L.O. 3/2018 VOM 5.

DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

TITEL I: ALLGEMEINE BESTIMMUNGEN

a)Anpassung des spanischen Rechtssystems an dieVerordnung (EU) 2016/679 des Europä ischen Parlaments und des Rates vom 27. April 2016 zum Schutz
natü rlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Datenverkehr sowie Ergä nzung ihrer Bestimmungen.
GEGENSTAN Das Grundrecht natü rlicher Personen auf den Schutz personenbezogener Daten, geschü tzt durchArtikel 18.4 der Verfassung (Das Gesetz schrä nkt die Nutzung
D DES der Informationstechnologie ein, um die Ehre und die persö nliche und familiä re Privatsphä re der Bü rgerinnen und Bü rger sowie die uneingeschrä nkte
GESETZES Ausü bung ihrer Rechte zu gewä hrleisten), wird im Einklang mit den Bestimmungen derVerordnung (EU) 2016/679 und diesem Organgesetz ausgeü bt.
Art. 1
b)Gewä hrleistung der digitalen Rechte der Bü rger gemä ß dem inArtikel 18 Absatz 4 der Verfassung festgelegten Auftrag.

- Sie gilt fü r jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung
personenbezogener Daten, die in einem Dateisystem enthalten sind oder enthalten sein sollen.
 a)Verarbeitungen, die gemä ß Artikel 2 Absatz 2 vom Anwendungsbereich derDatenschutz-Grundverordnung ausgenommen sind (gilt nicht fü r
die Verarbeitung personenbezogener Daten):
o (a)im Rahmen einer Tä tigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt. In diesem Fall unterliegt sie den spezifischen
Rechtsvorschriften und darü ber hinaus den Bestimmungen der SR und dieser LO. Die durchgefü hrten Behandlungen sind in dieser
Situation:
 Im Rahmen des LO ü ber das allgemeine Wahlregime
ANWENDUN  Im Bereich der Strafvollzugsanstalten
GSBEREICH  Diejenigen, die aus dem Zivil-, Eigentums- und Handelsregister stammen.
DER TITEL I o (b)von den Mitgliedstaaten, wenn sie Tä tigkeiten ausü ben, die in den Anwendungsbereich von Titel V Kapitel 2 des EU-Vertrags fallen;
bis IX und
o (c)von einer natü rlichen Person in Ausü bung einer ausschließlich persönlichen oder häuslichen Tätigkeit ausgeübt werden;
der Artikel NICHT
o (d)von den zustä ndigen Behö rden zum Zwecke der Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder der
89 bis 94 ANWENDBAR
Vollstreckung strafrechtlicher Sanktionen, einschließlich des Schutzes vor und der Abwehr von Gefahren fü r die ö ffentliche
Sicherheit.
Art. 2
unbeschadet der Absä tze 3 und 4 des vorliegenden Artikels.
 (b)die Verarbeitung von Daten ü ber verstorbene Personen, unbeschadet des Artikels 3.
 (c)Verarbeitung gemä ß den Vorschriften ü ber den Schutz von Verschlusssachen.
Anmerkung: Die Verarbeitung durch die Justizorgane sowie die Verarbeitung im Rahmen der Verwaltung des Justizamts werden geregelt:
 Durch die Verordnung (EU) 216/679
 Dieses LO
 Unbeschadet der auf sie anwendbaren Bestimmungen der LO der Judikative

 Personen, die mit dem Verstorbenen familiä r oder faktisch verwandt sind, sowie deren Erben, AUSSER wenn der Verstorbene dies
DAS RECHT AUF
ausdrü cklich untersagt hat oder wenn es gesetzlich festgelegt ist. Dieses Verbot berü hrt nicht das Recht der Erben, Zugang zu den
DATEN VON ZUGANG,
Vermö gensdaten des Verstorbenen zu erhalten.
VERSTORBE BERICHTIGUNG
 Die Personen oder Einrichtungen, die der Verstorbene ausdrü cklich zu diesem Zweck bestimmt hat. Durch kö niglichen Erlass:
NEN ODER
Anforderungen und Bedingungen fü r die Anerkennung der Gü ltigkeit und der Gü ltigkeit dieser Mandate oder Anweisungen und
Art. 3 LÖSCHUNG
gegebenenfalls ihre Registrierung.
MINOREN  Diese Befugnisse kö nnen auch von ihren gesetzlichen Vertretern oder im Rahmen ihrer Befugnisse von der Staatsanwaltschaft ausgeü bt

1
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

werden, die von Amts wegen oder auf Antrag jeder betroffenen natü rlichen oder juristischen Person tä tig werden kann.
MENSCHEN MIT  Fü r diejenigen, die fü r Minderjä hrige angezeigt sind.
BEHINDERUNG  oder von den fü r die Ausü bung von Unterstü tzungsfunktionen benannten Personen, wenn diese Befugnisse in den Anwendungsbereich der
EN Unterstü tzungsmaßnahmen fallen

TITEL II: DATENSCHUTZGRUNDSÄTZE

 Die Daten mü ssen korrekt sein und, falls erforderlich, aktualisiert werden.
 Der fü r die Verarbeitung Verantwortliche kann nicht haftbar gemacht werden, wenn er alle zumutbaren Maßnahmen ergriffen hat, um sicherzustellen,
dass personenbezogene Daten, die im Hinblick auf die Zwecke, fü r die sie verarbeitet werden, unrichtig sind, unverzü glich gelö scht oder berichtigt
werden:
o Diese hä tte die verantwortliche Person direkt von der betreffenden Person erhalten.
GENAUIGKEIT DER
o Sie wä ren vom Leiter eines oder mehrerer Vermittler erworben worden, wenn die fü r den Tä tigkeitsbereich geltenden Vorschriften diese
DATEN
Mö glichkeit vorsehen. Der Vermittler haftet, wenn die an den fü r die Verarbeitung Verantwortlichen ü bermittelten Daten nicht mit denen
Art. 4
ü bereinstimmen, die von der betroffenen Person angegeben wurden.
o Wenn der fü r die Verarbeitung Verantwortliche sie von einem anderen fü r die Verarbeitung Verantwortlichen erhalten hat, weil die betroffene
Person von ihrem Recht auf Ü bertragbarkeit Gebrauch gemacht hat.
o wurden von der verantwortlichen Person aus einem ö ffentlichen Register entnommen.

 Sie unterliegen dieser Pflicht auch dann, wenn die Beziehung zwischen der betroffenen Person und dem fü r die Verarbeitung Verantwortlichen oder
VERSCHWIEGENHEI dem Auftragsverarbeiter beendet ist:
TSPFLICHT o Der Controller
Art. 5 o Datenverarbeiter
o Sowie alle Personen, die in irgendeiner Phase des Projekts beteiligt sind.
 Es handelt sich um die freie, spezifische, informierte und unmissverstä ndliche Zustimmung zur Verarbeitung der ihn betreffenden personenbezogenen
ZUSTIMMUNG DER
Daten, die entweder durch eine Erklä rung oder durch eine eindeutige positive Handlung zum Ausdruck gebracht wird.
BETROFFENEN
 Wenn sie fü r mehrere Zwecke bestimmt ist, muss ausdrü cklich und unmissverstä ndlich angegeben werden, dass sie fü r alle Zwecke gewä hrt wird.
PERSON
 Die Erfü llung des Vertrags darf nicht von der Einwilligung der betroffenen Person in die Verarbeitung personenbezogener Daten zu Zwecken abhä ngig
Art. 6
gemacht werden, die nicht mit der Aufrechterhaltung, Durchfü hrung oder Kontrolle des Vertragsverhä ltnisses zusammenhä ngen.
 Wenn der Minderjä hrige ä lter als 14 Jahre ist, es sei denn, das Gesetz verlangt die Mitwirkung der Inhaber der elterlichen Gewalt oder der
ZUSTIMMUNG VON
Vormundschaft fü r den Abschluss der Handlung oder des Rechtsgeschä fts, in deren Rahmen die Zustimmung zur Verarbeitung eingeholt wird.
MINDERJÄHRIGEN
 Bei Personen unter 14 Jahren: Die Einwilligung ist nur dann rechtmä ßig, wenn die Zustimmung des Inhabers der elterlichen Sorge oder des Vormunds
Art.7
vorliegt, wobei der Umfang von diesen bestimmt wird.
Verarbeitung von  Zur Einhaltung einer GESETZLICHEN VORSCHRIFT, die auch besondere Bedingungen fü r die Verarbeitung vorsehen kann, wie etwa zusä tzliche
Daten aufgrund Sicherheitsmaßnahmen oder andere Maßnahmen gemä ß der Verordnung (EU) 2016/769:
einer gesetzlichen o Pseudonymisierung und Verschlü sselung von personenbezogenen Daten;
Verpflichtung, eines o die Fä higkeit, die kontinuierliche Vertraulichkeit, Integritä t, Verfü gbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu
öffentlichen gewä hrleisten;
Interesses oder der o die Fä higkeit, die Verfü gbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls

2
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

schnell wiederherzustellen;
o ein Verfahren zur regelmä ßigen Ü berprü fung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen
Maßnahmen zur Gewä hrleistung der Sicherheit der Verarbeitung.
Ausübung
 Fü r die Erfü llung einer Aufgabe, die im ö ffentlichen Interesse oder in Ausü bung ö ffentlicher Befugnisse gemä ß der SR durchgefü hrt wird, wenn sie sich
öffentlicher Gewalt
aus einer Zustä ndigkeit ergibt, die durch eine Verordnung mit Gesetzesrang zugewiesen wurde.
Art. 8

 Die bloße Einwilligung der betroffenen Person reicht nicht aus, um das Verbot der Verarbeitung von Daten aufzuheben, deren Hauptzweck
BESONDERE darin besteht, die Weltanschauung, die Gewerkschaftszugehörigkeit, die Religion, die sexuelle Ausrichtung, die Weltanschauung und die
KATEGORIEN VON rassische oder ethnische Herkunft der betroffenen Person zu ermitteln, AUSSER, wenn dies nach Art. 9.2 SR:
DATEN a) die betroffene Person hat ausdrücklich in die Verarbeitung dieser personenbezogenen Daten für einen oder mehrere der genannten Zwecke
Art. 9 eingewilligt, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten sieht vor, dass das vorgenannte Verbot von der betroffenen Person
nicht aufgehoben werden kann;
b) die Verarbeitung ist zur Erfüllung von Pflichten und zur Ausübung bestimmter Rechte des für die Verarbeitung Verantwortlichen oder der
betroffenen Person auf dem Gebiet des Arbeitsrechts, der sozialen Sicherheit und des Sozialschutzes erforderlich, soweit dies durch das Unionsrecht
der Mitgliedstaaten oder durch einen nach dem Recht der Mitgliedstaaten geschlossenen Tarifvertrag zulässig ist, der angemessene Garantien für
die Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht;
c) die Verarbeitung ist erforderlich , um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen , wenn
die betroffene Person rechtlich oder tatsächlich nicht in der Lage ist, ihre Einwilligung zu geben;
d) die Verarbeitung erfolgt im Rahmen ihrer rechtmäßigen Tätigkeiten und mit angemessenen Garantien durch eine Stiftung, einen Verein oder eine
andere Einrichtung ohne Erwerbszweck, deren Zweck politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Natur ist, sofern sich die
Verarbeitung ausschließlich auf derzeitige oder ehemalige Mitglieder dieser Einrichtungen oder auf Personen bezieht, die im Zusammenhang mit
deren Zwecken in regelmäßigem Kontakt mit ihnen stehen, und sofern die personenbezogenen Daten nicht zu deren Zwecken an sie weitergegeben
werden.Die Verarbeitung erfolgt durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung mit politischer, weltanschaulicher,
religiöser oder gewerkschaftlicher Zielsetzung, sofern sich die Verarbeitung ausschließlich auf derzeitige oder ehemalige Mitglieder solcher
Einrichtungen oder auf Personen bezieht, die im Zusammenhang mit deren Zwecken in regelmäßigem Kontakt mit ihnen stehen, und sofern die
personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen außerhalb dieser Einrichtungen weitergegeben werden;
e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offenkundig öffentlich gemacht hat;
f) die Verarbeitung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich oder wenn die Gerichte in ihrer
Funktion als Richter tätig werden;
g) die Verarbeitung ist aus Gründen eines wesentlichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten
erforderlich, die in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen wahren und
geeignete und spezifische Maßnahmen zum Schutz der Interessen und Grundrechte der betroffenen Person vorsehen müssen;
h) die Verarbeitung ist für die Zwecke der Vorsorge oder der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit, der medizinischen Diagnostik, der
gesundheitlichen oder sozialen Betreuung oder Behandlung oder der Verwaltung von Systemen und Diensten des Gesundheits- und Sozialwesens
auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten oder im Rahmen eines Vertrags mit einem Angehörigen der
Gesundheitsberufe erforderlich , wenn die Verarbeitung durch einen Berufsangehörigen erfolgt, der der Schweigepflicht unterliegt(c) die
Behandlung ist erforderlich für die Zwecke der Präventivmedizin oder der Arbeitsmedizin, der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers,
der medizinischen Diagnostik, der gesundheitlichen oder sozialen Betreuung oder Behandlung oder der Verwaltung von Systemen und Diensten der

3
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

Gesundheitsfürsorge und der Sozialfürsorge auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten oder im Rahmen eines
Vertrags mit Angehörigen der Gesundheitsberufe, wenn die Verarbeitung durch Berufsangehörige erfolgt, die dem Berufsgeheimnis unterliegen.
i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich , etwa zum Schutz vor
schwerwiegenden grenzüberschreitenden Gesundheitsbedrohungen oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der
Gesundheitsversorgung und bei Arzneimitteln oder Medizinprodukten, und zwar auf der Grundlage von Rechtsvorschriften der Union oder der
Mitgliedstaaten, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person, insbesondere das
Berufsgeheimnis, vorsehen.Rechtsvorschriften der Mitgliedstaaten, die geeignete und spezifische Maßnahmen zum Schutz der Rechte und
Freiheiten der betroffenen Person, insbesondere das Berufsgeheimnis, vorsehen,
j) die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische
Zwecke gemäß Artikel 89 Absatz 1 auf der Grundlage des Unionsrechts oder des Rechts der Mitgliedstaaten erforderlich, wobei die Verarbeitung in
einem angemessenen Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen wahren und geeignete und spezifische
Maßnahmen zum Schutz der Interessen und Grundrechte der betroffenen Person vorsehen muss.Die Verarbeitung muss in einem angemessenen
Verhältnis zu dem verfolgten Zweck stehen, das Recht auf Datenschutz im Wesentlichen achten und geeignete und spezifische Maßnahmen zum
Schutz der Interessen und Grundrechte der betroffenen Person vorsehen.
 ANMERKUNG: Die Behandlungen nach Art. 9.2. des NoE, die auf spanischem Recht beruhen, müssen durch eine Verordnung mit Gesetzesrang geregelt
werden, die zusätzliche Sicherheits- und Vertraulichkeitsanforderungen festlegen kann. Diese Vorschrift kann sich auf die Verarbeitung von Daten im
Bereich GESUNDHEIT beziehen, wenn dies für die Verwaltung ö ffentlicher und privater Gesundheitssysteme und -dienste oder fü r die Erfü llung eines
Versicherungsvertrags, an dem die betroffene Person beteiligt ist, erforderlich ist.
 Sie darf nur unter behö rdlicher Aufsicht durchgefü hrt werden, es sei denn, sie dient anderen Zwecken als der Verhü tung, Ermittlung, Feststellung oder
Verfolgung von Straftaten oder der Vollstreckung strafrechtlicher Sanktionen.
VERARBEITUNG  Das vollstä ndige Register der Daten ü ber strafrechtliche Verurteilungen und Straftaten sowie ü ber Verfahren und damit zusammenhä ngende Vorsichts-
VON DATEN MIT und Sicherheitsmaßnahmen:
STRAFRECHTLICHE a) Sie kann nach den Vorschriften des Systems der Verwaltungsunterlagen zur Unterstü tzung der Rechtspflege durchgefü hrt werden.
M HINTERGRUND b) Sie darf nur unter behö rdlicher Aufsicht durchgefü hrt werden.
Art. 10  Abgesehen von den in den vorhergehenden Abschnitten genannten Fä llen ist die Verarbeitung dieser Art von Daten nur dann mö glich, wenn sie von
ABOGADOS Y PROCURADORES Y PROCURADORES durchgefü hrt wird und den Zweck hat, die von den Kunden fü r die Ausü bung ihrer Funktionen zur
Verfü gung gestellten Informationen zu sammeln.

TITEL III: RECHTE DER PERSONEN

TRANSPARENZ UND Wenn die  Es ist der fü r die Verarbeitung Verantwortliche, der die Pflicht hat, grundlegende Informationen zu liefern.
INFORMATION Daten direkt  Bis zu ihrer Erlangung
Art. 11 bei der  Ferner sind eine E-Mail-Adresse und andere Mö glichkeiten des einfachen und unmittelbaren Zugangs zu den ü brigen Informationen
betroffenen anzugeben.

4
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

 GRUNDLEGENDE INFORMATIONEN:
a) Identität der verantwortlichen Person und ihres Vertreters, falls vorhanden.
b) Der Zweck der Verarbeitung
c) Die Mö glichkeit, die in den Artikeln 15 bis 22 der Datenschutz-Grundverordnung genannten Rechte auszuü ben: Recht auf
Person
Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und automatisierte
erhoben
Einzelentscheidungen, einschließlich Profiling (im letztgenannten Fall enthalten die Basisinformationen diesen Umstand,
werden
wobei die betroffene Person ü ber das Recht informiert wird, gegen die Annahme automatisierter Einzelentscheidungen, die
Rechtswirkungen erzeugen, Widerspruch einzulegen).Im letztgenannten Fall enthalten die Basisinformationen diesen
Umstand, wonach die betroffene Person ü ber das Recht informiert wird, gegen automatisierte Einzelentscheidungen, die fü r
sie Rechtswirkungen entfalten oder sie in ä hnlicher Weise erheblich beeinträ chtigen, Widerspruch einzulegen.
Wenn die  Die verantwortliche Partei kann der Informationspflicht nachkommen und darü ber hinaus MUSS die GRUNDINFORMATIONEN
Daten nicht enthalten:
direkt bei der  Die Kategorien der verarbeiteten Daten.
betroffenen  Die Quellen, aus denen die Daten stammen.
Person  Sobald sie erhalten werden.
erhoben  Ferner sind eine E-Mail-Adresse und andere Mö glichkeiten des einfachen und unmittelbaren Zugangs zu den ü brigen Informationen
werden anzugeben.

Art. 14 SR:
(1) Wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, so stellt der für die Verarbeitung Verantwortliche
der betroffenen Person folgende Informationen zur Verfügung
(a) die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters;
(b) die Kontaktdaten des Datenschutzbeauftragten, falls vorhanden;
(c) die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
(d) die Kategorien der betroffenen personenbezogenen Daten;
(e) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, soweit zutreffend;
(f) gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, personenbezogene Daten an einen Empfänger in einem Drittland oder
eine internationale Organisation zu übermitteln, und das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission(f)
gegebenenfalls die Absicht des für die Verarbeitung Verantwortlichen, personenbezogene Daten an einen Empfänger in einem Drittland oder an
eine internationale Organisation zu übermitteln, sowie das Vorliegen oder Nichtvorliegen eines Angemessenheitsbeschlusses der Kommission
oder - im Falle von Übermittlungen nach Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz 2 - den Hinweis auf angemessene oder
geeignete Garantien sowie die Möglichkeit, eine Kopie davon zu erhalten, oder die Tatsache, dass sie gegeben wurden.

(2)Zusätzlich zu den in Absatz 1 genannten Informationen stellt der für die Verarbeitung Verantwortliche der betroffenen Person die
folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Datenverarbeitung in Bezug auf die
betroffene Person zu gewährleisten:
(a) den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung
dieses Zeitraums;
(b) wenn die Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe f erfolgt, die berechtigten Interessen des für die Verarbeitung
Verantwortlichen oder eines Dritten

5
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

(c) das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen Auskunft über die die betroffene Person betreffenden
personenbezogenen Daten, deren Berichtigung oder Löschung oder die Einschränkung ihrer Verarbeitung zu verlangen und der Verarbeitung zu
widersprechen, sowie das Recht auf Datenübertragbarkeit;
(d) im Falle der Verarbeitung auf der Grundlage von Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a das Bestehen des Rechts,
die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der auf der Einwilligung beruhenden Verarbeitung vor dem Widerruf
berührt wird;
(e) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(f) die Quelle, aus der die personenbezogenen Daten stammen, und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen;
(g) das Vorhandensein automatisierter Entscheidungen, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und - zumindest in diesen
Fällen - aussagekräftige Informationen über die zugrunde liegende Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen
Verarbeitung für die betroffene Person.

(3) Der für die Verarbeitung Verantwortliche stellt die in den Absätzen 1 und 2 genannten Informationen zur Verfügung:
(a)innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter
Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden
(b) wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt
der ersten Kommunikation mit der betroffenen Person, oder
(c) wenn sie an einen anderen Empfänger weitergegeben werden sollen, spätestens zum Zeitpunkt der ersten Weitergabe der personenbezogenen
Daten.

(4) Beabsichtigt der für die Verarbeitung Verantwortliche, die personenbezogenen Daten für einen anderen Zweck als den, für den sie erhoben
wurden, weiterzuverarbeiten, so unterrichtet er die betroffene Person vor einer solchen Weiterverarbeitung über diesen anderen Zweck sowie
über alle anderen in Absatz 2 genannten relevanten Informationen.

(5) Die Bestimmungen der Absätze 1 bis 4 gelten nicht, wenn und soweit
(a) die betroffene Person bereits über die Informationen verfügt;
(b) die Übermittlung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßig hohen Aufwand erfordert, insbesondere für
im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke(b) die
Übermittlung dieser Informationen unmöglich ist oder einen unverhältnismäßig hohen Aufwand erfordert, insbesondere bei der Verarbeitung für
im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke,
vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien, oder soweit die in Absatz 1 des vorliegenden Artikels genannte
Verpflichtung die Verwirklichung der Zwecke dieser Verarbeitung unmöglich machen oder ernsthaft behindern könnte. In solchen Fällen ergreift
der für die Verarbeitung Verantwortliche geeignete Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der betroffenen
Person, unter anderem durch die Veröffentlichung der Informationen.
(c) die Erhebung oder Weitergabe ist in dem für den für die Verarbeitung Verantwortlichen geltenden Recht der Union oder der Mitgliedstaaten,
das geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht, ausdrücklich vorgesehen, oder
(d) wenn personenbezogene Daten aufgrund einer im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehenen Verpflichtung zur Wahrung
des Berufsgeheimnisses, einschließlich einer gesetzlichen Geheimhaltungspflicht, vertraulich behandelt werden müssen.

RECHTSAUSÜBUNG ALLGEMEINE  Die in den Artikeln 15 bis 22 der DV anerkannten Rechte können unmittelbar oder über einen gesetzlichen oder

6
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

bevollmächtigten Vertreter ausgeü bt werden.

 Der fü r die Verarbeitung Verantwortliche ist verpflichtet, die betroffene Person ü ber die MÖ GLICHKEITEN zu informieren, die ihr
zur Ausü bung ihrer Rechte zur Verfü gung stehen und die leicht zugä nglich sind.
 Die Ausü bung des Rechts darf nicht allein deshalb verweigert werden, weil die betreffende Person sich fü r ein anderes Mittel
entschieden hat.
 Der Datenverarbeiter kann im Namen des fü r die Verarbeitung Verantwortlichen die Anträ ge der betroffenen Personen auf
Ausü bung ihrer Rechte bearbeiten, wenn dies in dem sie bindenden Vertrag oder Rechtsakt vorgesehen ist.
 Der Nachweis, dass die Pflicht zur Beantwortung eines solchen Ersuchens erfü llt wurde, obliegt dem fü r die Verarbeitung
Verantwortlichen.
 Wenn die auf bestimmte Verarbeitungen anwendbaren Rechtsvorschriften eine Sonderregelung fü r die Ausü bung der in Kapitel III
der DV vorgesehenen Rechte (Rechte der betroffenen Person) vorsehen, gelten die Bestimmungen dieser Rechtsvorschriften.
 In jedem Fall kö nnen die Inhaber der elterlichen Gewalt die Rechte auf Zugang, Berichtigung, Lö schung, Widerspruch und alle
anderen Rechte, die ihnen nach dem geltenden Recht zustehen, im Namen und im Auftrag von Minderjä hrigen unter 14 Jahren
ausü ben.
BESTIMMUNGE  Die Maßnahmen, die der fü r die Verarbeitung Verantwortliche zur Beantwortung von Anträ gen auf Ausü bung dieser Rechte ergreift,
Art.12
N sind unbeschadet der Bestimmungen von Artikel 1 unentgeltlich. 12.5 und 15.3 der DB und Artikel 13 Absä tze 3 und 4 des
vorliegenden Gesetzes

Artikel 12.5. Bei offensichtlich unbegründeten oder übermäßigen Ersuchen, insbesondere aufgrund ihres wiederholten Charakters, kann der
für die Verarbeitung Verantwortliche:
(a) eine angemessene Gebühr erheben, die sich nach den Verwaltungskosten richtet, die durch die Bereitstellung der Informationen oder
Mitteilungen oder die Durchführung der beantragten Maßnahme entstehen, oder
(b) die Er ledigung des Ersuchens ablehnen.
Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass das Ersuchen offensichtlich unbegründet oder unverhältnismäßig ist.
Artikel 15.3. Der für die Verarbeitung Verantwortliche stellt eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung.
Der für die Verarbeitung Verantwortliche kann für alle weiteren von der betroffenen Person angeforderten Kopien eine angemessene Gebühr auf
der Grundlage der Verwaltungskosten erheben. Stellt die betroffene Person den Antrag auf elektronischem Wege, so sind die Informationen in
einem gängigen elektronischen Format bereitzustellen, sofern die betroffene Person nichts anderes verlangt.

ZUGANGSRECHT  Sie wird nach Maßgabe des Artikels 15 DV ausgeü bt.

Art. 13 (1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende
personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, das Recht auf Auskunft über die personenbezogenen Daten und auf folgende
Informationen:
(a)die Zwecke der Verarbeitung;
(b)die Kategorien der betroffenen personenbezogenen Daten;
(c) die Empfänger oder Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben wurden oder werden, insbesondere Empfänger in
Drittländern oder internationale Organisationen;
(d)wenn möglich, die vorgesehene Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser
Dauer;

7
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

(e)das Bestehen des Rechts, von dem für die Verarbeitung Verantwortlichen die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung oder
den Widerspruch gegen die Verarbeitung personenbezogener Daten der betroffenen Person zu verlangen;
(f)das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(g)falls die personenbezogenen Daten nicht von der betroffenen Person stammen, alle verfügbaren Informationen über ihre Herkunft;
(h)das Vorhandensein automatisierter Entscheidungen, einschließlich Profiling, gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige
Informationen über die zugrunde liegende Logik sowie die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die
geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
(3) Der für die Verarbeitung Verantwortliche stellt eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung. Der für die Verarbeitung
Verantwortliche kann für alle weiteren von der betroffenen Person angeforderten Kopien eine angemessene Gebühr auf der Grundlage der Verwaltungskosten
erheben. Stellt die betroffene Person den Antrag auf elektronischem Wege, so sind die Informationen in einem gängigen elektronischen Format bereitzustellen,
sofern die betroffene Person nichts anderes verlangt.
Das in Absatz 3 genannte Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

 Verarbeitet der fü r die Verarbeitung Verantwortliche eine große Menge von Daten ü ber die betroffene Person und gibt die betroffene Person nicht an,
um welche Daten es sich handelt, so kann der fü r die Verarbeitung Verantwortliche die betroffene Person vor der Erteilung der Auskunft bitten,
anzugeben, welche Daten verarbeitet werden.
 Sie gilt als erteilt, wenn der fü r die Verarbeitung Verantwortliche der betroffenen Person ein System fü r den direkten und sicheren Fernzugriff auf die
personenbezogenen Daten zur Verfü gung stellt, das einen stä ndigen Zugang zu allen personenbezogenen Daten gewä hrleistet. Die Mitteilung, wie man
Zugang erhä lt, reicht aus, um den Antrag als bewilligt zu betrachten. Die betroffene Person kann jedoch grundlegende Informationen anfordern, die
nicht im Fernzugriffssystem enthalten sind.
 Die mehrmalige Ausü bung dieses Rechts innerhalb eines Zeitraums von sechs Monaten gilt als WIEDERHOLEND. In solchen Fä llen kann eine
Gebü hr erhoben oder die Bearbeitung des Antrags abgelehnt werden.
 Der Antrag gilt als AUSSERGEWÖHNLICH, wenn die betreffende Person ein anderes als das angebotene Mittel wä hlt, das unverhältnismäßig hohe
Kosten verursacht. Etwaige Mehrkosten sind von der betreffenden Person zu tragen. In diesem Fall kann nur das, was ohne unnö tige Verzö gerung
geschieht, gegen die verantwortliche Person durchgesetzt werden.

 Die betroffene Person muss angeben, auf welche Daten sie sich bezieht und welche Berichtigung sie wü nscht.
RECHT AUF
 Erforderlichenfalls sind ihr Belege fü r die Unrichtigkeit oder Unvollstä ndigkeit der Daten beizufü gen.
BERICHTIGUNG
Artikel 16 der DB: ohne unnötige Verzögerung. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, unvollständige
Art. 14
personenbezogene Daten zu ergänzen, auch durch eine zusätzliche Erklärung.
RECHT AUF  Sie wird nach Maßgabe des Artikels ausgeübt. 17 der SR:
ENTFERNUNG (1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich
("Recht auf gelöscht werden, und der für die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden
Vergessenwerden") Umstände vorliegt:
Art. 15 (a)die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind;
(b) die betroffene Person die Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützt, widerruft
und die Einwilligung nicht auf einen anderen Rechtsgrund gestützt wird;
(c)die betroffene Person Widerspruch gegen die Verarbeitung gemäß :

8
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

Artikel 21 Absatz 1: Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der
sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 erfolgt, Widerspruch einzulegen.
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern
nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt. Außer in den Fällen, in denen die Verarbeitung durch
öffentliche Stellen in Ausübung ihrer Aufgaben erfolgt
einschließlich Profiling auf der Grundlage dieser Bestimmungen.
Der für die Verarbeitung Verantwortliche stellt die Verarbeitung der Daten ein, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen,
die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder sie dienen der Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen.
Artikel 21 Absatz 2: Erfolgt die Verarbeitung für Zwecke der Direktwerbung, so hat die betroffene Person das Recht, jederzeit Widerspruch einzulegen; dies
gilt auch für das Profiling. In solchen Fä llen kann der fü r die Verarbeitung Verantwortliche die Identifizierungsdaten der betroffenen Person aufbewahren, die
erforderlich sind, um eine kü nftige Verarbeitung zu Direktmarketingzwecken zu verhindern..
(d)die personenbezogenen Daten unrechtmäßig verarbeitet worden sind;
(e)die personenbezogenen Daten gelöscht werden müssen , um einer rechtlichen Verpflichtung nach dem für den für die Verarbeitung Verantwortlichen geltenden
Unionsrecht oder dem Recht der Mitgliedstaaten nachzukommen;
(f)die personenbezogenen Daten wurden im Zusammenhang mit der Bereitstellung von Diensten der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben (die
Verarbeitung personenbezogener Daten eines Kindes gilt als rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind jünger als 16 Jahre, so ist sie nur
dann rechtmäßig, wenn die Zustimmung vom Inhaber der elterlichen Sorge oder der Vormundschaft für das Kind erteilt oder genehmigt wurde, und auch nur
insoweit, als sie erteilt oder genehmigt wurde. Die Mitgliedstaaten können gesetzlich ein niedrigeres Alter für diese Zwecke vorsehen, sofern es nicht unter 13 Jahren
liegt. WICHTIG!

2.Sindpersonenbezogene Daten öffentlich gemacht worden und ist der für die Verarbeitung Verantwortliche gemäß Absatz 1 verpflichtet, diese Daten zu
löschen, so trifft der für die Verarbeitung Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene
Maßnahmen, einschließlich technischer Maßnahmen, um die für die Verarbeitung Verantwortlichen, die die personenbezogenen Daten verarbeiten, von dem Antrag
der betroffenen Person auf Löschung aller Links zu diesen personenbezogenen Daten oder aller Kopien oder Replikationen dieser Daten in Kenntnis zu setzen.
angemessene Maßnahmen, einschließlich technischer Maßnahmen, zu ergreifen, um die für die Verarbeitung Verantwortlichen, die die personenbezogenen Daten
verarbeiten, über den Antrag der betroffenen Person auf Löschung von Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten
zu unterrichten.
(3) Die Absätze 1 und 2 finden KEINE Anwendung, wenn eine Behandlung erforderlich ist :
a) das Recht auf freie Meinungsäußerung und Informationsfreiheitauszuüben ;
(b)zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung von Daten aufgrund des für den für die Verarbeitung Verantwortlichen geltenden
Unionsrechts oder des Rechts der Mitgliedstaaten vorschreibt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde;
(c)aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h) und i) und Absatz 3;
(d)zu im öffentlichen Interesse liegenden Archivierungszwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß
Artikel 89 Absatz 1, sofern das in Absatz 1 genannte Recht die Verwirklichung der Zwecke dieser Verarbeitung unmöglich machen oder ernsthaft behindern würde,
oder

9
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

e)für die Formulierung, Geltendmachung oder Verteidigung von Ansprüchen.

 Sie wird nach Maßgabe des Artikels ausgeübt. 18 der SR:

(1) Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Einschränkung der Verarbeitung von Daten zu verlangen,
wenn eine der folgenden Bedingungen erfüllt ist:
(a)die betroffene Person die Richtigkeit der personenbezogenen Daten innerhalb einer Frist bestreitet, die es dem für die Verarbeitung Verantwortlichen ermöglicht,
die Richtigkeit der personenbezogenen Daten zu überprüfen;
(b)die Verarbeitung unrechtmäßig ist und die betroffene Person der Löschung der personenbezogenen Daten widerspricht und stattdessen die Einschränkung ihrer
Verwendung verlangt;
(c) der für die Verarbeitung Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr benötigt, die betroffene Person sie jedoch für
die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt;
RECHT AUF (d)die betroffene Person hat gemäß Artikel 21 Absatz 1Widerspruch gegen die Verarbeitung eingelegt, und es wird geprüft, ob die berechtigten Gründe des für die
EINSCHRÄNKUNG Verarbeitung Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
DER
VERARBEITUNG 2. (2) Wurde die Verarbeitung personenbezogener Daten gemäß Absatz 1 eingeschränkt, so dürfen diese Daten - abgesehen von ihrer Speicherung - nur
Art. 16 mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte
einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines bestimmten
Mitgliedstaats verarbeitet werden.(2) Wurden personenbezogene Daten gemäß Absatz 1 verarbeitet, so dürfen diese Daten, mit Ausnahme ihrer
Speicherung, nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum
Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines
bestimmten Mitgliedstaats verarbeitet werden.
(3) Jede betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem für die Verarbeitung Verantwortlichen
unterrichtet, bevor die Einschränkung aufgehoben wird.
 Die Tatsache, dass die Verarbeitung eingeschränkt ist, sollte in den Informationssystemen des für die Verarbeitung Verantwortlichen deutlich
angegeben werden.

RECHT AUF  Sie wird nach Maßgabe des Artikels ausgeübt. 20 der SR:
ÜBERTRAGBARKEIT
Art. 17 (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten , die sie einem für die Verarbeitung Verantwortlichen bereitgestellt
hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und sie an einen anderen für die Verarbeitung Verantwortlichen zu
übermitteln, ohne dass der für die Verarbeitung Verantwortliche, dem sie die Daten bereitgestellt hat, sie daran hindern darf, sofern:
(a)die Verarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags erfolgt
(b)die Verarbeitung erfolgt mit Hilfe automatisierter Verfahren.

(2)In Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, personenbezogene Daten direkt von dem für die Verarbeitung
Verantwortlichen an den für die Verarbeitung Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.
(3) Die Ausübung des in Absatz 1 des vorliegenden Artikels genannten Rechts erfolgt unbeschadet des Artikels 17. Dieses Recht gilt nicht für die Verarbeitung, die für
die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung

10
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

Verantwortlichen übertragen wurde.

Das in Absatz 1 genannte Recht darf die Rechte und Freiheiten anderer nicht beeinträchtigen.

WIDERSPRUCHSREC  Sie wird gemä ß den Artikeln 21 und 22 der DB ausgeü bt.
HT
Art. 18 Artikel 21 Recht auf Widerspruch

(1) Die betroffene Person hat das Recht, aus Grü nden, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender
personenbezogener Daten, einschließlich des auf diese Bestimmungen gestü tzten Profilings, Widerspruch einzulegen. Der fü r die Verarbeitung Verantwortliche
verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwü rdige Grü nde fü r die Verarbeitung nachweisen, die die
Interessen, Rechte und Freiheiten der betroffenen Person ü berwiegen, oder die Verarbeitung dient der Geltendmachung, Ausü bung oder Verteidigung von
Rechtsansprü chen.
(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die
Verarbeitung sie betreffender personenbezogener Daten einzulegen; dies gilt auch fü r das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung fü r Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr fü r diese Zwecke
verarbeitet.
(4) Spä testens bei der ersten Mitteilung an die betroffene Person wird diese ausdrü cklich auf das in den Absä tzen 1 und 2 genannte Recht hingewiesen und klar
und getrennt von allen anderen Informationen dargestellt.
(5) Im Rahmen der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person abweichend von der Richtlinie 2002/58/EG ihr
Widerspruchsrecht mit Hilfe automatisierter Verfahren unter Anwendung technischer Spezifikationen ausü ben.
6.Werdenpersonenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemä ß Artikel 89 Absatz 1
verarbeitet, so hat die betroffene Person das Recht, aus Grü nden, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung sie betreffender
personenbezogener Daten Widerspruch einzulegen, es sei denn, die Verarbeitung ist fü r die Wahrnehmung einer Aufgabe erforderlich, die im ö ffentlichen
Interesse liegt.
Artikel 22 Automatisierte Einzelentscheidungen, einschließlich Profiling
(1) Jede betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung
unterworfen zu werden, die ihr gegenü ber rechtliche Wirkung entfaltet oder sie in ä hnlicher Weise erheblich beeinträ chtigt.
Absatz 1 findetkeine Anwendung, wenn die Entscheidung:

 (a)fü r den Abschluss oder die Erfü llung eines Vertrags zwischen der betroffenen Person und einem fü r die Verarbeitung Verantwortlichen erforderlich
ist;

11
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

 (b)nach dem fü r den fü r die Verarbeitung Verantwortlichen geltenden Unionsrecht oder dem Recht der Mitgliedstaaten, das auch geeignete
Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht, zulä ssig ist, oder
 (c)auf der ausdrü cklichen Zustimmung der betroffenen Person beruht.

(3) In den in Absatz 2 Buchstaben a und c genannten Fä llen trifft der fü r die Verarbeitung Verantwortliche angemessene Maßnahmen, um die Rechte und
Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens
des fü r die Verarbeitung Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehö rt.
(4) Die in Absatz 2 genannten Entscheidungen dü rfen sich nicht auf die in Artikel 9 Absatz 1 genannten besonderen Kategorien personenbezogener Daten
stü tzen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und es wurden geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten
sowie der berechtigten Interessen der betroffenen Person getroffen.

TITEL IX - SYSTEM DER SANKTIONEN

Die fü r die Behandlung Verantwortlichen.
Die mit der Bearbeitung beauftragten Personen.
VERANTWORTLIC Vertreter von fü r die Verarbeitung Verantwortlichen oder Auftragsverarbeitern, die nicht im Hoheitsgebiet der EU ansä ssig
Gilt für
HE PARTEIEN sind.
Art. 70  Zertifizierungsstellen
 Akkreditierte Kontrollstellen für den Verhaltenskodex
Gilt nicht für  Datenschutzbeauftragter
FÜR SEHR  Bei Verstößen gegen die folgenden Bestimmungen: (Abs. 5)
SCHWERE
VERSTÖSSE GILT (a)die Grundprinzipien für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung
EINE (b) die Rechte der betroffenen Personen
VERJÄHRUNGSFRI (c) die Übermittlung personenbezogener Daten aneinen Empfänger in einem Drittland oder an eine internationale Organisation
ST VON 3 JAHREN. (d)alle Verpflichtungen, die sich aus den gemäß Kapitel IX erlassenen Rechtsvorschriften der Mitgliedstaaten ergeben;
Art. 72 (e)Nichtbefolgung einer Entscheidung oder einer vorübergehenden oder endgültigen Einschränkung der Verarbeitung oder der Aussetzung des
Datenverkehrs durch die Kontrollstelle oder Verweigerung des Zugangs.
VERWALTUNGSBU
SSEN IN HÖ HE  Bei Nichteinhaltung von Entscheidungen der Aufsichtsbehörde(Apt.6)
VON NICHT MEHR a)Die Verarbeitung personenbezogener Daten unter Verstoß gegen die Grundsä tze und Garantien.
ALS 20.000.000 b)Die Verarbeitung personenbezogener Daten, ohne dass eine der Voraussetzungen fü r eine rechtmä ßige Verarbeitung erfü llt ist.
oder im Falle eines c)Nichteinhaltung der Voraussetzungen fü r die Gü ltigkeit der Zustimmung.
Unternehmens in
d)Die Verwendung der Daten fü r einen Zweck, der nicht mit dem Zweck, fü r den sie erhoben wurden, vereinbar ist, ohne die Zustimmung der
Hö he von nicht
mehr als 4 % des betroffenen Person oder ohne eine Rechtsgrundlage dafü r.
gesamten e)Die Verarbeitung personenbezogener Daten der Kategorien, ohne dass einer der in der vorgenannten Bestimmung vorgesehenen Umstä nde

12
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

vorliegt.
(f)die Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten oder damit
zusammenhä ngenden Sicherheitsmaßnahmen außerhalb der zulä ssigen Fä lle.
g)Die Verarbeitung personenbezogener Daten im Zusammenhang mit Ordnungswidrigkeiten und Sanktionen außerhalb der zulä ssigen Fä lle.
h)die Unterlassung der Pflicht, die betroffene Person ü ber die Verarbeitung ihrer personenbezogenen Daten zu informieren
(i)Verstoß gegen die Geheimhaltungspflicht.
j)Die Aufforderung zur Zahlung einer Gebü hr außerhalb der festgelegten Fä lle.
(k)Behinderung oder Behinderung oder wiederholte Nichtausü bung von Rechten.
(l)die internationale Ü bermittlung personenbezogener Daten an einen Empfä nger in einem Drittland oder an eine internationale Organisation,
Jahresumsatzes im wenn keine Garantien, Anforderungen oder Ausnahmen gelten
vorangegangenen (m)die Nichteinhaltung von Entscheidungen der Datenschutzbehö rde
Geschä ftsjahr, je n)Nichteinhaltung der in Artikel 32 dieses Organgesetzes festgelegten Verpflichtung zur Sperrung von Daten, wenn diese Verpflichtung
nachdem, welcher durchsetzbar ist.
Betrag hö her ist
(ñ)dem Personal der zustä ndigen Datenschutzbehö rde keinen Zugang zu personenbezogenen Daten, Informationen, Rä umlichkeiten,
Apt.5 - SEHR
SERIÖS Ausrü stungen und Verarbeitungsmitteln zu gewä hren, die die Datenschutzbehö rde fü r die Ausü bung ihrer Untersuchungsbefugnisse benö tigt.
o)Widerstand oder Behinderung bei der Ausü bung der Kontrollfunktion durch die zustä ndige Datenschutzbehö rde.
(p)die absichtliche Umkehrung eines Anonymisierungsverfahrens, um die Re-Identifizierung der Betroffenen zu ermö glichen.

SCHWERE Die Pflichten  Einwilligung von Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft. Art. 8
VERSTÖSSE - DIE der  Behandlung, die keine Identifizierung mehr erfordert. Art. 11
VERJÄHRUNGSFRI verantwortlic  Datenschutz durch Design und durch Voreinstellungen. Art. 25
ST BETRÄGT 2 hen Person  Aufgaben des Datenschutzbeauftragten: Art. 39
JAHRE. und der o Informieren und beraten Sie den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter und die
Art. 73 verantwortlic betroffenen Mitarbeiter.
hen Person in o Überwachung der Einhaltung der Bestimmungen dieser Sonderempfehlung und anderer EU-Datenschutzvorschriften
VERWALTUNGSBU Bezug auf die o Beratung bei der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
SSEN IN
HÖ CHSTGRÖ SSEN o Mit der Aufsichtsbehörde zusammenarbeiten.
VON 10.000.000 o als Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung zu fungieren, einschließlich der Konsultation
EUR oder, im Falle der Aufsichtsbehörde durch den für die Verarbeitung Verantwortlichen vor der Durchführung, wenn eine
eines Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, wenn keine
Unternehmens, in Abhilfemaßnahmen getroffen werden.
Hö he von maximal  Zur Zertifizierung. Art.42
2% des gesamten o Die Teilnahme ist freiwillig und erfolgt in einem transparenten Verfahren.
Jahresumsatzes des o Sie wird ausgestellt von:
vorangegangenen  Durch Zertifizierungsstellen. Art. 43. Sie werden akkreditiert durch:
Geschä ftsjahres, je - Die Aufsichtsbehörde
nachdem, welcher - Oder die nationale Akkreditierungsstelle

13
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

Betrag hö her ist - Oder beides

Apt.4  oder durch die zuständige Aufsichtsbehörde
 Oder durch den Ausschuss. Wenn die Kriterien vom Ausschuss gebilligt werden, kann dies zu einer gemeinsamen
Zertifizierung führen: dem EUROPÄISCHEN DATENSCHUTZSIEGEL.
o Sie wird einer Führungskraft oder einer verantwortlichen Person für eine HÖCHSTDAUER von 3 JAHREN erteilt und
kann unter denselben Bedingungen verlängert werden, wenn die einschlägigen Kriterien weiterhin erfüllt sind.
o Der AUSSCHUSS archiviert alle Zertifizierungsmechanismen und Datenschutzsiegel und -zeichen in einem Register und
macht sie mit geeigneten Mitteln öffentlich zugänglich.

 Über die Verpflichtungen der Zertifizierungsstellen

Die Pflichten  bei der Überwachung von Verhaltenskodizes durch eine Stelle, die über das entsprechende Fachwissen in Bezug auf den
der Gegenstand des Kodexes verfügt und von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert worden ist. Ergreift
Aufsichtsbehör diese Stelle im Falle eines Verstoßes gegen den Verhaltenskodex geeignete Maßnahmen, so unterrichtet sie die zuständige
de Behörde.
a)die Verarbeitung personenbezogener Daten von Minderjä hrigen ohne deren Einwilligung, sofern sie dazu in der Lage sind, oder die Einwilligung des
Inhabers der elterlichen Sorge oder des Vormunds.
b)Versä umnis des Nachweises, dass angemessene Anstrengungen unternommen wurden, um die Gü ltigkeit der Zustimmung eines Minderjä hrigen oder des
Inhabers der elterlichen Gewalt oder der Vormundschaft ü ber den Minderjä hrigen zu ü berprü fen.
c) dieAusü bung des Rechts auf Auskunft, Berichtigung, Lö schung, Einschrä nkung der Verarbeitung oder Datenü bertragbarkeit bei Verarbeitungen, bei denen
die Identifizierung der betroffenen Person nicht erforderlich ist, behindert oder vereitelt oder wiederholt unterlä sst, wenn die betroffene Person zur
Ausü bung dieser Rechte zusä tzliche Informationen vorgelegt hat, die ihre Identifizierung ermö glichen.
d)Versä umnis, die technischen und organisatorischen Maßnahmen zu ergreifen, die geeignet sind, die Grundsä tze des "eingebauten Datenschutzes" wirksam
anzuwenden, sowie Versä umnis, die erforderlichen Garantien in die Verarbeitung einzubeziehen.
(e)Versä umnis, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass standardmä ßig nur personenbezogene
Daten verarbeitet werden, die fü r jeden der spezifischen Zwecke der Verarbeitung erforderlich sind.
(f)Versä umnis, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko der Verarbeitung angemessenes
Sicherheitsniveau zu gewä hrleisten, wie inArtikel 32 Absatz 1 der Verordnung (EU) 2016/679 vorgeschrieben.
g)die Verletzung der getroffenen technischen und organisatorischen Maßnahmen als Folge mangelnder Sorgfalt.
h)Nichteinhaltung der Verpflichtung zur Benennung eines Vertreters des fü r die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, der
nicht im Hoheitsgebiet der Europä ischen Union ansä ssig ist.
(i)Versä umnis des Vertreters des fü r die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Union, auf Anfragen der
Datenschutzbehö rde oder der betroffenen Personen zu reagieren.
(j)die Beauftragung eines Auftragsverarbeiters durch den fü r die Verarbeitung Verantwortlichen, der keine ausreichenden Garantien fü r die
Umsetzung geeigneter technischer und organisatorischer Maßnahmen gemä ß Kapitel IV derVerordnung (EU) 2016/679 bietet.
k)die Verarbeitung von Daten einem Dritten anzuvertrauen, ohne dass zuvor ein Vertrag oder ein anderer schriftlicher Rechtsakt mit dem
erforderlichen Inhalt abgeschlossen wurde.
l)Die Beauftragung anderer Auftragsverarbeiter durch einen Auftragsverarbeiter ohne vorherige Genehmigung des fü r die Verarbeitung
Verantwortlichen oder ohne den fü r die Verarbeitung Verantwortlichen ü ber Ä nderungen bei der Unterauftragsvergabe informiert zu haben, sofern
dies gesetzlich vorgeschrieben ist.

14
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

(m)Verstoß eines Auftragsverarbeiters bei der Festlegung der Zwecke und Mittel der Verarbeitung.
(n) dasFehlen eines Registers der Verarbeitungstä tigkeiten.
ñ )Das Versä umnis, der Datenschutzbehö rde das Verzeichnis der Verarbeitungstä tigkeiten auf Anfrage zur Verfü gung zu stellen.
(o)Versä umnis, mit den Aufsichtsbehö rden bei der Erfü llung ihrer Aufgaben zusammenzuarbeiten.
p)Die Verarbeitung personenbezogener Daten ohne vorherige Prü fung der in Artikel 28 dieses Organgesetzes genannten Elemente.
(q)Verletzung der Pflicht des Auftragsverarbeiters, den fü r die Verarbeitung Verantwortlichen ü ber Sicherheitsverletzungen zu unterrichten, von
denen der Auftragsverarbeiter Kenntnis erhä lt.
(r)Unterlassung der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehö rde.
(s)Unterlassung der Benachrichtigung der betroffenen Person ü ber eine Verletzung der Datensicherheit, wenn der fü r die Verarbeitung
Verantwortliche von der Datenschutzbehö rde dazu aufgefordert wurde
(t) dieVerarbeitung personenbezogener Daten, ohne eine Bewertung der Auswirkungen der Verarbeitungsvorgä nge auf den Schutz
personenbezogener Daten durchgefü hrt zu haben.
(u)Verarbeitung personenbezogener Daten ohne vorherige Konsultation der Datenschutzbehö rde in Fä llen, in denen eine solche Konsultation
erforderlich ist.
v)Nichteinhaltung der Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn eine solche Benennung erforderlich ist.
(w) diewirksame Beteiligung des Datenschutzbeauftragten an allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten nicht zu
ermö glichen, ihn nicht zu unterstü tzen und ihn nicht bei der Erfü llung seiner Aufgaben zu behindern.
x)Die Verwendung eines Datenschutzsiegels oder einer Zertifizierung, das/die nicht von einer ordnungsgemä ß akkreditierten Zertifizierungsstelle
vergeben wurde oder dessen/deren Gü ltigkeitsdauer abgelaufen ist.
y)Erlangung der Akkreditierung als Zertifizierungsstelle durch Vorlage unrichtiger Informationen ü ber die Erfü llung der Anforderungen.
z)Die Ausü bung von Funktionen, die Zertifizierungsstellen vorbehalten sind, ohne ordnungsgemä ß akkreditiert worden zu sein.
aa)Die Nichteinhaltung der Grundsä tze und Pflichten durch eine Zertifizierungsstelle.
ab)Die Wahrnehmung von Aufgaben, die Kontrollstellen fü r Verhaltenskodizes vorbehalten sind, ohne zuvor von der zustä ndigen Datenschutzbehö rde
akkreditiert worden zu sein.
(ac)Versä umnis der akkreditierten Aufsichtsstellen, im Falle eines Verstoßes gegen den Verhaltenskodex geeignete Maßnahmen zu ergreifen

GERINGFÜGIGE
VERSTÖSSE Die übrigen Verstöße rein formaler Art gegen die in Artikel 3 Absätze 4 und 5 genannten Artikel sind als Verstöße gegen die Bestimmungen des
SIND NACH EINEM vorliegenden Artikels zu betrachten. 83 der DB und insbesondere die folgenden Punkte:
JAHR VERJÄHRT
a)Nichtvorlage aller erforderlichen Informationen.
Art. 74 b) das Erfordernis der Zahlung einer Gebü hr fü r die Erteilung der erforderlichen Informationen an die betroffene Person oder fü r die Beantwortung von
Anträ gen der betroffenen Personen auf Ausü bung ihrer Rechte, sofern dies nach Artikel 12 Absatz 5 zulä ssig ist, wenn der Betrag der Gebü hr die Kosten fü r
die Erteilung der Informationen oder die Durchfü hrung der beantragten Maßnahme ü bersteigt.
c)Nichtbeantwortung von Anfragen zur Ausü bung der in denArtikeln 15 bis22 der Verordnung (EU) 2016/679 festgelegten Rechte, sofern nicht die
Bestimmungen von Artikel 72.1.k) dieses Organgesetzes gelten.
d) Nichtausü bung des Rechts auf Auskunft, Berichtigung, Lö schung, Einschrä nkung der Verarbeitung oder Datenü bertragbarkeit bei Verarbeitungen, bei
denen die Identifizierung der betroffenen Person nicht erforderlich ist, wenn die betroffene Person zur Ausü bung dieser Rechte zusä tzliche Angaben gemacht
hat, die ihre Identifizierung ermö glichen, es sei denn, Artikel 73 c) dieses Organgesetzes findet Anwendung.d) Nichteinhaltung des Rechts auf Auskunft,

15
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

Berichtigung, Lö schung, Einschrä nkung der Verarbeitung oder Ü bertragbarkeit von Daten bei Verarbeitungen, bei denen die Identifizierung der betroffenen
Person nicht erforderlich ist, wenn die betroffene Person zur Ausü bung dieser Rechte zusä tzliche Angaben gemacht hat, die ihre Identifizierung ermö glichen,
es sei denn, die Bestimmungen von Artikel 73 c) dieses Organgesetzes sind anwendbar.
(e)Nichteinhaltung der Meldepflicht in Bezug auf die Berichtigung oder Lö schung personenbezogener Daten oder die erforderliche Einschrä nkung der
Verarbeitung.
f)Nichteinhaltung der Verpflichtung, der betroffenen Person auf Verlangen mitzuteilen, an welche Empfä nger die berichtigten, gelö schten oder in ihrer
Verarbeitung eingeschrä nkten personenbezogenen Daten ü bermittelt wurden.
g)Nichteinhaltung der Verpflichtung zur Lö schung von Daten ü ber eine verstorbene Person, wenn dies erforderlich ist.
h)die fehlende Formalisierung der Vereinbarung zwischen den gemeinsam fü r die Verarbeitung Verantwortlichen, in der die jeweiligen Pflichten, Aufgaben
und Zustä ndigkeiten in Bezug auf die Verarbeitung personenbezogener Daten und ihre Beziehungen zu den betroffenen Personen festgelegt sind, oder die
Ungenauigkeit der Festlegung dieser Pflichten.
i)Versä umnis, den betroffenen Personen die wesentlichen Aspekte der zwischen den gemeinsam fü r die Verarbeitung Verantwortlichen getroffenen
Vereinbarung zur Verfü gung zu stellen.
(j)Nichteinhaltung der Verpflichtung des Auftragsverarbeiters, den fü r die Verarbeitung Verantwortlichen auf der Grundlage einer von diesem erhaltenen
Anweisung ü ber einen mö glichen Verstoß zu informieren.
k)Nichteinhaltung der Bestimmungen des Vertrags oder Rechtsakts, der die Verarbeitung regelt, oder der Anweisungen des fü r die Verarbeitung
Verantwortlichen durch den Auftragsverarbeiter, es sei denn, er ist gesetzlich dazu verpflichtet oder es ist erforderlich, um einen Verstoß gegen die
Datenschutzvorschriften zu verhindern, und der fü r die Verarbeitung Verantwortliche oder der Auftragsverarbeiter wurde darü ber informiert.
l)Ein Register der Verarbeitungstä tigkeiten, das nicht alle erforderlichen Informationen enthä lt.
(m)unvollstä ndige, verspä tete oder fehlerhafte Meldung von Informationen im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten
an die Datenschutzbehö rde.
(n)Versä umnis, eine Sicherheitsverletzung zu dokumentieren.
ñ )Nichteinhaltung der Pflicht zur Benachrichtigung der betroffenen Person ü ber eine Verletzung der Datensicherheit, die ein hohes Risiko fü r die Rechte und
Freiheiten der betroffenen Personen mit sich bringt.
o)Ü bermittlung unrichtiger Informationen an die Datenschutzbehö rde in Fä llen, in denen der fü r die Verarbeitung Verantwortliche verpflichtet ist, eine
vorherige Anfrage zu stellen.
(p)Nichtverö ffentlichung der Kontaktdaten des Datenschutzbeauftragten oder Nichtmitteilung dieser Daten an die Datenschutzbehö rde, wenn seine
Bestellung erforderlich ist.
(q)Versä umnis der Zertifizierungsstellen, die Datenschutzbehö rde ü ber die Erteilung, die Erneuerung oder den Entzug einer Zertifizierung zu informieren.
(r)Unterlassung der Unterrichtung der Datenschutzbehö rden durch die akkreditierten Kontrollstellen eines Verhaltenskodexes ü ber die Maßnahmen, die im
Falle eines Verstoßes gegen den Kodex zu ergreifen sind.
UNTERBRECHUN
G DER
VERJÄHRUNGSFRI - Durch die Einleitung des Sanktionsverfahrens mit Wissen des Betroffenen, wobei die Frist neu beginnt, wenn das Sanktionsverfahren aus Grü nden, die nicht
ST FÜR DEN dem Beschuldigten zuzuschreiben sind, mehr als sechs Monate lang stillgestanden hat.
VERSTOSS.
Art. 75
GRADUIERUNGSK Art. 83.2 der SR. Bei der Entscheidung über die Verhängung eines Bußgeldes und dessen Höhe in jedem Einzelfall ist dies gebührend zu berücksichtigen:
RITERIEN (a)die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der
Art. 76 betroffenen Personen und des Ausmaßes des ihnen entstandenen Schadens;

16
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

(b)Vorsatz oder Fahrlässigkeit bei der Zuwiderhandlung;

(c)alle Maßnahmen, die der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ergriffen hat, um den den betroffenen Personen entstandenen Schaden
zu begrenzen;
(d)den Grad der Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der technischen oder
organisatorischen Maßnahmen, die sie gemäß den Artikeln 25 und 32 getroffen haben;
(e)alle früheren Verstöße des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters;
(f)das Ausmaß der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzustellen und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern;
(g)die Kategorien der von dem Verstoß betroffenen personenbezogenen Daten;
(h)die Art und Weise, in der die Aufsichtsbehörde von dem Verstoß Kenntnis erlangt hat, insbesondere ob und in welchem Umfang der Verstoß von dem für die
Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter gemeldet wurde;
(i)wenn die in Artikel 58 Absatz 2 genannten Maßnahmen gegen den betreffenden für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter in derselben
Angelegenheit bereits früher angeordnet wurden, die Einhaltung dieser Maßnahmen;
(j) dieEinhaltung von Verhaltenskodizes gemäß Artikel 40 oder von gemäß Artikel 42 genehmigten Zertifizierungssystemen und
(k)sonstige erschwerende oder mildernde Umstände, die auf den Fall zutreffen,wie z. B. ein durch den Verstoß unmittelbar oder mittelbar vermiedenerfinanzieller
Gewinn oder Verlust.
In Ü bereinstimmung mitArtikel 83 Absatz 2 Buchstabe k der Verordnung (EU) 2016/679 können sie ebenfalls berücksichtigt werden:
a)Die Dauerhaftigkeit des Verstoßes.
b)den Zusammenhang zwischen der Tä tigkeit des Tä ters und der Verarbeitung personenbezogener Daten.
(c)Gewinne, die durch die Begehung der Straftat erzielt wurden.
(d)die Mö glichkeit, dass das Verhalten der betreffenden Person zur Begehung des Verstoßes gefü hrt haben kö nnte.
(e)das Bestehen eines Fusionsprozesses durch Aufnahme nach der Begehung der Zuwiderhandlung, der nicht der aufnehmenden Einheit zugerechnet werden
kann.
f)Beeinträ chtigung der Rechte von Minderjä hrigen.
(g)einen Datenschutzbeauftragten haben, sofern dies nicht vorgeschrieben ist.
h)freiwillige Unterwerfung des fü r die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters unter alternative Streitbeilegungsverfahren in den
Fä llen, in denen es zu Streitigkeiten zwischen ihnen und einer betroffenen Partei kommt.
 Gegebenenfalls kö nnen die anderen in Artikel 5 genannten Abhilfemaßnahmen zusä tzlich oder alternativ zu den anderen in Artikel 5 genannten
Abhilfemaßnahmen ergriffen werden. 83.2.
VERÖFFENTLICH  IN THE BOE: Die Identifizierung des Tä ters und der begangenen Straftat.
UNG  WENN DIE ZUSTÄ NDIGE BEHÖ RDE DIE EEPD IST
 UND DIE STRAFE BETRÄ GT MEHR ALS 1.000.000€.
 UND DER STRAFTÄ TER EINE JURISTISCHE PERSON IST
ANMERKUNG: Handelt es sich bei der zustä ndigen Behö rde um eine regionale Behö rde, so gelten die entsprechenden Vorschriften.
Für bestimmte Anwendbar auf:
Kategorien von a)Verfassungsorgane oder Organe mit verfassungsrechtlicher Bedeutung und die ihnen entsprechenden Organe der Autonomen Gemeinschaften.
für die b)Die Gerichte.
Verarbeitung c)Die Allgemeine Staatsverwaltung, die Verwaltungen der Autonomen Gemeinschaften und die Einrichtungen der lokalen Verwaltung.
Verantwortlichen d)Ö ffentliche Einrichtungen und Einrichtungen des ö ffentlichen Rechts, die mit ö ffentlichen Verwaltungen verbunden oder von diesen abhä ngig sind.
oder (e)unabhä ngige Verwaltungsbehö rden.

17
 L.O. 3/2018 VOM 5. DEZEMBER 2018 ZUM SCHUTZ PERSONENBEZOGENER DATEN

f)Die Banco de Españ a.

g)Kö rperschaften des ö ffentlichen Rechts, wenn sich die Zwecke der Verarbeitung auf die Ausü bung ö ffentlich-rechtlicher Befugnisse beziehen.
(h)Stiftungen des ö ffentlichen Sektors.
i)Ö ffentliche Universitä ten.
(j)Konsortien.
k)Die Fraktionen der Cortes Generales und der Autonomen Legislativversammlungen sowie die Fraktionen der lokalen Kö rperschaften.

 Wenn eine der oben genannten Personen einen der Verstö ße begeht, erlä sst die zustä ndige Datenschutzbehö rde eine Entscheidung, in der sie mit einer
Verwarnung geahndet wird und in der die Maßnahmen festgelegt werden, die zu ergreifen sind, damit das Verhalten eingestellt oder die Auswirkungen
des Verstoßes korrigiert werden.
 Die Entscheidung wird der Kommission mitgeteilt:
o An die fü r die Verarbeitung verantwortliche Person
o dem Gremium, dem er/sie hierarchisch unterstellt ist, je nach Sachlage
Auftragsverarbeit o und gegebenenfalls die Betroffenen, die den Status einer interessierten Partei haben.
ern geltende  Unbeschadet der vorstehenden Ausfü hrungen wird die Datenschutzbehö rde auch die Einleitung eines Disziplinarverfahrens vorschlagen, wenn
Regelung ausreichende Beweise dafü r vorliegen. Dieses Verfahren und die damit verbundenen Sanktionen werden im Einklang mit der einschlä gigen Disziplinar-
Art. 77 oder Sanktionsregelung angewandt.
 Wenn die Verstö ße den BEHÖ RDEN UND VERWALTUNGSLEITERN zuzurechnen sind und das Vorhandensein von technischen Berichten oder
Behandlungsempfehlungen, die nicht ordnungsgemä ß behandelt wurden, nachgewiesen wird, enthä lt der Beschluss, in dem die Sanktion angegeben wird,
eineWenn die Verstö ße den BEHÖ RDEN UND VERWALTUNGSLEITERN zuzurechnen sind und das Vorhandensein von technischen Berichten oder
Behandlungsempfehlungen nicht ordnungsgemä ß anerkannt wurde, enthä lt der Beschluss, in dem die Sanktion angegeben wird, eine WARNUNG mit dem
Namen des VERANTWORTLICHEN und der Anweisung zur Verö ffentlichung im entsprechenden BOE- oder AUTONOMEN BULLETIN.
 Die Beschlü sse ü ber die in den vorangegangenen Abschnitten genannten Maßnahmen und Aktionen mü ssen der Datenschutzbehö rde mitgeteilt werden.
 Der OMBUDSMAN des OMBUDSMAN oder gegebenenfalls die entsprechenden Einrichtungen der autonomen Regionen werden ü ber die durchgefü hrten
Maßnahmen und die Beschlü sse unterrichtet.
 Handelt es sich bei der Datenschutzbehö rde um die AEPD, so verö ffentlicht diese die Entscheidungen auf ihrer WEBSITE mit der gebotenen Trennung und
unter ausdrü cklicher Angabe der Identitä t des fü r die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, der gegen die Entscheidung
verstoßen hat.
 Wenn die Zustä ndigkeit bei einer AUTONOMEN BEHÖ RDE liegt: Die Werbung erfolgt nach deren spezifischen Vorschriften.

Betrag von 40.000 € oder weniger Pro Jahr

Zwischen 40.0001 und 300.000€. Im Alter von 2 Jahren
VERJÄHRUNGSFRI
Betrag über 300.000 € Im Alter von 3 Jahren
ST FÜR
 Die Frist beginnt an dem Tag zu laufen, der auf den Tag folgt, an dem die Entscheidung, mit der die Sanktion verhä ngt wurde, vollstreckbar wird oder die
SANKTIONEN
Rechtsmittelfrist abgelaufen ist.
Art. 78
 Die Frist wird durch die Einleitung des Vollstreckungsverfahrens mit Wissen der betroffenen Partei unterbrochen und beginnt erneut zu laufen, wenn
dieses aus Grü nden, die nicht der sä umigen Partei anzulasten sind, lä nger als 6 MONATE unterbrochen ist.

18