmen werden
+ erforderlichenfalls überprüft und aktualisiert.
-2. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.
+2. Sofern dies in einem angemessenen Verhältnis zu den
+ Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1
+ die Anwendung geeigneter Datenschutzvorkehrungen durch den
+ Verantwortlichen umfassen.
+
+3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40
+ oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42
+ kann als Gesichtspunkt herangezogen werden, um die Erfüllung der
+ Pflichten des Verantwortlichen nachzuweisen.
-3. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.
diff --git a/dsgvo/ch04/ch04-art25.md b/dsgvo/ch04/ch04-art25.md
index b4387c6..1edde6a 100644
--- a/dsgvo/ch04/ch04-art25.md
+++ b/dsgvo/ch04/ch04-art25.md
@@ -1,9 +1,34 @@
Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
--------------------------------------------------------------------------------------------------
-1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
+1. Unter Berücksichtigung des Stands der Technik, der
+ Implementierungskosten und der Art, des Umfangs, der Umstände und
+ der Zwecke der Verarbeitung sowie der unterschiedlichen
+ Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung
+ verbundenen Risiken für die Rechte und Freiheiten natürlicher
+ Personen trifft der Verantwortliche sowohl zum Zeitpunkt der
+ Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt
+ der eigentlichen Verarbeitung geeignete technische und
+ organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft,
+ die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa
+ Datenminimierung wirksam umzusetzen und die notwendigen Garantien in
+ die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung
+ zu genügen und die Rechte der betroffenen Personen zu schützen.
-2. Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
+2. Der Verantwortliche trifft geeignete technische und organisatorische
+ Maßnahmen, die sicherstellen, dass durch Voreinstellung
+ grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den
+ jeweiligen bestimmten Verarbeitungszweck erforderlich ist,
+ verarbeitet werden. Diese Verpflichtung gilt für die Menge der
+ erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung,
+ ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen
+ insbesondere sicherstellen, dass personenbezogene Daten durch
+ Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten
+ Zahl von natürlichen Personen zugänglich gemacht werden.
+
+3. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als
+ Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1
+ und 2 des vorliegenden Artikels genannten
+ Anforderungen nachzuweisen.
-3. Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
diff --git a/dsgvo/ch04/ch04-art26.md b/dsgvo/ch04/ch04-art26.md
index 08cbd24..7072e50 100644
--- a/dsgvo/ch04/ch04-art26.md
+++ b/dsgvo/ch04/ch04-art26.md
@@ -1,9 +1,26 @@
Artikel 26 - Gemeinsam für die Verarbeitung Verantwortliche
-----------------------------------------------------------
-1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
+1. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und
+ die Mittel zur Verarbeitung fest, so sind sie
+ gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in
+ transparenter Form fest, wer von ihnen welche Verpflichtung gemäß
+ dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der
+ Rechte der betroffenen Person angeht, und wer welchen
+ Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern
+ und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch
+ Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die
+ Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung
+ kann eine Anlaufstelle für die betroffenen Personen
+ angegeben werden.
-2. Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
+2. Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen
+ Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber
+ betroffenen Personen gebührend widerspiegeln. Das wesentliche der
+ Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
+
+3. Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die
+ betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und
+ gegenüber jedem einzelnen der Verantwortlichen geltend machen.
-3. Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
diff --git a/dsgvo/ch04/ch04-art27.md b/dsgvo/ch04/ch04-art27.md
index 9607b00..107aac7 100644
--- a/dsgvo/ch04/ch04-art27.md
+++ b/dsgvo/ch04/ch04-art27.md
@@ -1,17 +1,39 @@
Artikel 27 - Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
---------------------------------------------------------------------------------------------------------
-1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union.
+1. In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche
+ oder der Auftragsverarbeiter schriftlich einen Vertreter in
+ der Union.
+
+2. Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
+
+ a. eine Verarbeitung, die gelegentlich erfolgt, nicht die
+ umfangreiche Verarbeitung besonderer Datenkategorien im Sinne
+ des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von
+ personenbezogenen Daten über strafrechtliche Verurteilungen und
+ Straftaten im Sinne des Artikels 10 einschließt und unter
+ Berücksichtigung der Art, der Umstände, des Umfangs und der
+ Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko
+ für die Rechte und Freiheiten natürlicher Personen führt, oder
+
+ b. Behörden oder öffentliche Stellen.
+
+3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein,
+ in denen die betroffenen Personen, deren personenbezogene Daten im
+ Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen
+ verarbeitet werden oder deren Verhalten beobachtet wird,
+ sich befinden.
+
+4. Der Vertreter wird durch den Verantwortlichen oder den
+ Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner
+ Stelle insbesondere für Aufsichtsbehörden und betroffene Personen
+ bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur
+ Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle
+ zu dienen.
+
+5. Die Benennung eines Vertreters durch den Verantwortlichen oder den
+ Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher
+ Schritte gegen den Verantwortlichen oder den
+ Auftragsverarbeiter selbst.
-2. Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für
-
- a. eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
-
- b. Behörden oder öffentliche Stellen.
-
-3. Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden.
-
-4. Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen.
-
-5. Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst.
diff --git a/dsgvo/ch04/ch04-art28.md b/dsgvo/ch04/ch04-art28.md
index 1a9a05a..3727e9a 100644
--- a/dsgvo/ch04/ch04-art28.md
+++ b/dsgvo/ch04/ch04-art28.md
@@ -1,41 +1,136 @@
Artikel 28 - Auftragsverarbeiter
--------------------------------
-1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
+1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
+ arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
+ Garantien dafür bieten, dass geeignete technische und
+ organisatorische Maßnahmen so durchgeführt werden, dass die
+ Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
+ erfolgt und den Schutz der Rechte der betroffenen
+ Person gewährleistet.
+
+2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
+ ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung
+ des Verantwortlichen in Anspruch. Im Fall einer allgemeinen
+ schriftlichen Genehmigung informiert der Auftragsverarbeiter den
+ Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf
+ die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter,
+ wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige
+ Änderungen Einspruch zu erheben.
+
+3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der
+ Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach
+ dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den
+ Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in
+ dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der
+ Verarbeitung, die Art der personenbezogenen Daten, die Kategorien
+ betroffener Personen und die Pflichten und Rechte des
+ Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere
+ Rechtsinstrument sieht insbesondere vor, dass der
+ Auftragsverarbeiter
+
+ a. die personenbezogenen Daten nur auf dokumentierte Weisung des
+ Verantwortlichen — auch in Bezug auf die Übermittlung
+ personenbezogener Daten an ein Drittland oder eine
+ internationale Organisation — verarbeitet, sofern er nicht durch
+ das Recht der Union oder der Mitgliedstaaten, dem der
+ Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in
+ einem solchen Fall teilt der Auftragsverarbeiter dem
+ Verantwortlichen diese rechtlichen Anforderungen vor der
+ Verarbeitung mit, sofern das betreffende Recht eine solche
+ Mitteilung nicht wegen eines wichtigen öffentlichen Interesses
+ verbietet;
+
+ b. gewährleistet, dass sich die zur Verarbeitung der
+ personenbezogenen Daten befugten Personen zur Vertraulichkeit
+ verpflichtet haben oder einer angemessenen gesetzlichen
+ Verschwiegenheitspflicht unterliegen;
+
+ c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
+
+ d. die in den Absätzen 2 und 4 genannten Bedingungen für die
+ Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters
+ einhält;
+
+ e. angesichts der Art der Verarbeitung den Verantwortlichen nach
+ Möglichkeit mit geeigneten technischen und organisatorischen
+ Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von
+ Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der
+ betroffenen Person nachzukommen;
+
+ f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur
+ Verfügung stehenden Informationen den Verantwortlichen bei der
+ Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten
+ unterstützt;
+
+ g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle
+ personenbezogenen Daten nach Wahl des Verantwortlichen entweder
+ löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder
+ dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung
+ der personenbezogenen Daten besteht;
+
+ h. dem Verantwortlichen alle erforderlichen Informationen zum
+ Nachweis der Einhaltung der in diesem Artikel niedergelegten
+ Pflichten zur Verfügung stellt und Überprüfungen —
+ einschließlich Inspektionen –, die vom Verantwortlichen oder
+ einem anderen von diesem beauftragten Prüfer durchgeführt
+ werden, ermöglicht und dazu beiträgt.
+
+ Mit Blick auf Unterabsatz 1 Buchstabe h informiert der
+ Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der
+ Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen
+ andere Datenschutzbestimmungen der Union oder der
+ Mitgliedstaaten verstößt.
+
+4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren
+ Auftragsverarbeiters in Anspruch, um bestimmte
+ Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen,
+ so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags
+ oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem
+ Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten
+ auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen
+ dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3
+ festgelegt sind, wobei insbesondere hinreichende Garantien dafür
+ geboten werden muss, dass die geeigneten technischen und
+ organisatorischen Maßnahmen so durchgeführt werden, dass die
+ Verarbeitung entsprechend den Anforderungen dieser
+ Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen
+ Datenschutzpflichten nicht nach, so haftet der erste
+ Auftragsverarbeiter gegenüber dem Verantwortlichen für die
+ Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
+
+5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
+ eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch
+ einen Auftragsverarbeiter kann als Faktor herangezogen werden, um
+ hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden
+ Artikels nachzuweisen.
+
+6. Unbeschadet eines individuellen Vertrags zwischen dem
+ Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder
+ das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des
+ vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7
+ und 8 des vorliegenden Artikels genannten Standardvertragsklauseln
+ beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder
+ dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten
+ Zertifizierung sind.
+
+7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel
+ 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den
+ Absätzen 3 und 4 des vorliegenden Artikels genannten
+ Fragen festlegen.
+
+8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren
+ gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den
+ Absätzen 3 und 4 des vorliegenden Artikels genannten
+ Fragen festlegen.
+
+9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3
+ und 4 ist schriftlich abzufassen, was auch in einem elektronischen
+ Format erfolgen kann.
+
+10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter,
+ der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der
+ Verarbeitung bestimmt, in Bezug auf diese Verarbeitung
+ als Verantwortlicher.
-2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
-
-3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter
-
- a. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
-
- b. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
-
- c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
-
- d. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
-
- e. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
-
- f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
-
- g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
-
- h. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
-
- Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
-
-4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
-
-5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen.
-
-6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind.
-
-7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
-
-8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.
-
-9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.
-
-10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.
diff --git a/dsgvo/ch04/ch04-art29.md b/dsgvo/ch04/ch04-art29.md
index 391e1b3..b0dc67a 100644
--- a/dsgvo/ch04/ch04-art29.md
+++ b/dsgvo/ch04/ch04-art29.md
@@ -1,4 +1,8 @@
Artikel 29 - Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
-----------------------------------------------------------------------------------------------
-Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
+Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem
+Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen
+Daten hat, dürfen diese Daten ausschließlich auf Weisung des
+Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht
+oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.
diff --git a/dsgvo/ch04/ch04-art30.md b/dsgvo/ch04/ch04-art30.md
index 35a6645..e8d32ab 100644
--- a/dsgvo/ch04/ch04-art30.md
+++ b/dsgvo/ch04/ch04-art30.md
@@ -1,35 +1,79 @@
Artikel 30 - Verzeichnis von Verarbeitungstätigkeiten
-----------------------------------------------------
-1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
+1. Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein
+ Verzeichnis aller Verarbeitungstätigkeiten, die ihrer
+ Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche
+ folgenden Angaben:
+
+ a. den Namen und die Kontaktdaten des Verantwortlichen und
+ gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des
+ Vertreters des Verantwortlichen sowie eines etwaigen
+ Datenschutzbeauftragten;
+
+ b. die Zwecke der Verarbeitung;
+
+ c. eine Beschreibung der Kategorien betroffener Personen und der
+ Kategorien personenbezogener Daten;
+
+ d. die Kategorien von Empfängern, gegenüber denen die
+ personenbezogenen Daten offengelegt worden sind oder noch
+ offengelegt werden, einschließlich Empfänger in Drittländern
+ oder internationalen Organisationen;
+
+ e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
+ Drittland oder an eine internationale Organisation,
+ einschließlich der Angabe des betreffenden Drittlands oder der
+ betreffenden internationalen Organisation, sowie bei den in
+ Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
+ die Dokumentierung geeigneter Garantien;
+
+ f. wenn möglich, die vorgesehenen Fristen für die Löschung der
+ verschiedenen Datenkategorien;
+
+ g. wenn möglich, eine allgemeine Beschreibung der technischen und
+ organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
+
+2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen
+ ein Verzeichnis zu allen Kategorien von im Auftrag eines
+ Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die
+ Folgendes enthält:
+
+ a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der
+ Auftragsverarbeiter und jedes Verantwortlichen, in dessen
+ Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls
+ des Vertreters des Verantwortlichen oder des
+ Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
+
+ b. die Kategorien von Verarbeitungen, die im Auftrag jedes
+ Verantwortlichen durchgeführt werden;
+
+ c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein
+ Drittland oder an eine internationale Organisation,
+ einschließlich der Angabe des betreffenden Drittlands oder der
+ betreffenden internationalen Organisation, sowie bei den in
+ Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen
+ die Dokumentierung geeigneter Garantien;
+
+ d. wenn möglich, eine allgemeine Beschreibung der technischen und
+ organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
+
+3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu
+ führen, was auch in einem elektronischen Format erfolgen kann.
+
+4. Der Verantwortliche oder der Auftragsverarbeiter sowie
+ gegebenenfalls der Vertreter des Verantwortlichen oder des
+ Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis
+ auf Anfrage zur Verfügung.
+
+5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für
+ Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter
+ beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht
+ ein Risiko für die Rechte und Freiheiten der betroffenen Personen
+ birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht
+ die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz
+ 1 bzw. die Verarbeitung von personenbezogenen Daten über
+ strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels
+ 10 einschließt.
- a. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
-
- b. die Zwecke der Verarbeitung;
-
- c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
-
- d. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
-
- e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
-
- f. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
-
- g. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
-
-2. Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
-
- a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
-
- b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
-
- c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
-
- d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
-
-3. Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
-
-4. Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
-
-5. Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.
diff --git a/dsgvo/ch04/ch04-art31.md b/dsgvo/ch04/ch04-art31.md
index 736874c..d7659c2 100644
--- a/dsgvo/ch04/ch04-art31.md
+++ b/dsgvo/ch04/ch04-art31.md
@@ -1,4 +1,9 @@
Artikel 31 - Zusammenarbeit mit der Aufsichtsbehörde
----------------------------------------------------
-Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
+Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren
+Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der
+Erfüllung ihrer Aufgaben zusammen.Der Verantwortliche und der
+Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf
+Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben
+zusammen.
diff --git a/dsgvo/ch04/ch04-art32.md b/dsgvo/ch04/ch04-art32.md
index 3a25c96..a666e27 100644
--- a/dsgvo/ch04/ch04-art32.md
+++ b/dsgvo/ch04/ch04-art32.md
@@ -1,19 +1,49 @@
Artikel 32 - Sicherheit der Verarbeitung
----------------------------------------
-1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
+1. Unter Berücksichtigung des Stands der Technik, der
+ Implementierungskosten und der Art, des Umfangs, der Umstände und
+ der Zwecke der Verarbeitung sowie der unterschiedlichen
+ Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
+ und Freiheiten natürlicher Personen treffen der Verantwortliche und
+ der Auftragsverarbeiter geeignete technische und organisatorische
+ Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
+ gewährleisten; diese Maßnahmen schließen unter anderem Folgendes
+ ein:
+
+ a. die Pseudonymisierung und Verschlüsselung personenbezogener
+ Daten;
+
+ b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit
+ und Belastbarkeit der Systeme und Dienste im Zusammenhang mit
+ der Verarbeitung auf Dauer sicherzustellen;
+
+ c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und
+ den Zugang zu ihnen bei einem physischen oder technischen
+ Zwischenfall rasch wiederherzustellen;
+
+ d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und
+ Evaluierung der Wirksamkeit der technischen und
+ organisatorischen Maßnahmen zur Gewährleistung der Sicherheit
+ der Verarbeitung.
+
+2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere
+ die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden
+ sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig —
+ Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von
+ beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die
+ übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
+
+3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder
+ eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann
+ als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des
+ vorliegenden Artikels genannten Anforderungen nachzuweisen.
+
+4. Der Verantwortliche und der Auftragsverarbeiter unternehmen
+ Schritte, um sicherzustellen, dass ihnen unterstellte natürliche
+ Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf
+ Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind
+ nach dem Recht der Union oder der Mitgliedstaaten zur
+ Verarbeitung verpflichtet.
- a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
-
- b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
-
- c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
-
- d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
-
-2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
-
-3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
-
-4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
diff --git a/dsgvo/ch04/ch04-art33.md b/dsgvo/ch04/ch04-art33.md
index 1e8b58c..c6ce48b 100644
--- a/dsgvo/ch04/ch04-art33.md
+++ b/dsgvo/ch04/ch04-art33.md
@@ -1,21 +1,49 @@
Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
--------------------------------------------------------------------------------------------------
-1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
+1. Im Falle einer Verletzung des Schutzes personenbezogener Daten
+ meldet der Verantwortliche unverzüglich und möglichst binnen 72
+ Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß
+ Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die
+ Verletzung des Schutzes personenbezogener Daten voraussichtlich
+ nicht zu einem Risiko für die Rechte und Freiheiten natürlicher
+ Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht
+ binnen 72 Stunden, so ist ihr eine Begründung für die
+ Verzögerung beizufügen.
+
+2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes
+ personenbezogener Daten bekannt wird, meldet er diese dem
+ Verantwortlichen unverzüglich.
+
+3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
+
+ a. eine Beschreibung der Art der Verletzung des Schutzes
+ personenbezogener Daten, soweit möglich mit Angabe der
+ Kategorien und der ungefähren Zahl der betroffenen Personen, der
+ betroffenen Kategorien und der ungefähren Zahl der betroffenen
+ personenbezogenen Datensätze;
+
+ b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder
+ einer sonstigen Anlaufstelle für weitere Informationen;
+
+ c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des
+ Schutzes personenbezogener Daten;
+
+ d. eine Beschreibung der von dem Verantwortlichen ergriffenen oder
+ vorgeschlagenen Maßnahmen zur Behebung der Verletzung des
+ Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen
+ zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
+
+4. Wenn und soweit die Informationen nicht zur gleichen Zeit
+ bereitgestellt werden können, kann der Verantwortliche diese
+ Informationen ohne unangemessene weitere Verzögerung schrittweise
+ zur Verfügung stellen.
+
+5. Der Verantwortliche dokumentiert Verletzungen des Schutzes
+ personenbezogener Daten einschließlich aller im Zusammenhang mit der
+ Verletzung des Schutzes personenbezogener Daten stehenden Fakten,
+ von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese
+ Dokumentation muss der Aufsichtsbehörde die Überprüfung der
+ Einhaltung der Bestimmungen dieses Artikels ermöglichen.
-2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
-
-3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
-
- a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
-
- b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
-
- c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
-
- d. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
-
-4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
-
-5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.
diff --git a/dsgvo/ch04/ch04-art34.md b/dsgvo/ch04/ch04-art34.md
index 0f605b0..73d2572 100644
--- a/dsgvo/ch04/ch04-art34.md
+++ b/dsgvo/ch04/ch04-art34.md
@@ -1,17 +1,46 @@
Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen
----------------------------------------------------------------------------------------------------------------
-1. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
+1. Hat die Verletzung des Schutzes personenbezogener Daten
+ voraussichtlich ein hohes Risiko für die persönlichen Rechte und
+ Freiheiten natürlicher Personen zur Folge, so benachrichtigt der
+ Verantwortliche die betroffene Person unverzüglich von
+ der Verletzung.
+
+2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person
+ beschreibt in klarer und einfacher Sprache die Art der Verletzung
+ des Schutzes personenbezogener Daten und enthält zumindest die in
+ Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen
+ und Maßnahmen.
+
+3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht
+ erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
+
+ a. der Verantwortliche geeignete technische und organisatorische
+ Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf
+ die von der Verletzung betroffenen personenbezogenen Daten
+ angewandt wurden, insbesondere solche, durch die die
+ personenbezogenen Daten für alle Personen, die nicht zum Zugang
+ zu den personenbezogenen Daten befugt sind, unzugänglich gemacht
+ werden, etwa durch Verschlüsselung;
+
+ b. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt
+ hat, dass das hohe Risiko für die Rechte und Freiheiten der
+ betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit
+ nach nicht mehr besteht;
+
+ c. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In
+ diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder
+ eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen
+ Personen vergleichbar wirksam informiert werden.
+
+4. Wenn der Verantwortliche die betroffene Person nicht bereits über
+ die Verletzung des Schutzes personenbezogener Daten benachrichtigt
+ hat, kann die Aufsichtsbehörde unter Berücksichtigung der
+ Wahrscheinlichkeit, mit der die Verletzung des Schutzes
+ personenbezogener Daten zu einem hohen Risiko führt, von dem
+ Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit
+ einem Beschluss feststellen, dass bestimmte der in Absatz 3
+ genannten Voraussetzungen erfüllt sind.
-2. Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.
-
-3. Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
-
- a. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
-
- b. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
-
- c. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
-
-4. Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind.
diff --git a/dsgvo/ch04/ch04-art35.md b/dsgvo/ch04/ch04-art35.md
index 38f45ca..ae94f3c 100644
--- a/dsgvo/ch04/ch04-art35.md
+++ b/dsgvo/ch04/ch04-art35.md
@@ -1,39 +1,106 @@
Artikel 35 - Datenschutz-Folgenabschätzung
------------------------------------------
-1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
+1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
+ Technologien, aufgrund der Art, des Umfangs, der Umstände und der
+ Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die
+ Rechte und Freiheiten natürlicher Personen zur Folge, so führt der
+ Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
+ Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
+ Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit
+ ähnlich hohen Risiken kann eine einzige Abschätzung
+ vorgenommen werden.
+
+2. Der Verantwortliche holt bei der Durchführung einer
+ Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten,
+ sofern ein solcher benannt wurde, ein.
+
+3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere
+ in folgenden Fällen erforderlich:
+
+ a. systematische und umfassende Bewertung persönlicher Aspekte
+ natürlicher Personen, die sich auf automatisierte Verarbeitung
+ einschließlich Profiling gründet und die ihrerseits als
+ Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber
+ natürlichen Personen entfalten oder diese in ähnlich erheblicher
+ Weise beeinträchtigen;
+
+ b. umfangreiche Verarbeitung besonderer Kategorien von
+ personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von
+ personenbezogenen Daten über strafrechtliche Verurteilungen und
+ Straftaten gemäß Artikel 10 oder
+
+ c. systematische umfangreiche Überwachung öffentlich
+ zugänglicher Bereiche.
+
+4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge,
+ für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung
+ durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde
+ übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
+
+5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von
+ Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine
+ Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde
+ übermittelt diese Listen dem Ausschuss.
+
+6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet
+ die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel
+ 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit
+ dem Angebot von Waren oder Dienstleistungen für betroffene Personen
+ oder der Beobachtung des Verhaltens dieser Personen in mehreren
+ Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr
+ personenbezogener Daten innerhalb der Union erheblich
+ beeinträchtigen könnten.
+
+7. Die Folgenabschätzung enthält zumindest Folgendes:
+
+ a. eine systematische Beschreibung der geplanten
+ Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
+ gegebenenfalls einschließlich der von dem Verantwortlichen
+ verfolgten berechtigten Interessen;
+
+ b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der
+ Verarbeitungsvorgänge in Bezug auf den Zweck;
+
+ c. eine Bewertung der Risiken für die Rechte und Freiheiten der
+ betroffenen Personen gemäß Absatz 1 und
+
+ d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen,
+ einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren,
+ durch die der Schutz personenbezogener Daten sichergestellt und
+ der Nachweis dafür erbracht wird, dass diese Verordnung
+ eingehalten wird, wobei den Rechten und berechtigten Interessen
+ der betroffenen Personen und sonstiger Betroffener Rechnung
+ getragen wird.
+
+8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch
+ die zuständigen Verantwortlichen oder die zuständigen
+ Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von
+ diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die
+ Zwecke einer Datenschutz-Folgenabschätzung, gebührend
+ zu berücksichtigen.
+
+9. Der Verantwortliche holt gegebenenfalls den Standpunkt der
+ betroffenen Personen oder ihrer Vertreter zu der beabsichtigten
+ Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher
+ Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
+
+10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e
+ auf einer Rechtsgrundlage im Unionsrecht oder im Recht des
+ Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls
+ diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die
+ konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der
+ allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser
+ Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten
+ die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der
+ Mitgliedstaaten erforderlich ist, vor den betreffenden
+ Verarbeitungstätigkeiten eine solche
+ Folgenabschätzung durchzuführen.
+
+11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung
+ durch, um zu bewerten, ob die Verarbeitung gemäß der
+ Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt
+ zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen
+ verbundenen Risikos Änderungen eingetreten sind.
-2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
-
-3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
-
- a. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
-
- b. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
-
- c. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
-
-4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
-
-5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
-
-6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
-
-7. Die Folgenabschätzung enthält zumindest Folgendes:
-
- a. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
-
- b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
-
- c. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
-
- d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
-
-8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
-
-9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
-
-10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
-
-11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
diff --git a/dsgvo/ch04/ch04-art36.md b/dsgvo/ch04/ch04-art36.md
index ddac18f..9aaf9ef 100644
--- a/dsgvo/ch04/ch04-art36.md
+++ b/dsgvo/ch04/ch04-art36.md
@@ -1,25 +1,62 @@
Artikel 36 - Vorherige Konsultation
-----------------------------------
-1. Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
+1. Der Verantwortliche konsultiert vor der Verarbeitung die
+ Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß
+ Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur
+ Folge hätte, sofern der Verantwortliche keine Maßnahmen zur
+ Eindämmung des Risikos trifft.
+
+2. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante
+ Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung
+ stünde, insbesondere weil der Verantwortliche das Risiko nicht
+ ausreichend ermittelt oder nicht ausreichend eingedämmt hat,
+ unterbreitet sie dem Verantwortlichen und gegebenenfalls dem
+ Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen
+ nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche
+ Empfehlungen und kann ihre in Artikel 58 genannten
+ Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der
+ Komplexität der geplanten Verarbeitung um sechs Wochen
+ verlängert werden. Die Aufsichtsbehörde unterrichtet den
+ Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über
+ eine solche Fristverlängerung innerhalb eines Monats nach Eingang
+ des Antrags auf Konsultation zusammen mit den Gründen für
+ die Verzögerung. Diese Fristen können ausgesetzt werden, bis die
+ Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten
+ Informationen erhalten hat.
+
+3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer
+ Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
+
+ a. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des
+ Verantwortlichen, der gemeinsam Verantwortlichen und der an der
+ Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei
+ einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
+
+ b. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
+
+ c. die zum Schutz der Rechte und Freiheiten der betroffenen
+ Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und
+ Garantien;
+
+ d. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
+
+ e. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
+
+ f. alle sonstigen von der Aufsichtsbehörde
+ angeforderten Informationen.
+
+4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der
+ Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu
+ erlassende Gesetzgebungsmaßnahmen oder von auf solchen
+ Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die
+ Verarbeitung betreffen.
+
+5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der
+ Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur
+ Erfüllung einer im öffentlichen Interesse liegenden Aufgabe,
+ einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit
+ und der öffentlichen Gesundheit, die Aufsichtsbehörde zu
+ konsultieren und deren vorherige Genehmigung einzuholen.
-2. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
-
-3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:
-
- a. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
-
- b. die Zwecke und die Mittel der beabsichtigten Verarbeitung;
-
- c. die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
-
- d. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
-
- e. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
-
- f. alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
-
-4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen.
-
-5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.
diff --git a/dsgvo/ch04/ch04-art37.md b/dsgvo/ch04/ch04-art37.md
index 99b7bc9..cbd098e 100644
--- a/dsgvo/ch04/ch04-art37.md
+++ b/dsgvo/ch04/ch04-art37.md
@@ -1,23 +1,58 @@
Artikel 37 - Benennung eines Datenschutzbeauftragten
----------------------------------------------------
-1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
+1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden
+ Fall einen Datenschutzbeauftragten, wenn
+
+ a. die Verarbeitung von einer Behörde oder öffentlichen Stelle
+ durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen
+ ihrer justiziellen Tätigkeit handeln,
+
+ b. die Kerntätigkeit des Verantwortlichen oder des
+ Auftragsverarbeiters in der Durchführung von
+ Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres
+ Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und
+ systematische Überwachung von betroffenen Personen erforderlich
+ machen, oder
+
+ c. die Kerntätigkeit des Verantwortlichen oder des
+ Auftragsverarbeiters in der umfangreichen Verarbeitung
+ besonderer Kategorien von Daten gemäß Artikel 9 oder von
+ personenbezogenen Daten über strafrechtliche Verurteilungen und
+ Straftaten gemäß Artikel 10 besteht.
+
+2. Eine Unternehmensgruppe darf einen gemeinsamen
+ Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus
+ der Datenschutzbeauftragte leicht erreicht werden kann.
+
+3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter
+ um eine Behörde oder öffentliche Stelle handelt, kann für mehrere
+ solcher Behörden oder Stellen unter Berücksichtigung ihrer
+ Organisationsstruktur und ihrer Größe ein gemeinsamer
+ Datenschutzbeauftragter benannt werden.
+
+4. In anderen als den in Absatz 1 genannten Fällen können der
+ Verantwortliche oder der Auftragsverarbeiter oder Verbände und
+ andere Vereinigungen, die Kategorien von Verantwortlichen oder
+ Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten
+ benennen; falls dies nach dem Recht der Union oder der
+ Mitgliedstaaten vorgeschrieben ist, müssen sie einen
+ solchen benennen. Der Datenschutzbeauftragte kann für derartige
+ Verbände und andere Vereinigungen, die Verantwortliche oder
+ Auftragsverarbeiter vertreten, handeln.
+
+5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen
+ Qualifikation und insbesondere des Fachwissens benannt, das er auf
+ dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt,
+ sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in
+ Artikel 39 genannten Aufgaben.
+
+6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen
+ oder des Auftragsverarbeiters sein oder seine Aufgaben auf der
+ Grundlage eines Dienstleistungsvertrags erfüllen.
+
+7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die
+ Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der
+ Aufsichtsbehörde mit.
- a. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
-
- b. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
-
- c. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
-
-2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
-
-3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
-
-4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
-
-5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
-
-6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
-
-7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
diff --git a/dsgvo/ch04/ch04-art38.md b/dsgvo/ch04/ch04-art38.md
index decd5df..ac9ee04 100644
--- a/dsgvo/ch04/ch04-art38.md
+++ b/dsgvo/ch04/ch04-art38.md
@@ -1,15 +1,39 @@
Artikel 38 - Stellung des Datenschutzbeauftragten
-------------------------------------------------
-1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
+1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass
+ der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit
+ dem Schutz personenbezogener Daten zusammenhängenden Fragen
+ eingebunden wird.
-2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
+2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den
+ Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß
+ Artikel 39, indem sie die für die Erfüllung dieser Aufgaben
+ erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten
+ und Verarbeitungsvorgängen sowie die zur Erhaltung seines
+ Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
-3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
+3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass
+ der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine
+ Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der
+ Datenschutzbeauftragte darf von dem Verantwortlichen oder dem
+ Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht
+ abberufen oder benachteiligt werden. Der Datenschutzbeauftragte
+ berichtet unmittelbar der höchsten Managementebene des
+ Verantwortlichen oder des Auftragsverarbeiters.
-4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
+4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit
+ der Verarbeitung ihrer personenbezogenen Daten und mit der
+ Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang
+ stehenden Fragen zu Rate ziehen.
-5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
+5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der
+ Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der
+ Geheimhaltung oder der Vertraulichkeit gebunden.
+
+6. Der Datenschutzbeauftragte kann andere Aufgaben und
+ Pflichten wahrnehmen. Der Verantwortliche oder der
+ Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und
+ Pflichten nicht zu einem Interessenkonflikt führen.
-6. Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
diff --git a/dsgvo/ch04/ch04-art39.md b/dsgvo/ch04/ch04-art39.md
index a3f10f9..e38872b 100644
--- a/dsgvo/ch04/ch04-art39.md
+++ b/dsgvo/ch04/ch04-art39.md
@@ -1,17 +1,36 @@
Artikel 39 - Aufgaben des Datenschutzbeauftragten
-------------------------------------------------
-1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
+1. Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
+
+ a. Unterrichtung und Beratung des Verantwortlichen oder des
+ Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen
+ durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung
+ sowie nach sonstigen Datenschutzvorschriften der Union bzw. der
+ Mitgliedstaaten;
+
+ b. Überwachung der Einhaltung dieser Verordnung, anderer
+ Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
+ der Strategien des Verantwortlichen oder des
+ Auftragsverarbeiters für den Schutz personenbezogener Daten
+ einschließlich der Zuweisung von Zuständigkeiten, der
+ Sensibilisierung und Schulung der an den Verarbeitungsvorgängen
+ beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
+
+ c. Beratung — auf Anfrage — im Zusammenhang mit der
+ Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
+ gemäß Artikel 35;
+
+ d. Zusammenarbeit mit der Aufsichtsbehörde;
+
+ e. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der
+ Verarbeitung zusammenhängenden Fragen, einschließlich der
+ vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls
+ Beratung zu allen sonstigen Fragen.
+
+2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben
+ dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend
+ Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke
+ der Verarbeitung berücksichtigt.
- a. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
-
- b. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
-
- c. Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
-
- d. Zusammenarbeit mit der Aufsichtsbehörde;
-
- e. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
-
-2. Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
diff --git a/dsgvo/ch04/ch04-art40.md b/dsgvo/ch04/ch04-art40.md
index e793a33..982cda0 100644
--- a/dsgvo/ch04/ch04-art40.md
+++ b/dsgvo/ch04/ch04-art40.md
@@ -1,47 +1,124 @@
Artikel 40 - Verhaltensregeln
-----------------------------
-1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.
+1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die
+ Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach
+ Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und
+ der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und
+ mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser
+ Verordnung beitragen sollen.
+
+2. Verbände und andere Vereinigungen, die Kategorien von
+ Verantwortlichen oder Auftragsverarbeitern vertreten, können
+ Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen
+ die Anwendung dieser Verordnung beispielsweise zu dem Folgenden
+ präzisiert wird:
+
+ a. faire und transparente Verarbeitung;
+
+ b. die berechtigten Interessen des Verantwortlichen in bestimmten
+ Zusammenhängen;
+
+ c. Erhebung personenbezogener Daten;
+
+ d. Pseudonymisierung personenbezogener Daten;
+
+ e. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
+
+ f. Ausübung der Rechte betroffener Personen;
+
+ g. Unterrichtung und Schutz von Kindern und Art und Weise, in der
+ die Einwilligung des Trägers der elterlichen Verantwortung für
+ das Kind einzuholen ist;
+
+ h. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die
+ Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
+
+ i. die Meldung von Verletzungen des Schutzes personenbezogener
+ Daten an Aufsichtsbehörden und die Benachrichtigung der
+ betroffenen Person von solchen Verletzungen des Schutzes
+ personenbezogener Daten;
+
+ j. die Übermittlung personenbezogener Daten an Drittländer oder an
+ internationale Organisationen oder
+
+ k. außergerichtliche Verfahren und sonstige
+ Streitbeilegungsverfahren zur Beilegung von Streitigkeiten
+ zwischen Verantwortlichen und betroffenen Personen im
+ Zusammenhang mit der Verarbeitung, unbeschadet der Rechte
+ betroffener Personen gemäß den Artikeln 77 und 79.
+
+3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden
+ Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln,
+ die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und
+ gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit
+ besitzen, können auch von Verantwortlichen oder
+ Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese
+ Verordnung fallen, eingehalten werden, um geeignete Garantien im
+ Rahmen der Übermittlung personenbezogener Daten an Drittländer oder
+ internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2
+ Buchstabe e zu bieten. Diese Verantwortlichen oder
+ Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger
+ rechtlich bindender Instrumente die verbindliche und durchsetzbare
+ Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im
+ Hinblick auf die Rechte der betroffenen Personen.
+
+4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen
+ Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten
+ Stelle ermöglichen, die obligatorische Überwachung der Einhaltung
+ ihrer Bestimmungen durch die Verantwortlichen oder die
+ Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln
+ verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse
+ der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
+
+5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden
+ Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder
+ bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den
+ Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder
+ Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55
+ zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber
+ ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren
+ Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und
+ genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu
+ deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass
+ er ausreichende geeignete Garantien bietet.
+
+6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der
+ Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung
+ genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht
+ auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt
+ die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und
+ veröffentlicht sie.
+
+7. Bezieht sich der Entwurf der Verhaltensregeln auf
+ Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die
+ nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf
+ der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder
+ Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem
+ Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der
+ Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung
+ mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3
+ dieses Artikels — geeignete Garantien vorsieht.
+
+8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der
+ Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder
+ Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach
+ Absatz 3 — geeignete Garantien vorsieht, so übermittelt der
+ Ausschuss seine Stellungnahme der Kommission.
+
+9. Die Kommission kann im Wege von Durchführungsrechtsakten
+ beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten
+ Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung
+ allgemeine Gültigkeit in der Union besitzen. Diese
+ Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel
+ 93 Absatz 2 erlassen.
+
+10. Die Kommission trägt dafür Sorge, dass die genehmigten
+ Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit
+ zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
+
+11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren
+ genehmigte Änderungen oder Erweiterungen in ein Register auf und
+ veröffentlicht sie in geeigneter Weise.
-2. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird:
-
- a. faire und transparente Verarbeitung;
-
- b. die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen;
-
- c. Erhebung personenbezogener Daten;
-
- d. Pseudonymisierung personenbezogener Daten;
-
- e. Unterrichtung der Öffentlichkeit und der betroffenen Personen;
-
- f. Ausübung der Rechte betroffener Personen;
-
- g. Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
-
- h. die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
-
- i. die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
-
- j. die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
-
- k. außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79.
-
-3. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
-
-4. Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist.
-
-5. Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet.
-
-6. Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie.
-
-7. Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 dieses Artikels — geeignete Garantien vorsieht.
-
-8. Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission.
-
-9. Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
-
-10. Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden.
-
-11. Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise.
diff --git a/dsgvo/ch04/ch04-art41.md b/dsgvo/ch04/ch04-art41.md
index 7128042..40e3b8e 100644
--- a/dsgvo/ch04/ch04-art41.md
+++ b/dsgvo/ch04/ch04-art41.md
@@ -1,23 +1,60 @@
Artikel 41 - Überwachung der genehmigten Verhaltensregeln
---------------------------------------------------------
-1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde.
+1. Unbeschadet der Aufgaben und Befugnisse der zuständigen
+ Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung
+ der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer
+ Stelle durchgeführt werden, die über das geeignete Fachwissen
+ hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die
+ von der zuständigen Aufsichtsbehörde zu diesem Zweck
+ akkreditiert wurde.
+
+2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der
+ Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
+
+ a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des
+ Gegenstands der Verhaltensregeln zur Zufriedenheit der
+ zuständigen Aufsichtsbehörde nachgewiesen hat;
+
+ b. Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten,
+ ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln
+ anwenden können, die Einhaltung der Verhaltensregeln durch die
+ Verantwortlichen und Auftragsverarbeiter zu überwachen und die
+ Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
+
+ c. Verfahren und Strukturen festgelegt hat, mit denen sie
+ Beschwerden über Verletzungen der Verhaltensregeln oder über die
+ Art und Weise, in der die Verhaltensregeln von dem
+ Verantwortlichen oder dem Auftragsverarbeiter angewendet werden
+ oder wurden, nachgeht und diese Verfahren und Strukturen für
+ betroffene Personen und die Öffentlichkeit transparent macht,
+ und
+
+ d. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
+ hat, dass ihre Aufgaben und Pflichten nicht zu einem
+ Interessenkonflikt führen.
+
+3. Die zuständige Aufsichtsbehörde übermittelt den Entwurf der
+ Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß
+ dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
+
+4. Unbeschadet der Aufgaben und Befugnisse der zuständigen
+ Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift
+ eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im
+ Falle einer Verletzung der Verhaltensregeln durch einen
+ Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen,
+ einschließlich eines vorläufigen oder endgültigen Ausschlusses des
+ Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln.
+ Sie unterrichtet die zuständige Aufsichtsbehörde über solche
+ Maßnahmen und deren Begründung.
+
+5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer
+ Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre
+ Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die
+ Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung
+ vereinbar sind.
+
+6. Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder
+ öffentliche Stellen.
-2. Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie
-
- a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat;
-
- b. Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen;
-
- c. Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und
-
- d. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
-
-3. Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss.
-
-4. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung.
-
-5. Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
-
-6. Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen.
diff --git a/dsgvo/ch04/ch04-art42.md b/dsgvo/ch04/ch04-art42.md
index 84d9feb..dbe41e6 100644
--- a/dsgvo/ch04/ch04-art42.md
+++ b/dsgvo/ch04/ch04-art42.md
@@ -1,19 +1,66 @@
Artikel 42 - Zertifizierung
---------------------------
-1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.
+1. Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die
+ Kommission fördern insbesondere auf Unionsebene die Einführung von
+ datenschutzspezifischen Zertifizierungsverfahren sowie von
+ Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen,
+ dass diese Verordnung bei Verarbeitungsvorgängen von
+ Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den
+ besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und
+ mittleren Unternehmen wird Rechnung getragen.
-2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen.
+2. Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden
+ Verantwortlichen oder Auftragsverarbeiter können auch
+ datenschutzspezifische Zertifizierungsverfahren, Siegel oder
+ Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt
+ worden sind, vorgesehen werden, um nachzuweisen, dass die
+ Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht
+ unter diese Verordnung fallen, im Rahmen der Übermittlung
+ personenbezogener Daten an Drittländer oder internationale
+ Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f
+ geeignete Garantien bieten. Diese Verantwortlichen oder
+ Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger
+ rechtlich bindender Instrumente die verbindliche und durchsetzbare
+ Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im
+ Hinblick auf die Rechte der betroffenen Personen.
-3. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
+3. Die Zertifizierung muss freiwillig und über ein transparentes
+ Verfahren zugänglich sein.
-4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind.
+4. Eine Zertifizierung gemäß diesem Artikel mindert nicht die
+ Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für
+ die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und
+ Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56
+ zuständig sind.
-5. Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen.
+5. Eine Zertifizierung nach diesem Artikel wird durch die
+ Zertifizierungsstellen nach Artikel 43 oder durch die zuständige
+ Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde
+ gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den
+ Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom
+ Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung,
+ dem Europäischen Datenschutzsiegel, führen.
-6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
+6. Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm
+ durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft,
+ stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls
+ der zuständigen Aufsichtsbehörde alle für die Durchführung des
+ Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung
+ und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu
+ seinen Verarbeitungstätigkeiten.
-7. Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
+7. Die Zertifizierung wird einem Verantwortlichen oder einem
+ Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und
+ kann unter denselben Bedingungen verlängert werden, sofern die
+ einschlägigen Voraussetzungen weiterhin erfüllt werden. Die
+ Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen
+ nach Artikel 43 oder durch die zuständige Aufsichtsbehörde
+ widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht
+ oder nicht mehr erfüllt werden.
+
+8. Der Ausschuss nimmt alle Zertifizierungsverfahren und
+ Datenschutzsiegel und -prüfzeichen in ein Register auf und
+ veröffentlicht sie in geeigneter Weise.
-8. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise.
diff --git a/dsgvo/ch04/ch04-art43.md b/dsgvo/ch04/ch04-art43.md
index 60d8675..9c9ee15 100644
--- a/dsgvo/ch04/ch04-art43.md
+++ b/dsgvo/ch04/ch04-art43.md
@@ -1,35 +1,100 @@
Artikel 43 - Zertifizierungsstellen
-----------------------------------
-1. Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde — damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden:
+1. Unbeschadet der Aufgaben und Befugnisse der zuständigen
+ Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder
+ verlängern Zertifizierungsstellen, die über das geeignete Fachwissen
+ hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der
+ Aufsichtsbehörde — damit diese erforderlichenfalls von ihren
+ Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen
+ kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass
+ diese Zertifizierungsstellen von einer oder beiden der folgenden
+ Stellen akkreditiert werden:
+
+ a. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
+
+ b. der nationalen Akkreditierungsstelle, die gemäß der
+ Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des
+ Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den
+ zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen
+ Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
+
+2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem
+ genannten Absatz akkreditiert werden, wenn sie
+
+ a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des
+ Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen
+ Aufsichtsbehörde nachgewiesen haben;
+
+ b. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5,
+ die von der gemäß Artikel 55 oder 56 zuständigen
+ Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss
+ genehmigt wurden, einzuhalten;
+
+ c. Verfahren für die Erteilung, die regelmäßige Überprüfung und den
+ Widerruf der Datenschutzzertifizierung sowie der
+ Datenschutzsiegel und -prüfzeichen festgelegt haben;
+
+ d. Verfahren und Strukturen festgelegt haben, mit denen sie
+ Beschwerden über Verletzungen der Zertifizierung oder die Art
+ und Weise, in der die Zertifizierung von dem Verantwortlichen
+ oder dem Auftragsverarbeiter umgesetzt wird oder wurde,
+ nachgehen und diese Verfahren und Strukturen für betroffene
+ Personen und die Öffentlichkeit transparent machen, und
+
+ e. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen
+ haben, dass ihre Aufgaben und Pflichten nicht zu einem
+ Interessenkonflikt führen.
+
+3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1
+ und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55
+ oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von
+ dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach
+ Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese
+ Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008
+ und in den technischen Vorschriften, in denen die Methoden und
+ Verfahren der Zertifizierungsstellen beschrieben werden,
+ vorgesehen sind.
+
+4. Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der
+ Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter
+ für die Einhaltung dieser Verordnung hat, für die angemessene
+ Bewertung, die der Zertifizierung oder dem Widerruf einer
+ Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung
+ wird für eine Höchstdauer von fünf Jahren erteilt und kann unter
+ denselben Bedingungen verlängert werden, sofern die
+ Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
+
+5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen
+ Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der
+ beantragten Zertifizierung mit.
+
+6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die
+ Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde
+ in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden
+ übermitteln diese Anforderungen und Kriterien auch dem Ausschuss.
+ Der Ausschuss nimmt alle Zertifizierungsverfahren und
+ Datenschutzsiegel in ein Register auf und veröffentlicht sie in
+ geeigneter Weise.
+
+7. Unbeschadet des Kapitels VIII widerruft die zuständige
+ Aufsichtsbehörde oder die nationale Akkreditierungsstelle die
+ Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die
+ Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt
+ sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die
+ nicht mit dieser Verordnung vereinbar sind.
+
+8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92
+ delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen,
+ die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen
+ Zertifizierungsverfahren zu berücksichtigen sind.
+
+9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen
+ technische Standards für Zertifizierungsverfahren und
+ Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung
+ und Anerkennung dieser Zertifizierungsverfahren und
+ Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese
+ Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2
+ genannten Prüfverfahren erlassen.
- a. der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde;
-
- b. der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde.
-
-2. Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem genannten Absatz akkreditiert werden, wenn sie
-
- a. ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben;
-
- b. sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden, einzuhalten;
-
- c. Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben;
-
- d. Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und
-
- e. zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
-
-3. Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind.
-
-4. Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt.
-
-5. Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit.
-
-6. Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise.
-
-7. Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind.
-
-8. Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind.
-
-9. Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
diff --git a/dsgvo/ch05/ch05-art44.md b/dsgvo/ch05/ch05-art44.md
index 4ff1fec..99373b3 100644
--- a/dsgvo/ch05/ch05-art44.md
+++ b/dsgvo/ch05/ch05-art44.md
@@ -1,4 +1,15 @@
Artikel 44 - Allgemeine Grundsätze der Datenübermittlung
--------------------------------------------------------
-Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
+Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet
+werden oder nach ihrer Übermittlung an ein Drittland oder eine
+internationale Organisation verarbeitet werden sollen, ist nur zulässig,
+wenn der Verantwortliche und der Auftragsverarbeiter die in diesem
+Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen
+Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für
+die etwaige Weiterübermittlung personenbezogener Daten durch das
+betreffende Drittland oder die betreffende internationale Organisation
+an ein anderes Drittland oder eine andere internationale Organisation.
+Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen,
+dass das durch diese Verordnung gewährleistete Schutzniveau für
+natürliche Personen nicht untergraben wird.
diff --git a/dsgvo/ch05/ch05-art45.md b/dsgvo/ch05/ch05-art45.md
index 84d83c4..bfa2813 100644
--- a/dsgvo/ch05/ch05-art45.md
+++ b/dsgvo/ch05/ch05-art45.md
@@ -1,29 +1,111 @@
Artikel 45 - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses
---------------------------------------------------------------------------------
-1. Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung.
+1. Eine Übermittlung personenbezogener Daten an ein Drittland oder eine
+ internationale Organisation darf vorgenommen werden, wenn die
+ Kommission beschlossen hat, dass das betreffende Drittland, ein
+ Gebiet oder ein oder mehrere spezifische Sektoren in diesem
+ Drittland oder die betreffende internationale Organisation ein
+ angemessenes Schutzniveau bietet. Eine solche Datenübermittlung
+ bedarf keiner besonderen Genehmigung.
-2. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende:
+2. Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus
+ berücksichtigt die Kommission insbesondere das Folgende:
- a. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden,
+ a. die Rechtsstaatlichkeit, die Achtung der Menschenrechte und
+ Grundfreiheiten, die in dem betreffenden Land bzw. bei der
+ betreffenden internationalen Organisation geltenden
+ einschlägigen Rechtsvorschriften sowohl allgemeiner als auch
+ sektoraler Art — auch in Bezug auf öffentliche Sicherheit,
+ Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang
+ der Behörden zu personenbezogenen Daten — sowie die Anwendung
+ dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln
+ und Sicherheitsvorschriften einschließlich der Vorschriften für
+ die Weiterübermittlung personenbezogener Daten an ein anderes
+ Drittland bzw. eine andere internationale Organisation, die
+ Rechtsprechung sowie wirksame und durchsetzbare Rechte der
+ betroffenen Person und wirksame verwaltungsrechtliche und
+ gerichtliche Rechtsbehelfe für betroffene Personen, deren
+ personenbezogene Daten übermittelt werden,
- b. die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
+ b. die Existenz und die wirksame Funktionsweise einer oder mehrerer
+ unabhängiger Aufsichtsbehörden in dem betreffenden Drittland
+ oder denen eine internationale Organisation untersteht und die
+ für die Einhaltung und Durchsetzung der Datenschutzvorschriften,
+ einschließlich angemessener Durchsetzungsbefugnisse, für die
+ Unterstützung und Beratung der betroffenen Personen bei der
+ Ausübung ihrer Rechte und für die Zusammenarbeit mit den
+ Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und
- c. die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.
+ c. die von dem betreffenden Drittland bzw. der betreffenden
+ internationalen Organisation eingegangenen internationalen
+ Verpflichtungen oder andere Verpflichtungen, die sich aus
+ rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus
+ der Teilnahme des Drittlands oder der internationalen
+ Organisation an multilateralen oder regionalen Systemen
+ insbesondere in Bezug auf den Schutz personenbezogener
+ Daten ergeben.
-3. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
+3. Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die
+ Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass
+ ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren
+ in einem Drittland oder eine internationale Organisation ein
+ angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden
+ Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus
+ für eine regelmäßige Überprüfung, die mindestens alle vier Jahre
+ erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem
+ Drittland oder bei der internationalen Organisation Rechnung
+ getragen wird. Im Durchführungsrechtsakt werden der territoriale und
+ der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2
+ Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw.
+ genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt
+ wird gemäß dem in Artikel 93 Absatz 2 genannten
+ Prüfverfahren erlassen.
-4. Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten.
+4. Die Kommission überwacht fortlaufend die Entwicklungen in
+ Drittländern und bei internationalen Organisationen, die die
+ Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen
+ Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG
+ erlassenen Feststellungen beeinträchtigen könnten.
-5. Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
+5. Die Kommission widerruft, ändert oder setzt die in Absatz 3 des
+ vorliegenden Artikels genannten Beschlüsse im Wege von
+ Durchführungsrechtsakten aus, soweit dies nötig ist und ohne
+ rückwirkende Kraft, soweit entsprechende Informationen —
+ insbesondere im Anschluss an die in Absatz 3 des vorliegenden
+ Artikels genannte Überprüfung — dahingehend vorliegen, dass ein
+ Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in
+ einem Drittland oder eine internationale Organisation kein
+ angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden
+ Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden
+ gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
-In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte.
+In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die
+Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort
+geltende Durchführungsrechtsakte.
-1. Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat.
+1. Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw.
+ der betreffenden internationalen Organisation auf, um Abhilfe für
+ die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen
+ Beschluss geführt hat.
-2. Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt.
+2. Übermittlungen personenbezogener Daten an das betreffende Drittland,
+ das Gebiet oder einen oder mehrere spezifische Sektoren in diesem
+ Drittland oder an die betreffende internationale Organisation gemäß
+ den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5
+ des vorliegenden Artikels nicht berührt.
-3. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten.
+3. Die Kommission veröffentlicht im Amtsblatt der Europäischen Union
+ und auf ihrer Website eine Liste aller Drittländer beziehungsweise
+ Gebiete und spezifischen Sektoren in einem Drittland und aller
+ internationalen Organisationen, für die sie durch Beschluss
+ festgestellt hat, dass sie ein angemessenes Schutzniveau
+ gewährleisten bzw. nicht mehr gewährleisten.
+
+4. Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der
+ Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in
+ Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen
+ 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der
+ Kommission geändert, ersetzt oder aufgehoben werden.
-4. Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
diff --git a/dsgvo/ch05/ch05-art46.md b/dsgvo/ch05/ch05-art46.md
index 1fd8e55..4ac6c50 100644
--- a/dsgvo/ch05/ch05-art46.md
+++ b/dsgvo/ch05/ch05-art46.md
@@ -1,29 +1,68 @@
Artikel 46 - Datenübermittlung vorbehaltlich geeigneter Garantien
-----------------------------------------------------------------
-1. Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
+1. Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein
+ Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten
+ an ein Drittland oder eine internationale Organisation nur
+ übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter
+ geeignete Garantien vorgesehen hat und sofern den betroffenen
+ Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur
+ Verfügung stehen.
-2. Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in
+2. Die in Absatz 1 genannten geeigneten Garantien können, ohne dass
+ hierzu eine besondere Genehmigung einer Aufsichtsbehörde
+ erforderlich wäre, bestehen in
- a. einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
+ a. einem rechtlich bindenden und durchsetzbaren Dokument zwischen
+ den Behörden oder öffentlichen Stellen,
- b. verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
+ b. verbindlichen internen Datenschutzvorschriften gemäß Artikel 47,
- c. Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
+ c. Standarddatenschutzklauseln, die von der Kommission gemäß dem
+ Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden,
- d. von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
+ d. von einer Aufsichtsbehörde angenommenen
+ Standarddatenschutzklauseln, die von der Kommission gemäß dem
+ Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden,
- e. genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
+ e. genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit
+ rechtsverbindlichen und durchsetzbaren Verpflichtungen des
+ Verantwortlichen oder des Auftragsverarbeiters in dem Drittland
+ zur Anwendung der geeigneten Garantien, einschließlich in Bezug
+ auf die Rechte der betroffenen Personen, oder
- f. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
+ f. einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42
+ zusammen mit rechtsverbindlichen und durchsetzbaren
+ Verpflichtungen des Verantwortlichen oder des
+ Auftragsverarbeiters in dem Drittland zur Anwendung der
+ geeigneten Garantien, einschließlich in Bezug auf die Rechte der
+ betroffenen Personen.
-3. Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in
+3. Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde
+ können die geeigneten Garantien gemäß Absatz 1 auch insbesondere
+ bestehen in
- a. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
+ a. Vertragsklauseln, die zwischen dem Verantwortlichen oder dem
+ Auftragsverarbeiter und dem Verantwortlichen, dem
+ Auftragsverarbeiter oder dem Empfänger der personenbezogenen
+ Daten im Drittland oder der internationalen Organisation
+ vereinbart wurden, oder
- b. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
+ b. Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden
+ oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und
+ wirksame Rechte für die betroffenen Personen einschließen.
-4. Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
+4. Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63
+ an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt.
+
+5. Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der
+ Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte
+ Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls
+ von dieser Aufsichtsbehörde geändert, ersetzt oder
+ aufgehoben werden. Von der Kommission auf der Grundlage von Artikel
+ 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben
+ so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz
+ 2 des vorliegenden Artikels erlassenen Beschluss der Kommission
+ geändert, ersetzt oder aufgehoben werden.
-5. Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden.
diff --git a/dsgvo/ch05/ch05-art47.md b/dsgvo/ch05/ch05-art47.md
index d4d9df5..d28c92e 100644
--- a/dsgvo/ch05/ch05-art47.md
+++ b/dsgvo/ch05/ch05-art47.md
@@ -1,43 +1,129 @@
Artikel 47 - Verbindliche interne Datenschutzvorschriften
---------------------------------------------------------
-1. Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese
+1. Die zuständige Aufsichtsbehörde genehmigt gemäß dem
+ Kohärenzverfahren nach Artikel 63 verbindliche interne
+ Datenschutzvorschriften, sofern diese
+
+ a. rechtlich bindend sind, für alle betreffenden Mitglieder der
+ Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine
+ gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen
+ Mitgliedern durchgesetzt werden, und dies auch für ihre
+ Beschäftigten gilt,
+
+ b. den betroffenen Personen ausdrücklich durchsetzbare Rechte in
+ Bezug auf die Verarbeitung ihrer personenbezogenen Daten
+ übertragen und
+
+ c. die in Absatz 2 festgelegten Anforderungen erfüllen.
+
+2. Die verbindlichen internen Datenschutzvorschriften nach Absatz 1
+ enthalten mindestens folgende Angaben:
+
+ a. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von
+ Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
+ und jedes ihrer Mitglieder;
+
+ b. die betreffenden Datenübermittlungen oder Reihen von
+ Datenübermittlungen einschließlich der betreffenden Arten
+ personenbezogener Daten, Art und Zweck der Datenverarbeitung,
+ Art der betroffenen Personen und das betreffende Drittland
+ beziehungsweise die betreffenden Drittländer;
+
+ c. interne und externe Rechtsverbindlichkeit der betreffenden
+ internen Datenschutzvorschriften;
+
+ d. die Anwendung der allgemeinen Datenschutzgrundsätze,
+ insbesondere Zweckbindung, Datenminimierung, begrenzte
+ Speicherfristen, Datenqualität, Datenschutz durch
+ Technikgestaltung und durch datenschutzfreundliche
+ Voreinstellungen, Rechtsgrundlage für die Verarbeitung,
+ Verarbeitung besonderer Kategorien von personenbezogenen Daten,
+ Maßnahmen zur Sicherstellung der Datensicherheit und
+ Anforderungen für die Weiterübermittlung an nicht an diese
+ internen Datenschutzvorschriften gebundene Stellen;
+
+ e. die Rechte der betroffenen Personen in Bezug auf die
+ Verarbeitung und die diesen offenstehenden Mittel zur
+ Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer
+ ausschließlich auf einer automatisierten Verarbeitung —
+ einschließlich Profiling — beruhenden Entscheidung nach Artikel
+ 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten
+ Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde
+ beziehungsweise auf Einlegung eines Rechtsbehelfs bei den
+ zuständigen Gerichten der Mitgliedstaaten und im Falle einer
+ Verletzung der verbindlichen internen Datenschutzvorschriften
+ Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
+
+ f. die von dem in einem Mitgliedstaat niedergelassenen
+ Verantwortlichen oder Auftragsverarbeiter übernommene Haftung
+ für etwaige Verstöße eines nicht in der Union niedergelassenen
+ betreffenden Mitglieds der Unternehmensgruppe gegen die
+ verbindlichen internen Datenschutzvorschriften; der
+ Verantwortliche oder der Auftragsverarbeiter ist nur dann
+ teilweise oder vollständig von dieser Haftung befreit, wenn er
+ nachweist, dass der Umstand, durch den der Schaden eingetreten
+ ist, dem betreffenden Mitglied nicht zur Last gelegt werden
+ kann;
+
+ g. die Art und Weise, wie die betroffenen Personen über die
+ Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen
+ internen Datenschutzvorschriften und insbesondere über die unter
+ den Buchstaben d, e und f dieses Absatzes genannten Aspekte
+ informiert werden;
+
+ h. die Aufgaben jedes gemäß Artikel 37 benannten
+ Datenschutzbeauftragten oder jeder anderen Person oder
+ Einrichtung, die mit der Überwachung der Einhaltung der
+ verbindlichen internen Datenschutzvorschriften in der
+ Unternehmensgruppe oder Gruppe von Unternehmen, die eine
+ gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der
+ Überwachung der Schulungsmaßnahmen und dem Umgang mit
+ Beschwerden befasst ist;
+
+ i. die Beschwerdeverfahren;
+
+ j. die innerhalb der Unternehmensgruppe oder Gruppe von
+ Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben,
+ bestehenden Verfahren zur Überprüfung der Einhaltung der
+ verbindlichen internen Datenschutzvorschriften. Derartige
+ Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur
+ Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der
+ betroffenen Person. Die Ergebnisse derartiger Überprüfungen
+ sollten der in Buchstabe h genannten Person oder Einrichtung
+ sowie dem Verwaltungsrat des herrschenden Unternehmens einer
+ Unternehmensgruppe oder der Gruppe von Unternehmen, die eine
+ gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und
+ sollten der zuständigen Aufsichtsbehörde auf Anfrage zur
+ Verfügung gestellt werden;
+
+ k. die Verfahren für die Meldung und Erfassung von Änderungen der
+ Vorschriften und ihre Meldung an die Aufsichtsbehörde;
+
+ l. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde,
+ die die Befolgung der Vorschriften durch sämtliche Mitglieder
+ der Unternehmensgruppe oder Gruppe von Unternehmen, die eine
+ gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten,
+ insbesondere durch Offenlegung der Ergebnisse von Überprüfungen
+ der unter Buchstabe j genannten Maßnahmen gegenüber der
+ Aufsichtsbehörde;
+
+ m. die Meldeverfahren zur Unterrichtung der zuständigen
+ Aufsichtsbehörde über jegliche für ein Mitglied der
+ Unternehmensgruppe oder Gruppe von Unternehmen, die eine
+ gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland
+ geltenden rechtlichen Bestimmungen, die sich nachteilig auf die
+ Garantien auswirken könnten, die die verbindlichen internen
+ Datenschutzvorschriften bieten, und
+
+ n. geeignete Datenschutzschulungen für Personal mit ständigem oder
+ regelmäßigem Zugang zu personenbezogenen Daten.
+
+3. Die Kommission kann das Format und die Verfahren für den
+ Informationsaustausch über verbindliche interne
+ Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen
+ Verantwortlichen, Auftragsverarbeitern und
+ Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden
+ gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
- a. rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt,
-
- b. den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und
-
- c. die in Absatz 2 festgelegten Anforderungen erfüllen.
-
-2. Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben:
-
- a. Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder;
-
- b. die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer;
-
- c. interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
-
- d. die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
-
- e. die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
-
- f. die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
-
- g. die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
-
- h. die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
-
- i. die Beschwerdeverfahren;
-
- j. die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden;
-
- k. die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
-
- l. die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde;
-
- m. die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
-
- n. geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten.
-
-3. Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
diff --git a/dsgvo/ch05/ch05-art48.md b/dsgvo/ch05/ch05-art48.md
index 17fa03b..e5302e7 100644
--- a/dsgvo/ch05/ch05-art48.md
+++ b/dsgvo/ch05/ch05-art48.md
@@ -1,4 +1,12 @@
Artikel 48 - Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
-------------------------------------------------------------------------------
-Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.
+Jegliches Urteil eines Gerichts eines Drittlands und jegliche
+Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von
+einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung
+oder Offenlegung personenbezogener Daten verlangt wird, dürfen
+unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel
+jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf
+eine in Kraft befindliche internationale Übereinkunft wie etwa ein
+Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union
+oder einem Mitgliedstaat gestützt sind.
diff --git a/dsgvo/ch05/ch05-art49.md b/dsgvo/ch05/ch05-art49.md
index ef76a81..1c1b71f 100644
--- a/dsgvo/ch05/ch05-art49.md
+++ b/dsgvo/ch05/ch05-art49.md
@@ -1,31 +1,95 @@
Artikel 49 - Ausnahmen für bestimmte Fälle
------------------------------------------
-1. Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:
+1. Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3
+ vorliegt noch geeignete Garantien nach Artikel 46, einschließlich
+ verbindlicher interner Datenschutzvorschriften, bestehen, ist eine
+ Übermittlung oder eine Reihe von Übermittlungen personenbezogener
+ Daten an ein Drittland oder an eine internationale Organisation nur
+ unter einer der folgenden Bedingungen zulässig:
- a. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
+ a. die betroffene Person hat in die vorgeschlagene
+ Datenübermittlung ausdrücklich eingewilligt, nachdem sie über
+ die für sie bestehenden möglichen Risiken derartiger
+ Datenübermittlungen ohne Vorliegen eines
+ Angemessenheitsbeschlusses und ohne geeignete Garantien
+ unterrichtet wurde,
- b. die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
+ b. die Übermittlung ist für die Erfüllung eines Vertrags zwischen
+ der betroffenen Person und dem Verantwortlichen oder zur
+ Durchführung von vorvertraglichen Maßnahmen auf Antrag der
+ betroffenen Person erforderlich,
- c. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
+ c. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im
+ Interesse der betroffenen Person von dem Verantwortlichen mit
+ einer anderen natürlichen oder juristischen Person geschlossenen
+ Vertrags erforderlich,
- d. die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
+ d. die Übermittlung ist aus wichtigen Gründen des öffentlichen
+ Interesses notwendig,
- e. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
+ e. die Übermittlung ist zur Geltendmachung, Ausübung oder
+ Verteidigung von Rechtsansprüchen erforderlich,
- f. die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
+ f. die Übermittlung ist zum Schutz lebenswichtiger Interessen der
+ betroffenen Person oder anderer Personen erforderlich, sofern
+ die betroffene Person aus physischen oder rechtlichen Gründen
+ außerstande ist, ihre Einwilligung zu geben,
- g. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.
+ g. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht
+ der Union oder der Mitgliedstaaten zur Information der
+ Öffentlichkeit bestimmt ist und entweder der gesamten
+ Öffentlichkeit oder allen Personen, die ein berechtigtes
+ Interesse nachweisen können, zur Einsichtnahme offensteht, aber
+ nur soweit die im Recht der Union oder der Mitgliedstaaten
+ festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall
+ gegeben sind.
- Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 — einschließlich der verbindlichen internen Datenschutzvorschriften — gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen.
+ Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder
+ 46 — einschließlich der verbindlichen internen
+ Datenschutzvorschriften — gestützt werden könnte und keine der
+ Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz
+ anwendbar ist, darf eine Übermittlung an ein Drittland oder eine
+ internationale Organisation nur dann erfolgen, wenn die Übermittlung
+ nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen
+ Personen betrifft, für die Wahrung der zwingenden berechtigten
+ Interessen des Verantwortlichen erforderlich ist, sofern die
+ Interessen oder die Rechte und Freiheiten der betroffenen Person
+ nicht überwiegen, und der Verantwortliche alle Umstände der
+ Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung
+ geeignete Garantien in Bezug auf den Schutz personenbezogener Daten
+ vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von
+ der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die
+ betroffene Person über die Übermittlung und seine zwingenden
+ berechtigten Interessen; dies erfolgt zusätzlich zu den der
+ betroffenen Person nach den Artikeln 13 und 14
+ mitgeteilten Informationen.
-2. Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
+2. Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen
+ nicht die Gesamtheit oder ganze Kategorien der im Register
+ enthaltenen personenbezogenen Daten umfassen. Wenn das Register der
+ Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf
+ die Übermittlung nur auf Anfrage dieser Personen oder nur dann
+ erfolgen, wenn diese Personen die Adressaten der Übermittlung sind.
-3. Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen.
+3. Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1
+ Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung
+ ihrer hoheitlichen Befugnisse durchführen.
-4. Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein.
+4. Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1
+ Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats,
+ dem der Verantwortliche unterliegt, anerkannt sein.
-5. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.
+5. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht
+ oder im Recht der Mitgliedstaaten aus wichtigen Gründen des
+ öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung
+ bestimmter Kategorien von personenbezogenen Daten an Drittländer
+ oder internationale Organisationen vorgesehen werden. Die
+ Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit.
+
+6. Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm
+ vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne
+ des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der
+ Dokumentation gemäß Artikel 30.
-6. Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30.
diff --git a/dsgvo/ch05/ch05-art50.md b/dsgvo/ch05/ch05-art50.md
index f84e38a..6a5537b 100644
--- a/dsgvo/ch05/ch05-art50.md
+++ b/dsgvo/ch05/ch05-art50.md
@@ -1,12 +1,27 @@
Artikel 50 - Internationale Zusammenarbeit zum Schutz personenbezogener Daten
-----------------------------------------------------------------------------
-In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur
+In Bezug auf Drittländer und internationale Organisationen treffen die
+Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur
- a. Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird,
+a. Entwicklung von Mechanismen der internationalen Zusammenarbeit,
+ durch die die wirksame Durchsetzung von Rechtsvorschriften zum
+ Schutz personenbezogener Daten erleichtert wird,
- b. gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen,
+b. gegenseitigen Leistung internationaler Amtshilfe bei der
+ Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener
+ Daten, unter anderem durch Meldungen, Beschwerdeverweisungen,
+ Amtshilfe bei Untersuchungen und Informationsaustausch, sofern
+ geeignete Garantien für den Schutz personenbezogener Daten und
+ anderer Grundrechte und Grundfreiheiten bestehen,
+
+c. Einbindung maßgeblicher Interessenträger in Diskussionen und
+ Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei
+ der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener
+ Daten dienen,
+
+d. Förderung des Austauschs und der Dokumentation von
+ Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten
+ einschließlich Zuständigkeitskonflikten mit Drittländern.
- c. Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen,
- d. Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern.
diff --git a/dsgvo/ch06/ch06-art51.md b/dsgvo/ch06/ch06-art51.md
index 3070bb1..6363ac8 100644
--- a/dsgvo/ch06/ch06-art51.md
+++ b/dsgvo/ch06/ch06-art51.md
@@ -1,11 +1,27 @@
Artikel 51 - Aufsichtsbehörde
-----------------------------
-1. Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“).
+1. Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige
+ Behörden für die Überwachung der Anwendung dieser Verordnung
+ zuständig sind, damit die Grundrechte und Grundfreiheiten
+ natürlicher Personen bei der Verarbeitung geschützt werden und der
+ freie Verkehr personenbezogener Daten in der Union erleichtert wird
+ (im Folgenden „Aufsichtsbehörde“).
-2. Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen.
+2. Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen
+ Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck
+ arbeiten die Aufsichtsbehörden untereinander sowie mit der
+ Kommission gemäß Kapitel VII zusammen.
-3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten.
+3. Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so
+ bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese
+ Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem
+ sichergestellt wird, dass die anderen Behörden die Regeln für das
+ Kohärenzverfahren nach Artikel 63 einhalten.
+
+4. Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018
+ die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt,
+ sowie unverzüglich alle folgenden Änderungen dieser
+ Vorschriften mit.
-4. Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit.
diff --git a/dsgvo/ch06/ch06-art52.md b/dsgvo/ch06/ch06-art52.md
index 2ca7b23..1ac27fc 100644
--- a/dsgvo/ch06/ch06-art52.md
+++ b/dsgvo/ch06/ch06-art52.md
@@ -1,15 +1,38 @@
Artikel 52 - Unabhängigkeit
---------------------------
-1. Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig.
+1. Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und
+ bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung
+ völlig unabhängig.
-2. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen.
+2. Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen
+ bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse
+ gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung
+ von außen und ersuchen weder um Weisung noch nehmen sie
+ Weisungen entgegen.
-3. Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.
+3. Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von
+ allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden
+ Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem
+ Amt nicht zu vereinbarende entgeltliche oder unentgeltliche
+ Tätigkeit aus.
-4. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können.
+4. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit
+ den personellen, technischen und finanziellen Ressourcen,
+ Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie
+ benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der
+ Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv
+ wahrnehmen zu können.
-5. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht.
+5. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr
+ eigenes Personal auswählt und hat, das ausschließlich der Leitung
+ des Mitglieds oder der Mitglieder der betreffenden
+ Aufsichtsbehörde untersteht.
+
+6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer
+ Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht
+ beeinträchtigt und dass sie über eigene, öffentliche, jährliche
+ Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder
+ nationalen Haushalts sein können.
-6. Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können.
diff --git a/dsgvo/ch06/ch06-art53.md b/dsgvo/ch06/ch06-art53.md
index 616a242..640f915 100644
--- a/dsgvo/ch06/ch06-art53.md
+++ b/dsgvo/ch06/ch06-art53.md
@@ -1,19 +1,30 @@
Artikel 53 - Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
---------------------------------------------------------------------------
-1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar
+1. Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer
+ Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt
+ wird, und zwar
- - vom Parlament,
+ - vom Parlament,
- - von der Regierung,
+ - von der Regierung,
- - vom Staatsoberhaupt oder
+ - vom Staatsoberhaupt oder
- - von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird.
+ - von einer unabhängigen Stelle, die nach dem Recht des
+ Mitgliedstaats mit der Ernennung betraut wird.
-2. Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen.
+2. Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und
+ Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung
+ und Sachkunde insbesondere im Bereich des Schutzes personenbezogener
+ Daten verfügen.
-3. Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats.
+3. Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem
+ Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem
+ Recht des betroffenen Mitgliedstaats.
+
+4. Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere
+ Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung
+ seiner Aufgaben nicht mehr erfüllt.
-4. Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt.
diff --git a/dsgvo/ch06/ch06-art54.md b/dsgvo/ch06/ch06-art54.md
index 949b4c9..70a30e3 100644
--- a/dsgvo/ch06/ch06-art54.md
+++ b/dsgvo/ch06/ch06-art54.md
@@ -1,19 +1,42 @@
Artikel 54 - Errichtung der Aufsichtsbehörde
--------------------------------------------
-1. Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
+1. Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor:
+
+ a. die Errichtung jeder Aufsichtsbehörde;
+
+ b. die erforderlichen Qualifikationen und sonstigen Voraussetzungen
+ für die Ernennung zum Mitglied jeder Aufsichtsbehörde;
+
+ c. die Vorschriften und Verfahren für die Ernennung des Mitglieds
+ oder der Mitglieder jeder Aufsichtsbehörde;
+
+ d. die Amtszeit des Mitglieds oder der Mitglieder jeder
+ Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für
+ die erste Amtszeit nach 24. Mai 2016, die für einen Teil der
+ Mitglieder kürzer sein kann, wenn eine zeitlich versetzte
+ Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde
+ notwendig ist;
+
+ e. die Frage, ob und — wenn ja — wie oft das Mitglied oder die
+ Mitglieder jeder Aufsichtsbehörde wiederernannt werden können;
+
+ f. die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder
+ der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die
+ Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen
+ während und nach der Amtszeit, die mit diesen Pflichten
+ unvereinbar sind, und die Regeln für die Beendigung
+ des Beschäftigungsverhältnisses.
+
+2. Das Mitglied oder die Mitglieder und die Bediensteten jeder
+ Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der
+ Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise
+ Dienstzeit als auch nach deren Beendigung verpflichtet, über alle
+ vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer
+ Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind,
+ Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise
+ Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die
+ von natürlichen Personen gemeldeten Verstößen gegen
+ diese Verordnung.
- a. die Errichtung jeder Aufsichtsbehörde;
-
- b. die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung zum Mitglied jeder Aufsichtsbehörde;
-
- c. die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde;
-
- d. die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist;
-
- e. die Frage, ob und — wenn ja — wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde wiederernannt werden können;
-
- f. die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses.
-
-2. Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung.
diff --git a/dsgvo/ch06/ch06-art55.md b/dsgvo/ch06/ch06-art55.md
index e2b72c4..cc1e12d 100644
--- a/dsgvo/ch06/ch06-art55.md
+++ b/dsgvo/ch06/ch06-art55.md
@@ -1,9 +1,17 @@
Artikel 55 - Zuständigkeit
--------------------------
-1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
+1. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die
+ Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen
+ wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig.
-2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung.
+2. Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der
+ Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die
+ Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem
+ Fall findet Artikel 56 keine Anwendung.
+
+3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die
+ von Gerichten im Rahmen ihrer justiziellen Tätigkeit
+ vorgenommenen Verarbeitungen.
-3. Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen.
diff --git a/dsgvo/ch06/ch06-art56.md b/dsgvo/ch06/ch06-art56.md
index 9f36f97..2c8f89c 100644
--- a/dsgvo/ch06/ch06-art56.md
+++ b/dsgvo/ch06/ch06-art56.md
@@ -1,15 +1,46 @@
Artikel 56 - Zuständigkeit der federführenden Aufsichtsbehörde
--------------------------------------------------------------
-1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung.
+1. Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der
+ Hauptniederlassung oder der einzigen Niederlassung des
+ Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren
+ nach Artikel 60 die zuständige federführende Aufsichtsbehörde für
+ die von diesem Verantwortlichen oder diesem Auftragsverarbeiter
+ durchgeführte grenzüberschreitende Verarbeitung.
-2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.
+2. Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig,
+ sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen
+ Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur
+ mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder
+ betroffene Personen nur ihres Mitgliedstaats
+ erheblich beeinträchtigt.
-3. In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht.
+3. In den in Absatz 2 des vorliegenden Artikels genannten Fällen
+ unterrichtet die Aufsichtsbehörde unverzüglich die federführende
+ Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von
+ drei Wochen nach der Unterrichtung entscheidet die federführende
+ Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach
+ Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der
+ Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat,
+ dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat
+ oder nicht.
-4. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung.
+4. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu
+ befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die
+ Aufsichtsbehörde, die die federführende Aufsichtsbehörde
+ unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die
+ federführende Aufsichtsbehörde trägt diesem Entwurf bei der
+ Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3
+ weitestgehend Rechnung.
-5. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62.
+5. Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall
+ nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die
+ federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall
+ gemäß den Artikeln 61 und 62.
+
+6. Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner
+ der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von
+ diesem Verantwortlichen oder diesem Auftragsverarbeiter
+ durchgeführten grenzüberschreitenden Verarbeitung.
-6. Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung.
diff --git a/dsgvo/ch06/ch06-art57.md b/dsgvo/ch06/ch06-art57.md
index 1fc974c..fad110f 100644
--- a/dsgvo/ch06/ch06-art57.md
+++ b/dsgvo/ch06/ch06-art57.md
@@ -1,55 +1,114 @@
Artikel 57 - Aufgaben
---------------------
-1. Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
+1. Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss
+ jede Aufsichtsbehörde in ihrem Hoheitsgebiet
- a. die Anwendung dieser Verordnung überwachen und durchsetzen;
+ a. die Anwendung dieser Verordnung überwachen und durchsetzen;
+
+ b. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und
+ Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und
+ sie darüber aufklären. Besondere Beachtung finden dabei
+ spezifische Maßnahmen für Kinder;
+
+ c. im Einklang mit dem Recht des Mitgliedsstaats das nationale
+ Parlament, die Regierung und andere Einrichtungen und Gremien
+ über legislative und administrative Maßnahmen zum Schutz der
+ Rechte und Freiheiten natürlicher Personen in Bezug auf die
+ Verarbeitung beraten;
+
+ d. die Verantwortlichen und die Auftragsverarbeiter für die ihnen
+ aus dieser Verordnung entstehenden Pflichten sensibilisieren;
+
+ e. auf Anfrage jeder betroffenen Person Informationen über die
+ Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung
+ stellen und gegebenenfalls zu diesem Zweck mit den
+ Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
+
+ f. sich mit Beschwerden einer betroffenen Person oder Beschwerden
+ einer Stelle, einer Organisation oder eines Verbandes gemäß
+ Artikel 80 befassen, den Gegenstand der Beschwerde in
+ angemessenem Umfang untersuchen und den Beschwerdeführer
+ innerhalb einer angemessenen Frist über den Fortgang und das
+ Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine
+ weitere Untersuchung oder Koordinierung mit einer anderen
+ Aufsichtsbehörde notwendig ist;
+
+ g. mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch
+ Informationsaustausch, und ihnen Amtshilfe leisten, um die
+ einheitliche Anwendung und Durchsetzung dieser Verordnung zu
+ gewährleisten;
+
+ h. Untersuchungen über die Anwendung dieser Verordnung durchführen,
+ auch auf der Grundlage von Informationen einer anderen
+ Aufsichtsbehörde oder einer anderen Behörde;
+
+ i. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den
+ Schutz personenbezogener Daten auswirken, insbesondere die
+ Entwicklung der Informations- und Kommunikationstechnologie und
+ der Geschäftspraktiken;
+
+ j. Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und
+ des Artikels 46 Absatz 2 Buchstabe d festlegen;
+
+ k. eine Liste der Verarbeitungsarten erstellen und führen, für die
+ gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung
+ durchzuführen ist;
+
+ l. Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten
+ Verarbeitungsvorgänge leisten;
+
+ m. die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1
+ fördern und zu diesen Verhaltensregeln, die ausreichende
+ Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen,
+ Stellungnahmen abgeben und sie billigen;
+
+ n. die Einführung von Datenschutzzertifizierungsmechanismen und von
+ Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1
+ anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5
+ billigen;
+
+ o. gegebenenfalls die nach Artikel 42 Absatz 7 erteilten
+ Zertifizierungen regelmäßig überprüfen;
+
+ p. die Kriterien für die Akkreditierung einer Stelle für die
+ Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41
+ und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und
+ veröffentlichen;
+
+ q. die Akkreditierung einer Stelle für die Überwachung der
+ Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer
+ Zertifizierungsstelle gemäß Artikel 43 vornehmen;
+
+ r. Vertragsklauseln und Bestimmungen im Sinne des Artikels 46
+ Absatz 3 genehmigen;
+
+ s. verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
+
+ t. Beiträge zur Tätigkeit des Ausschusses leisten;
+
+ u. interne Verzeichnisse über Verstöße gegen diese Verordnung und
+ gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
+
+ v. jede sonstige Aufgabe im Zusammenhang mit dem Schutz
+ personenbezogener Daten erfüllen.
+
+2. Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1
+ Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die
+ Bereitstellung eines Beschwerdeformulars, das auch elektronisch
+ ausgefüllt werden kann, ohne dass andere Kommunikationsmittel
+ ausgeschlossen werden.
+
+3. Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die
+ betroffene Person und gegebenenfalls für den
+ Datenschutzbeauftragten unentgeltlich.
+
+4. Bei offenkundig unbegründeten oder — insbesondere im Fall von
+ häufiger Wiederholung — exzessiven Anfragen kann die
+ Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der
+ Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage
+ tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die
+ Beweislast für den offenkundig unbegründeten oder exzessiven
+ Charakter der Anfrage.
- b. die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
-
- c. im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten;
-
- d. die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren;
-
- e. auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten;
-
- f. sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
-
- g. mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten;
-
- h. Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde;
-
- i. maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken;
-
- j. Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen;
-
- k. eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist;
-
- l. Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten;
-
- m. die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen;
-
- n. die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen;
-
- o. gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen;
-
- p. die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen;
-
- q. die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen;
-
- r. Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen;
-
- s. verbindliche interne Vorschriften gemäß Artikel 47 genehmigen;
-
- t. Beiträge zur Tätigkeit des Ausschusses leisten;
-
- u. interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und
-
- v. jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen.
-
-2. Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden.
-
-3. Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich.
-
-4. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage.
diff --git a/dsgvo/ch06/ch06-art58.md b/dsgvo/ch06/ch06-art58.md
index 5473011..ad399ca 100644
--- a/dsgvo/ch06/ch06-art58.md
+++ b/dsgvo/ch06/ch06-art58.md
@@ -1,67 +1,135 @@
Artikel 58 - Befugnisse
-----------------------
-1. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
+1. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
+ Untersuchungsbefugnisse, die es ihr gestatten,
- a. den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
+ a. den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls
+ den Vertreter des Verantwortlichen oder des Auftragsverarbeiters
+ anzuweisen, alle Informationen bereitzustellen, die für die
+ Erfüllung ihrer Aufgaben erforderlich sind,
- b. Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
+ b. Untersuchungen in Form von Datenschutzüberprüfungen
+ durchzuführen,
- c. eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen,
+ c. eine Überprüfung der nach Artikel 42 Absatz 7 erteilten
+ Zertifizierungen durchzuführen,
- d. den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
+ d. den Verantwortlichen oder den Auftragsverarbeiter auf einen
+ vermeintlichen Verstoß gegen diese Verordnung hinzuweisen,
- e. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
+ e. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu
+ allen personenbezogenen Daten und Informationen, die zur
+ Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
- f. gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten.
+ f. gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des
+ Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich
+ aller Datenverarbeitungsanlagen und -geräte, des
+ Verantwortlichen und des Auftragsverarbeiters zu erhalten.
-2. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
+2. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
+ Abhilfebefugnisse, die es ihr gestatten,
+
+ a. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen,
+ dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen
+ diese Verordnung verstoßen,
- a. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
+ b. einen Verantwortlichen oder einen Auftragsverarbeiter zu
+ verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese
+ Verordnung verstoßen hat,
- b. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
+ c. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen,
+ den Anträgen der betroffenen Person auf Ausübung der ihr nach
+ dieser Verordnung zustehenden Rechte zu entsprechen,
- c. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
+ d. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen,
+ Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und
+ innerhalb eines bestimmten Zeitraums in Einklang mit dieser
+ Verordnung zu bringen,
- d. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
+ e. den Verantwortlichen anzuweisen, die von einer Verletzung des
+ Schutzes personenbezogener Daten betroffenen Person entsprechend
+ zu benachrichtigen,
- e. den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen,
+ f. eine vorübergehende oder endgültige Beschränkung der
+ Verarbeitung, einschließlich eines Verbots, zu verhängen,
- f. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
+ g. die Berichtigung oder Löschung von personenbezogenen Daten oder
+ die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und
+ 18 und die Unterrichtung der Empfänger, an die diese
+ personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19
+ offengelegt wurden, über solche Maßnahmen anzuordnen,
- g. die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen,
+ h. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle
+ anzuweisen, eine gemäß den Artikel 42 und 43 erteilte
+ Zertifizierung zu widerrufen, oder die Zertifizierungsstelle
+ anzuweisen, keine Zertifizierung zu erteilen, wenn die
+ Voraussetzungen für die Zertifizierung nicht oder nicht mehr
+ erfüllt werden,
- h. eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
+ i. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder
+ anstelle von in diesem Absatz genannten Maßnahmen, je nach den
+ Umständen des Einzelfalls,
- i. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
+ j. die Aussetzung der Übermittlung von Daten an einen Empfänger in
+ einem Drittland oder an eine internationale
+ Organisation anzuordnen.
- j. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.
+3. Jede Aufsichtsbehörde verfügt über sämtliche folgenden
+ Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr
+ gestatten,
-3. Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten,
+ a. gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36
+ den Verantwortlichen zu beraten,
- a. gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten,
+ b. zu allen Fragen, die im Zusammenhang mit dem Schutz
+ personenbezogener Daten stehen, von sich aus oder auf Anfrage
+ Stellungnahmen an das nationale Parlament, die Regierung des
+ Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats
+ an sonstige Einrichtungen und Stellen sowie an die
+ Öffentlichkeit zu richten,
- b. zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten,
+ c. die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls
+ im Recht des Mitgliedstaats eine derartige vorherige Genehmigung
+ verlangt wird,
- c. die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird,
+ d. eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln
+ gemäß Artikel 40 Absatz 5 zu billigen,
- d. eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen,
+ e. Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
- e. Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren,
+ f. im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen
+ und Kriterien für die Zertifizierung zu billigen,
- f. im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen,
+ g. Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel
+ 46 Absatz 2 Buchstabe d festzulegen,
- g. Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen,
+ h. Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu
+ genehmigen,
- h. Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen,
+ i. Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b
+ zu genehmigen
- i. Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen
+ j. verbindliche interne Vorschriften gemäß Artikel 47
+ zu genehmigen.
+
+4. Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel
+ übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien
+ einschließlich wirksamer gerichtlicher Rechtsbehelfe und
+ ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des
+ Mitgliedstaats im Einklang mit der Charta.
+
+5. Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine
+ Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den
+ Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die
+ Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich
+ sonst daran zu beteiligen, um die Bestimmungen dieser
+ Verordnung durchzusetzen.
- j. verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen.
+6. Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass
+ seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3
+ aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die
+ Ausübung dieser Befugnisse darf nicht die effektive Durchführung des
+ Kapitels VII beeinträchtigen.
-4. Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta.
-
-5. Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen.
-
-6. Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen.
diff --git a/dsgvo/ch06/ch06-art59.md b/dsgvo/ch06/ch06-art59.md
index 2ed049c..d42b14c 100644
--- a/dsgvo/ch06/ch06-art59.md
+++ b/dsgvo/ch06/ch06-art59.md
@@ -1,4 +1,10 @@
Artikel 59 - Tätigkeitsbericht
------------------------------
-Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.
+Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit,
+der eine Liste der Arten der gemeldeten Verstöße und der Arten der
+getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese
+Berichte werden dem nationalen Parlament, der Regierung und anderen nach
+dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie
+werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich
+gemacht.
diff --git a/dsgvo/ch07/ch07-art60.md b/dsgvo/ch07/ch07-art60.md
index 93ea501..d54e860 100644
--- a/dsgvo/ch07/ch07-art60.md
+++ b/dsgvo/ch07/ch07-art60.md
@@ -1,27 +1,97 @@
Artikel 60 - Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden
------------------------------------------------------------------------------------------------------------------
-1. Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus.
+1. Die federführende Aufsichtsbehörde arbeitet mit den anderen
+ betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel
+ zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die
+ federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden
+ tauschen untereinander alle zweckdienlichen Informationen aus.
-2. Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist.
+2. Die federführende Aufsichtsbehörde kann jederzeit andere betroffene
+ Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und
+ gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur
+ Durchführung von Untersuchungen oder zur Überwachung der Umsetzung
+ einer Maßnahme in Bezug auf einen Verantwortlichen oder einen
+ Auftragsverarbeiter, der in einem anderen Mitgliedstaat
+ niedergelassen ist.
-3. Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
+3. Die federführende Aufsichtsbehörde übermittelt den anderen
+ betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen
+ Informationen zu der Angelegenheit. Sie legt den anderen betroffenen
+ Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur
+ Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung.
-4. Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
+4. Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von
+ vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels
+ konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen
+ und begründeten Einspruch ein und schließt sich die federführende
+ Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an
+ oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht
+ begründet ist, so leitet die federführende Aufsichtsbehörde das
+ Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein.
-5. Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen.
+5. Beabsichtigt die federführende Aufsichtsbehörde, sich dem
+ maßgeblichen und begründeten Einspruch anzuschließen, so legt sie
+ den anderen betroffenen Aufsichtsbehörden einen überarbeiteten
+ Beschlussentwurf zur Stellungnahme vor. Der überarbeitete
+ Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach
+ Absatz 4 unterzogen.
-6. Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden.
+6. Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen
+ den Beschlussentwurf ein, der von der federführenden
+ Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten
+ Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde
+ und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf
+ einverstanden und sind an ihn gebunden.
-7. Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss.
+7. Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt
+ ihn der Hauptniederlassung oder der einzigen Niederlassung des
+ Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit
+ und setzt die anderen betroffenen Aufsichtsbehörden und den
+ Ausschuss von dem betreffenden Beschluss einschließlich einer
+ Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die
+ Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist,
+ unterrichtet den Beschwerdeführer über den Beschluss.
-8. Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
+8. Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die
+ Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde,
+ abweichend von Absatz 7 den Beschluss, teilt ihn dem
+ Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis.
-9. Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt.
+9. Sind sich die federführende Aufsichtsbehörde und die betreffenden
+ Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen
+ oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig
+ zu werden, so wird in dieser Angelegenheit für jeden dieser Teile
+ ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde
+ erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf
+ den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder
+ einzigen Niederlassung des Verantwortlichen oder des
+ Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und
+ setzt den Beschwerdeführer hiervon in Kenntnis, während die für den
+ Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den
+ Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde
+ betrifft, und ihn diesem Beschwerdeführer mitteilt und den
+ Verantwortlichen oder den Auftragsverarbeiter hiervon in
+ Kenntnis setzt.
-10. Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden.
+10. Nach der Unterrichtung über den Beschluss der federführenden
+ Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der
+ Verantwortliche oder der Auftragsverarbeiter die erforderlichen
+ Maßnahmen, um die Verarbeitungstätigkeiten all seiner
+ Niederlassungen in der Union mit dem Beschluss in Einklang
+ zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt
+ der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur
+ Einhaltung des Beschlusses ergriffen wurden; diese wiederum
+ unterrichtet die anderen betroffenen Aufsichtsbehörden.
-11. Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
+11. Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu
+ der Annahme, dass zum Schutz der Interessen betroffener Personen
+ dringender Handlungsbedarf besteht, so kommt das
+ Dringlichkeitsverfahren nach Artikel 66 zur Anwendung.
+
+12. Die federführende Aufsichtsbehörde und die anderen betroffenen
+ Aufsichtsbehörden übermitteln einander die nach diesem Artikel
+ geforderten Informationen auf elektronischem Wege unter Verwendung
+ eines standardisierten Formats.
-12. Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats.
diff --git a/dsgvo/ch07/ch07-art61.md b/dsgvo/ch07/ch07-art61.md
index 755a2f8..5aa0bc9 100644
--- a/dsgvo/ch07/ch07-art61.md
+++ b/dsgvo/ch07/ch07-art61.md
@@ -1,25 +1,69 @@
Artikel 61 - Gegenseitige Amtshilfe
-----------------------------------
-1. Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen.
+1. Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen
+ und gewähren einander Amtshilfe, um diese Verordnung einheitlich
+ durchzuführen und anzuwenden, und treffen Vorkehrungen für eine
+ wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf
+ Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise
+ Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation,
+ um Vornahme von Nachprüfungen und Untersuchungen.
-2. Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören.
+2. Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem
+ Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens
+ innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu
+ kann insbesondere auch die Übermittlung maßgeblicher Informationen
+ über die Durchführung einer Untersuchung gehören.
-3. Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden.
+3. Amtshilfeersuchen enthalten alle erforderlichen Informationen,
+ einschließlich Zweck und Begründung des Ersuchens. Die übermittelten
+ Informationen werden ausschließlich für den Zweck verwendet, für den
+ sie angefordert wurden.
-4. Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
+4. Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn
- a. sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder
+ a. sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die
+ sie durchführen soll, nicht zuständig ist oder
- b. ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen eingeht, unterliegt.
+ b. ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen
+ würde oder gegen das Unionsrecht oder das Recht der
+ Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen
+ eingeht, unterliegt.
-5. Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens.
+5. Die ersuchte Aufsichtsbehörde informiert die ersuchende
+ Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den
+ Fortgang der Maßnahmen, die getroffen wurden, um dem
+ Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß
+ Absatz 4 die Gründe für die Ablehnung des Ersuchens.
-6. Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats.
+6. Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um
+ die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel
+ auf elektronischem Wege unter Verwendung eines
+ standardisierten Formats.
-7. Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten.
+7. Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund
+ eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die
+ Aufsichtsbehörden können untereinander Regeln vereinbaren, um
+ einander in Ausnahmefällen besondere aufgrund der Amtshilfe
+ entstandene Ausgaben zu erstatten.
-8. Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2 erforderlich macht.
+8. Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats
+ nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die
+ Informationen gemäß Absatz 5, so kann die ersuchende
+ Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres
+ Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall
+ wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1
+ ausgegangen, der einen im Dringlichkeitsverfahren angenommenen
+ verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2
+ erforderlich macht.
+
+9. Die Kommission kann im Wege von Durchführungsrechtsakten Form und
+ Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung
+ des elektronischen Informationsaustauschs zwischen den
+ Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem
+ Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels
+ genannte standardisierte Format, festlegen. Diese
+ Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2
+ genannten Prüfverfahren erlassen.
-9. Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen.
diff --git a/dsgvo/ch07/ch07-art62.md b/dsgvo/ch07/ch07-art62.md
index 15c3eaa..81a2615 100644
--- a/dsgvo/ch07/ch07-art62.md
+++ b/dsgvo/ch07/ch07-art62.md
@@ -1,17 +1,69 @@
Artikel 62 - Gemeinsame Maßnahmen der Aufsichtsbehörden
-------------------------------------------------------
-1. Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
+1. Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen
+ einschließlich gemeinsamer Untersuchungen und gemeinsamer
+ Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete
+ der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen.
-2. Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme.
+2. Verfügt der Verantwortliche oder der Auftragsverarbeiter über
+ Niederlassungen in mehreren Mitgliedstaaten oder werden die
+ Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl
+ betroffener Personen in mehr als einem Mitgliedstaat erhebliche
+ Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser
+ Mitgliedstaaten berechtigt, an den gemeinsamen
+ Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4
+ zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser
+ Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und
+ antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde
+ um Teilnahme.
-3. Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
+3. Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und
+ mit Genehmigung der unterstützenden Aufsichtsbehörde den an den
+ gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der
+ unterstützenden Aufsichtsbehörde Befugnisse einschließlich
+ Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht
+ des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist,
+ den Mitgliedern oder Bediensteten der unterstützenden
+ Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem
+ Recht des Mitgliedstaats der unterstützenden
+ Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur
+ unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten
+ der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder
+ oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen
+ dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde.
-4. Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen bei ihrem Einsatz verursachten Schäden.
+4. Sind gemäß Absatz 1 Bedienstete einer unterstützenden
+ Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so
+ übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach
+ Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der
+ Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich
+ der Haftung für alle von ihnen bei ihrem Einsatz
+ verursachten Schäden.
-5. Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat.
+5. Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht
+ wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn
+ seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat
+ der unterstützenden Aufsichtsbehörde, deren Bedienstete im
+ Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden
+ zugefügt haben, erstattet diesem anderen Mitgliedstaat den
+ Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten
+ geleistet hat.
-6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu machen.
+6. Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit
+ Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall
+ des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des
+ erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend
+ zu machen.
+
+7. Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde
+ binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des
+ vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden
+ eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats
+ gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden
+ Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im
+ Dringlichkeitsverfahren angenommene Stellungnahme oder einen im
+ Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des
+ Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht.
-7. Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht.
diff --git a/dsgvo/ch07/ch07-art63.md b/dsgvo/ch07/ch07-art63.md
index e46a2ab..e38c164 100644
--- a/dsgvo/ch07/ch07-art63.md
+++ b/dsgvo/ch07/ch07-art63.md
@@ -1,4 +1,7 @@
Artikel 63 - Kohärenzverfahren
------------------------------
-Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.
+Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union
+beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem
+Abschnitt beschriebenen Kohärenzverfahrens untereinander und
+gegebenenfalls mit der Kommission zusammen.
diff --git a/dsgvo/ch07/ch07-art64.md b/dsgvo/ch07/ch07-art64.md
index c7611c1..84ba55a 100644
--- a/dsgvo/ch07/ch07-art64.md
+++ b/dsgvo/ch07/ch07-art64.md
@@ -1,35 +1,91 @@
Artikel 64 - Stellungnahme des Ausschusses
------------------------------------------
-1. Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser
+1. Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige
+ Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen
+ zu erlassen. Zu diesem Zweck übermittelt die zuständige
+ Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn
+ dieser
+
+ a. der Annahme einer Liste der Verarbeitungsvorgänge dient, die der
+ Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35
+ Absatz 4 unterliegen,
+
+ b. eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage
+ betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung
+ oder Ergänzung von Verhaltensregeln mit dieser Verordnung in
+ Einklang steht,
+
+ c. der Billigung der Kriterien für die Akkreditierung einer Stelle
+ nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach
+ Artikel 43 Absatz 3 dient,
+
+ d. der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46
+ Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,
+
+ e. der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3
+ Buchstabe a dient, oder
+
+ f. der Annahme verbindlicher interner Vorschriften im Sinne von
+ Artikel 47 dient.
+
+2. Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission
+ können beantragen, dass eine Angelegenheit mit allgemeiner Geltung
+ oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss
+ geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn
+ eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe
+ gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62
+ nicht nachkommt.
+
+3. In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss
+ eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde,
+ sofern er nicht bereits eine Stellungnahme zu derselben
+ Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht
+ Wochen mit der einfachen Mehrheit der Mitglieder des
+ Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der
+ Komplexität der Angelegenheit um weitere sechs Wochen
+ verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf
+ angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses
+ übermittelt wird, so wird angenommen, dass ein Mitglied, das
+ innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine
+ Einwände erhoben hat, dem Beschlussentwurf zustimmt.
+
+4. Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich
+ dem Ausschuss auf elektronischem Wege unter Verwendung eines
+ standardisierten Formats alle zweckdienlichen Informationen,
+ einschließlich — je nach Fall — einer kurzen Darstellung des
+ Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche
+ Maßnahme ergriffen werden muss, und der Standpunkte anderer
+ betroffener Aufsichtsbehörden.
+
+5. Der Vorsitz des Ausschusses unterrichtet unverzüglich auf
+ elektronischem Wege
+
+ a. unter Verwendung eines standardisierten Formats die Mitglieder
+ des Ausschusses und die Kommission über alle zweckdienlichen
+ Informationen, die ihm zugegangen sind. Soweit erforderlich
+ stellt das Sekretariat des Ausschusses Übersetzungen der
+ zweckdienlichen Informationen zur Verfügung und
+
+ b. je nach Fall die in den Absätzen 1 und 2 genannte
+ Aufsichtsbehörde und die Kommission über die Stellungnahme und
+ veröffentlicht sie.
+
+6. Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten
+ Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten
+ Frist an.
+
+7. Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme
+ des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz
+ binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem
+ Wege unter Verwendung eines standardisierten Formats mit, ob sie den
+ Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls
+ übermittelt sie den geänderten Beschlussentwurf.
+
+8. Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses
+ innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter
+ Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der
+ Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu
+ folgen, so gilt Artikel 65 Absatz 1.
- a. der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen,
-
- b. eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht,
-
- c. der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient,
-
- d. der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient,
-
- e. der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder
-
- f. der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient.
-
-2. Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt.
-
-3. In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt.
-
-4. Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich — je nach Fall — einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden.
-
-5. Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege
-
- a. unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung und
-
- b. je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht sie.
-
-6. Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an.
-
-7. Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt sie den geänderten Beschlussentwurf.
-
-8. Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1.
diff --git a/dsgvo/ch07/ch07-art65.md b/dsgvo/ch07/ch07-art65.md
index a87ebf9..81f1f59 100644
--- a/dsgvo/ch07/ch07-art65.md
+++ b/dsgvo/ch07/ch07-art65.md
@@ -1,21 +1,73 @@
Artikel 65 - Streitbeilegung durch den Ausschuss
------------------------------------------------
-1. Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss:
+1. Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung
+ in Einzelfällen sicherzustellen, erlässt der Ausschuss in den
+ folgenden Fällen einen verbindlichen Beschluss:
- a. wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt;
+ a. wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel
+ 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen
+ einen Beschlussentwurf der federführenden Behörde eingelegt hat
+ oder die federführende Behörde einen solchen Einspruch als nicht
+ maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche
+ Beschluss betrifft alle Angelegenheiten, die Gegenstand des
+ maßgeblichen und begründeten Einspruchs sind, insbesondere die
+ Frage, ob ein Verstoß gegen diese Verordnung vorliegt;
- b. wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist,
+ b. wenn es widersprüchliche Standpunkte dazu gibt, welche der
+ betroffenen Aufsichtsbehörden für die Hauptniederlassung
+ zuständig ist,
- c. wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen.
+ c. wenn eine zuständige Aufsichtsbehörde in den in Artikel 64
+ Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses
+ einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64
+ nicht folgt. In diesem Fall kann jede betroffene
+ Aufsichtsbehörde oder die Kommission die Angelegenheit dem
+ Ausschuss vorlegen.
-2. Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich.
+2. Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach
+ der Befassung mit der Angelegenheit mit einer Mehrheit von zwei
+ Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann
+ wegen der Komplexität der Angelegenheit um einen weiteren Monat
+ verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet
+ und an die federführende Aufsichtsbehörde und alle betroffenen
+ Aufsichtsbehörden übermittelt und ist für diese verbindlich.
-3. War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.
+3. War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2
+ genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen
+ Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2
+ genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des
+ Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des
+ Ausschusses gibt die Stimme des Vorsitzes den Ausschlag.
-4. Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an.
+4. Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den
+ Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem
+ Ausschuss vorgelegte Angelegenheit an.
-5. Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat.
+5. Der Vorsitz des Ausschusses unterrichtet die betroffenen
+ Aufsichtsbehörden unverzüglich über den in Absatz 1
+ genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis.
+ Der Beschluss wird unverzüglich auf der Website des Ausschusses
+ veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6
+ genannten endgültigen Beschluss mitgeteilt hat.
+
+6. Die federführende Aufsichtsbehörde oder gegebenenfalls die
+ Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft
+ den endgültigen Beschluss auf der Grundlage des in Absatz 1 des
+ vorliegenden Artikels genannten Beschlusses unverzüglich und
+ spätestens einen Monat, nachdem der Europäische Datenschutzausschuss
+ seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde
+ oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde
+ eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr
+ endgültiger Beschluss dem Verantwortlichen oder dem
+ Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird,
+ in Kenntnis. Der endgültige Beschluss der betroffenen
+ Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und
+ 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1
+ genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1
+ des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der
+ Website des Ausschusses veröffentlicht wird. Dem endgültigen
+ Beschluss wird der in Absatz 1 des vorliegenden Artikels genannte
+ Beschluss beigefügt.
-6. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden Artikels genannte Beschluss beigefügt.
diff --git a/dsgvo/ch07/ch07-art66.md b/dsgvo/ch07/ch07-art66.md
index bed7911..bdb695f 100644
--- a/dsgvo/ch07/ch07-art66.md
+++ b/dsgvo/ch07/ch07-art66.md
@@ -1,11 +1,34 @@
Artikel 66 - Dringlichkeitsverfahren
------------------------------------
-1. Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.
+1. Unter außergewöhnlichen Umständen kann eine betroffene
+ Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63,
+ 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige
+ Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten
+ treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten
+ sollen, wenn sie zu der Auffassung gelangt, dass dringender
+ Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen
+ Personen zu schützen. Die Aufsichtsbehörde setzt die anderen
+ betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission
+ unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass
+ in Kenntnis.
-2. Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen.
+2. Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und
+ ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen
+ werden müssen, kann sie unter Angabe von Gründen im
+ Dringlichkeitsverfahren um eine Stellungnahme oder einen
+ verbindlichen Beschluss des Ausschusses ersuchen.
-3. Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu schützen.
+3. Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den
+ dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine
+ Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des
+ Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz
+ dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat,
+ um die Rechte und Freiheiten von betroffenen Personen zu schützen.
+
+4. Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine
+ Stellungnahme oder ein verbindlicher Beschluss im
+ Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen
+ mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.
-4. Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen.
diff --git a/dsgvo/ch07/ch07-art67.md b/dsgvo/ch07/ch07-art67.md
index c19acb8..b2188b4 100644
--- a/dsgvo/ch07/ch07-art67.md
+++ b/dsgvo/ch07/ch07-art67.md
@@ -1,6 +1,11 @@
Artikel 67 - Informationsaustausch
----------------------------------
-Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen.
+Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite
+zur Festlegung der Ausgestaltung des elektronischen
+Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den
+Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten
+Formats nach Artikel 64, erlassen.
-Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen.
+Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach
+Artikel 93 Absatz 2 erlassen.
diff --git a/dsgvo/ch07/ch07-art68.md b/dsgvo/ch07/ch07-art68.md
index 5a673d1..9f3da02 100644
--- a/dsgvo/ch07/ch07-art68.md
+++ b/dsgvo/ch07/ch07-art68.md
@@ -1,15 +1,31 @@
Artikel 68 - Europäischer Datenschutzausschuss
----------------------------------------------
-1. Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“. wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet.
+1. Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“. wird
+ als Einrichtung der Union mit eigener
+ Rechtspersönlichkeit eingerichtet.
-2. Der Ausschuss wird von seinem Vorsitz vertreten.
+2. Der Ausschuss wird von seinem Vorsitz vertreten.
-3. Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern.
+3. Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes
+ Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder
+ ihren jeweiligen Vertretern.
-4. Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt.
+4. Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die
+ Überwachung der Anwendung der nach Maßgabe dieser Verordnung
+ erlassenen Vorschriften zuständig, so wird im Einklang mit den
+ Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer
+ Vertreter benannt.
-5. Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses.
+5. Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten
+ und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt
+ einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die
+ Kommission über die Tätigkeiten des Ausschusses.
+
+6. In den in Artikel 65 genannten Fällen ist der Europäische
+ Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die
+ Grundsätze und Vorschriften betreffen, die für die Organe,
+ Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich
+ den Grundsätzen und Vorschriften dieser Verordnung entsprechen.
-6. In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen.
diff --git a/dsgvo/ch07/ch07-art69.md b/dsgvo/ch07/ch07-art69.md
index 9fc3ee9..eaa6639 100644
--- a/dsgvo/ch07/ch07-art69.md
+++ b/dsgvo/ch07/ch07-art69.md
@@ -1,7 +1,12 @@
Artikel 69 - Unabhängigkeit
---------------------------
-1. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
+1. Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in
+ Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig.
+
+2. Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1
+ Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung
+ seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung
+ noch nimmt er Weisungen entgegen.
-2. Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen.
diff --git a/dsgvo/ch07/ch07-art70.md b/dsgvo/ch07/ch07-art70.md
index 7818670..f973fd8 100644
--- a/dsgvo/ch07/ch07-art70.md
+++ b/dsgvo/ch07/ch07-art70.md
@@ -1,61 +1,158 @@
Artikel 70 - Aufgaben des Ausschusses
-------------------------------------
-1. Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr:
+1. Der Ausschuss stellt die einheitliche Anwendung dieser
+ Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder
+ gegebenenfalls auf Ersuchen der Kommission insbesondere folgende
+ Tätigkeiten wahr:
+
+ a. Überwachung und Sicherstellung der ordnungsgemäßen Anwendung
+ dieser Verordnung in den in den Artikeln 64 und 65 genannten
+ Fällen unbeschadet der Aufgaben der nationalen
+ Aufsichtsbehörden;
+
+ b. Beratung der Kommission in allen Fragen, die im Zusammenhang mit
+ dem Schutz personenbezogener Daten in der Union stehen,
+ einschließlich etwaiger Vorschläge zur Änderung dieser
+ Verordnung;
+
+ c. Beratung der Kommission über das Format und die Verfahren für
+ den Austausch von Informationen zwischen den Verantwortlichen,
+ den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf
+ verbindliche interne Datenschutzvorschriften;
+
+ d. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz
+ 2 von Links zu personenbezogenen Daten oder Kopien oder
+ Replikationen dieser Daten aus öffentlich zugänglichen
+ Kommunikationsdiensten;
+
+ e. Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder
+ auf Ersuchen der Kommission — von die Anwendung dieser
+ Verordnung betreffenden Fragen und Bereitstellung von
+ Leitlinien, Empfehlungen und bewährten Verfahren zwecks
+ Sicherstellung einer einheitlichen Anwendung dieser Verordnung;
+
+ f. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
+ näheren Bestimmung der Kriterien und Bedingungen für die auf
+ Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;
+
+ g. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die
+ Feststellung von Verletzungen des Schutzes personenbezogener
+ Daten und die Festlegung der Unverzüglichkeit im Sinne des
+ Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen,
+ unter denen der Verantwortliche oder der Auftragsverarbeiter die
+ Verletzung des Schutzes personenbezogener Daten zu melden hat;
+
+ h. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den
+ Umständen, unter denen eine Verletzung des Schutzes
+ personenbezogener Daten voraussichtlich ein hohes Risiko für die
+ Rechte und Freiheiten natürlicher Personen im Sinne des Artikels
+ 34 Absatz 1 zur Folge hat;
+
+ i. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
+ näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und
+ Anforderungen für die Übermittlungen personenbezogener Daten,
+ die auf verbindlichen internen Datenschutzvorschriften von
+ Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort
+ aufgeführten weiteren erforderlichen Anforderungen zum Schutz
+ personenbezogener Daten der betroffenen Personen;
+
+ j. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
+ näheren Bestimmung der Kriterien und Bedingungen für die
+ Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz
+ 1;
+
+ k. Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug
+ auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und
+ 3 und die Festsetzung von Geldbußen gemäß Artikel 83;
+
+ l. Überprüfung der praktischen Anwendung der unter den Buchstaben e
+ und f genannten Leitlinien, Empfehlungen und bewährten
+ Verfahren;
+
+ m. Bereitstellung von Leitlinien, Empfehlungen und bewährten
+ Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur
+ Festlegung gemeinsamer Verfahren für die von natürlichen
+ Personen vorgenommene Meldung von Verstößen gegen diese
+ Verordnung gemäß Artikel 54 Absatz 2;
+
+ n. Förderung der Ausarbeitung von Verhaltensregeln und der
+ Einrichtung von datenschutzspezifischen Zertifizierungsverfahren
+ sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40
+ und 42;
+
+ o. Akkreditierung von Zertifizierungsstellen und deren regelmäßige
+ Überprüfung gemäß Artikel 43 und Führung eines öffentlichen
+ Registers der akkreditierten Einrichtungen gemäß Artikel 43
+ Absatz 6 und der in Drittländern niedergelassenen akkreditierten
+ Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42
+ Absatz 7;
+
+ p. Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen
+ im Hinblick auf die Akkreditierung von Zertifizierungsstellen
+ gemäß Artikel 42;
+
+ q. Abgabe einer Stellungnahme für die Kommission zu den
+ Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8;
+
+ r. Abgabe einer Stellungnahme für die Kommission zu den
+ Bildsymbolen gemäß Artikel 12 Absatz 7;
+
+ s. Abgabe einer Stellungnahme für die Kommission zur Beurteilung
+ der Angemessenheit des in einem Drittland oder einer
+ internationalen Organisation gebotenen Schutzniveaus
+ einschließlich zur Beurteilung der Frage, ob das Drittland, das
+ Gebiet, ein oder mehrere spezifische Sektoren in diesem
+ Drittland oder eine internationale Organisation kein
+ angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck
+ gibt die Kommission dem Ausschuss alle erforderlichen
+ Unterlagen, darunter den Schriftwechsel mit der Regierung des
+ Drittlands, dem Gebiet oder spezifischen Sektor oder der
+ internationalen Organisation;
+
+ t. Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64
+ Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu
+ Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden
+ und um Erlass verbindlicher Beschlüsse gemäß Artikel 65,
+ einschließlich der in Artikel 66 genannten Fälle;
+
+ u. Förderung der Zusammenarbeit und eines wirksamen bilateralen und
+ multilateralen Austauschs von Informationen und bewährten
+ Verfahren zwischen den Aufsichtsbehörden;
+
+ v. Förderung von Schulungsprogrammen und Erleichterung des
+ Personalaustausches zwischen Aufsichtsbehörden sowie
+ gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit
+ internationalen Organisationen;
+
+ w. Förderung des Austausches von Fachwissen und von Dokumentationen
+ über Datenschutzvorschriften und -praxis mit
+ Datenschutzaufsichtsbehörden in aller Welt;
+
+ x. Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten
+ Verhaltensregeln gemäß Artikel 40 Absatz 9 und
+
+ y. Führung eines öffentlich zugänglichen elektronischen Registers
+ der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf
+ Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.
+
+2. Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter
+ Berücksichtigung der Dringlichkeit des Sachverhalts eine
+ Frist angeben.
+
+3. Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen
+ und bewährten Verfahren an die Kommission und an den in Artikel 93
+ genannten Ausschuss weiter und veröffentlicht sie.
+
+4. Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und
+ gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung
+ zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die
+ Ergebnisse der Konsultation der Öffentlichkeit zugänglich.
- a. Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden;
-
- b. Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung;
-
- c. Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften;
-
- d. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten;
-
- e. Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission — von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung;
-
- f. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2;
-
- g. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat;
-
- h. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat;
-
- i. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen;
-
- j. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz 1;
-
- k. Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83;
-
- l. Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bewährten Verfahren;
-
- m. Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen diese Verordnung gemäß Artikel 54 Absatz 2;
-
- n. Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40 und 42;
-
- o. Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz 7;
-
- p. Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42;
-
- q. Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8;
-
- r. Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel 12 Absatz 7;
-
- s. Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation;
-
- t. Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel 65, einschließlich der in Artikel 66 genannten Fälle;
-
- u. Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden;
-
- v. Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen;
-
- w. Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt;
-
- x. Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9 und
-
- y. Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden.
-
-2. Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben.
-
-3. Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie.
-
-4. Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich.
diff --git a/dsgvo/ch07/ch07-art71.md b/dsgvo/ch07/ch07-art71.md
index 2336389..66f82a2 100644
--- a/dsgvo/ch07/ch07-art71.md
+++ b/dsgvo/ch07/ch07-art71.md
@@ -1,7 +1,15 @@
Artikel 71 - Berichterstattung
------------------------------
-1. Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt.
+1. Der Ausschuss erstellt einen Jahresbericht über den Schutz
+ natürlicher Personen bei der Verarbeitung in der Union und
+ gegebenenfalls in Drittländern und internationalen Organisationen.
+ Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem
+ Rat und der Kommission übermittelt.
+
+2. Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung
+ der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien,
+ Empfehlungen und bewährten Verfahren sowie der in Artikel 65
+ genannten verbindlichen Beschlüsse.
-2. Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse.
diff --git a/dsgvo/ch07/ch07-art72.md b/dsgvo/ch07/ch07-art72.md
index 9287b25..5d210c5 100644
--- a/dsgvo/ch07/ch07-art72.md
+++ b/dsgvo/ch07/ch07-art72.md
@@ -1,7 +1,10 @@
Artikel 72 - Verfahrensweise
----------------------------
-1. Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.
+1. Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der
+ Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder.
+
+2. Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner
+ Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest.
-2. Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest.
diff --git a/dsgvo/ch07/ch07-art73.md b/dsgvo/ch07/ch07-art73.md
index 5817e62..e7f8189 100644
--- a/dsgvo/ch07/ch07-art73.md
+++ b/dsgvo/ch07/ch07-art73.md
@@ -1,7 +1,10 @@
Artikel 73 - Vorsitz
--------------------
-1. Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende.
+1. Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher
+ Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende.
+
+2. Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter
+ beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.
-2. Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig.
diff --git a/dsgvo/ch07/ch07-art74.md b/dsgvo/ch07/ch07-art74.md
index d871bb6..600b41f 100644
--- a/dsgvo/ch07/ch07-art74.md
+++ b/dsgvo/ch07/ch07-art74.md
@@ -1,13 +1,21 @@
Artikel 74 - Aufgaben des Vorsitzes
-----------------------------------
-1. Der Vorsitz hat folgende Aufgaben:
+1. Der Vorsitz hat folgende Aufgaben:
- a. Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen,
+ a. Einberufung der Sitzungen des Ausschusses und Erstellung der
+ Tagesordnungen,
- b. Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden,
+ b. Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an
+ die federführende Aufsichtsbehörde und die betroffenen
+ Aufsichtsbehörden,
- c. Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63.
+ c. Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des
+ Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem
+ Kohärenzverfahren nach Artikel 63.
+
+2. Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem
+ Vorsitzenden und dessen Stellvertretern in seiner
+ Geschäftsordnung fest.
-2. Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest.
diff --git a/dsgvo/ch07/ch07-art75.md b/dsgvo/ch07/ch07-art75.md
index 03ceff4..b6a1894 100644
--- a/dsgvo/ch07/ch07-art75.md
+++ b/dsgvo/ch07/ch07-art75.md
@@ -1,29 +1,49 @@
Artikel 75 - Sekretariat
------------------------
-1. Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird.
+1. Der Ausschuss wird von einem Sekretariat unterstützt, das von dem
+ Europäischen Datenschutzbeauftragten bereitgestellt wird.
-2. Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus.
+2. Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung
+ des Vorsitzes des Ausschusses aus.
-3. Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
+3. Das Personal des Europäischen Datenschutzbeauftragten, das an der
+ Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen
+ Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das
+ Personal, das an der Wahrnehmung der dem Europäischen
+ Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist.
-4. Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist.
+4. Soweit angebracht, erstellen und veröffentlichen der Ausschuss und
+ der Europäische Datenschutzbeauftragte eine Vereinbarung zur
+ Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer
+ Zusammenarbeit festgelegt sind und die für das Personal des
+ Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung
+ der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben
+ beteiligt ist.
-5. Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung.
+5. Das Sekretariat leistet dem Ausschuss analytische, administrative
+ und logistische Unterstützung.
-6. Das Sekretariat ist insbesondere verantwortlich für
+6. Das Sekretariat ist insbesondere verantwortlich für
- a. das Tagesgeschäft des Ausschusses,
+ a. das Tagesgeschäft des Ausschusses,
- b. die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission,
+ b. die Kommunikation zwischen den Mitgliedern des Ausschusses,
+ seinem Vorsitz und der Kommission,
- c. die Kommunikation mit anderen Organen und mit der Öffentlichkeit,
+ c. die Kommunikation mit anderen Organen und mit der
+ Öffentlichkeit,
- d. den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation,
+ d. den Rückgriff auf elektronische Mittel für die interne und die
+ externe Kommunikation,
- e. die Übersetzung sachdienlicher Informationen,
+ e. die Übersetzung sachdienlicher Informationen,
- f. die Vor- und Nachbereitung der Sitzungen des Ausschusses,
+ f. die Vor- und Nachbereitung der Sitzungen des Ausschusses,
+
+ g. die Vorbereitung, Abfassung und Veröffentlichung von
+ Stellungnahmen, von Beschlüssen über die Beilegung von
+ Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom
+ Ausschuss angenommenen Dokumenten.
- g. die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten.
diff --git a/dsgvo/ch07/ch07-art76.md b/dsgvo/ch07/ch07-art76.md
index 346d639..dd1c6c1 100644
--- a/dsgvo/ch07/ch07-art76.md
+++ b/dsgvo/ch07/ch07-art76.md
@@ -1,7 +1,12 @@
Artikel 76 - Vertraulichkeit
----------------------------
-1. Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält.
+1. Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung
+ vertraulich, wenn der Ausschuss dies für erforderlich hält.
+
+2. Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses,
+ Sachverständigen und Vertretern von Dritten vorgelegt werden, wird
+ durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments
+ und des Rates geregelt.
-2. Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates geregelt.
diff --git a/dsgvo/ch08/ch08-art77.md b/dsgvo/ch08/ch08-art77.md
index d6fb1ff..c6e6189 100644
--- a/dsgvo/ch08/ch08-art77.md
+++ b/dsgvo/ch08/ch08-art77.md
@@ -1,7 +1,17 @@
Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde
------------------------------------------------------------
-1. Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung vers