- Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021
- Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021
- Teil 1: Kapitel 1 - Anwendungsbereich und Begriffsbestimmungen (§§ 1 - 2)
- Teil 1: Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 3 - 4)
- Teil 1: Kapitel 3 - Datenschutzbeauftragte öffentlicher Stellen (§§ 5 - 7)
- Teil 1: Kapitel 4 - Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (§§ 8 - 16)
- Teil 1: Kapitel 5 - Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union (§§ 17 - 19)
- Teil 1: Kapitel 6 - Rechtsbehelfe (§§ 20 - 21)
-
Teil 2: Kapitel 1 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§ 22 - 31)
- § 22 Verarbeitung besonderer Kategorien personenbezogener Daten
- § 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
- § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
- § 25 Datenübermittlungen durch öffentliche Stellen
- § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- § 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
- § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
- § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
- § 30 Verbraucherkredite
- § 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
-
Teil 2: Kapitel 2 - Rechte der betroffenen Person (§§ 32 - 37)
- § 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- § 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- § 34 Auskunftsrecht der betroffenen Person
- § 35 Recht auf Löschung
- § 36 Widerspruchsrecht
- § 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Teil 2: Kapitel 3 - Pflichten der Verantwortlichen und Auftragsverarbeiter (§§ 38 - 39)
- Teil 2: Kapitel 4 - Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen (§ 40)
- Teil 2: Kapitel 5 - Sanktionen (§§ 41 - 43)
- Teil 2: Kapitel 6 - Rechtsbehelfe (§ 44)
- Teil 3: Kapitel 1 - Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten (§§ 45 - 47))
-
Teil 3: Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 48 - 54)
- § 48 Verarbeitung besonderer Kategorien personenbezogener Daten
- § 49 Verarbeitung zu anderen Zwecken
- § 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
- § 51 Einwilligung
- § 52 Verarbeitung auf Weisung des Verantwortlichen
- § 53 Datengeheimnis
- § 54 Automatisierte Einzelentscheidung
-
Teil 3: Kapitel 3 Rechte der betroffenen Personen (§§ 55 - 61)
- § 55 Allgemeine Informationen zu Datenverarbeitungen
- § 56 Benachrichtigung betroffener Personen
- § 57 Auskunftsrecht
- § 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
- § 59 Verfahren für die Ausübung der Rechte der betroffenen Person
- § 60 Anrufung der oder des Bundesbeauftragten
- § 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
-
Teil 3: Kapitel 4 - Pflichten der Verantwortlichen und Auftragverarbeiter (§§ 62 - 77)
- § 62 Auftragsverarbeitung
- § 63 Gemeinsam Verantwortliche
- § 64 Anforderungen an die Sicherheit der Datenverarbeitung
- § 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
- § 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
- § 67 Durchführung einer Datenschutz-Folgenabschätzung
- § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
- § 69 Anhörung der oder des Bundesbeauftragten
- § 70 Verzeichnis von Verarbeitungstätigkeiten
- § 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- § 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
- § 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
- § 74 Verfahren bei Übermittlungen
- § 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
- § 77 Vertrauliche Meldung von Verstößen
- Teil 3: Kapitel 5 - Datenübermittlungen an Drittstaaten und an internationale Organisationen (§§ 78 - 81)
- Teil 3: Kapitel 6 Zusammenarbeit der Aufsichtsbehörden (§ 82)
- Teil 3: Kapitel 7 - Haftung und Sanktionen (§§ 83 - 84)
- Teil 4: (§§ 85 - 86)
§ 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- Der Verantwortliche hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der Verarbeitung selbst angemessene Vorkehrungen zu treffen, die geeignet sind, die Datenschutzgrundsätze wie etwa die Datensparsamkeit wirksam umzusetzen, und die sicherstellen, dass die gesetzlichen Anforderungen eingehalten und die Rechte der betroffenen Personen geschützt werden. Er hat hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen zu berücksichtigen. Insbesondere sind die Verarbeitung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu verarbeiten. Personenbezogene Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verarbeitungszweck möglich ist.
- Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden können, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Dies betrifft die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass die Daten durch Voreinstellungen nicht automatisiert einer unbestimmten Anzahl von Personen zugänglich gemacht werden können.