Artikel 1 Gegenstand und Ziele

1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen vor Persönlichkeitsrechtsverletzungen und Vorschriften zum Schutz des freien Informationsflusses und des freien Verkehrs von Waren und Dienstleistungen.

2. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihre Persönlichkeitsrechte und deren Recht auf Schutz personenbezogener Daten bei der Verarbeitung personenbezogener Informationen.

3. Der freie Informationsfluss und der freie Verkehr von Waren und Dienstleistungen in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Informationen weder eingeschränkt oder verboten werden.

Artikel 2 Sachlicher Anwendungsbereich

1. Diese Verordnung gilt für die Verarbeitung personenbezogener Informationen durch private Unternehmen und Privatpersonen.

2. Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Informationen durch öffentliche Stellen der Europäischen Union und der Mitgliedsstaaten.

3. Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit von Anbietern von Vermittlungsdiensten unberührt.

Artikel 3 Räumlicher Anwendungsbereich

1. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Informationen, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt.

2. Die Verordnung findet Anwendung auf die Verarbeitung personenbezogener Informationen von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen, wenn die Datenverarbeitung

(a) dazu dient, diesen Personen in der Union Waren oder Dienstleistungen anzubieten, oder

(b) der Sammlung von Informationen über natürliche Personen in der Union dient.

3. Die Verordnung findet Anwendung auf jede Verarbeitung personenbezogener Informationen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen an einem Ort, der nach internationalem Recht dem Recht eines Mitgliedstaats unterliegt.

Artikel 4 Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck
(1) „personenbezogene Informationen“ alle Informationen, die direkt oder indirekt auf eine natürliche Person verweisen;

(2) „sensible Informationen“ alle Informationen, die – allein oder in Verbindung mit anderen Informationen – die inneren Gedanken oder Gefühle einer Person offenbaren können und die normalerweise ausschließlich in einer Vertrauensbeziehung offenbart werden.

(3) „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Informationen wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Übermittlung, die Verwendung, die Verbreitung oder jede andere Form der Bereitstellung, die Kommunikation, der Abgleich oder die Verknüpfung sowie das Löschen oder Vernichten der Informationen;

(4) „Erheben“ das Herstellen oder Beschaffen von Informationen über eine Person;

(5) „Sperren“ das Kennzeichnen gespeicherter personenbezogener Informationen, um ihre weitere Verarbeitung oder Nutzung einzuschränken;

(6) „Löschen“ physische Zerstörung von personenbezogenen Informationen oder ein vergleichbares Verfahren, das die künftige Verarbeitung der Informationen verhindert.

(7) „Übermitteln“ das Bekanntgeben personenbezogener Informationen an einen Dritten entweder durch

a. Weitergabe der Informationen an den Dritten oder

b. Bereithalten zum Abruf oder zur Einsicht durch den Dritten, oder

c. Verbreitung, Veröffentlichung oder sonstiges Zugänglichmachen;

(8) „Dritter“ jede natürliche oder juristische Person außer dem Datenverarbeiter oder einem Unternehmen aus derselben Unternehmensgruppe;

(9) „für die Verarbeitung Verantwortlicher“ die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Informationen entscheidet; sind die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Informationen durch einzelstaatliches oder Unionsrecht vorgegeben, können der für die Verarbeitung Verantwortliche beziehungsweise die Modalitäten seiner Benennung nach einzelstaatlichem oder Unionsrecht bestimmt werden;

(10) „Auftragsverarbeiter“ eine natürliche oder juristische Person, die personenbezogene Informationen im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;

(11) „Empfänger“ eine natürliche oder juristische Person, an die personenbezogene Informationen weitergegeben werden;

(12) „Einwilligung“ ist jede Willensbekundung, mit der eine Person zu verstehen gibt, dass sie mit der Verarbeitung von Informationen einverstanden ist;

(13) „Verletzung des Schutzes personenbezogener Informationen“ eine Verletzung der Sicherheit, die zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Informationen führt, die verarbeitet wurden;

(14) „genetische Informationen“ Informationen jedweder Art zu den ererbten oder während der vorgeburtlichen Entwicklung erworbenen Merkmalen eines Menschen;

(15) „biometrische Informationen“ Informationen zu den physischen, physiologischen oder verhaltenstypischen Merkmalen eines Menschen, die dessen eindeutige Identifizierung ermöglichen, wie Gesichtsbilder oder daktyloskopische Daten;

(16) „Gesundheitsinformationen“ Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person oder auf die Erbringung von Gesundheitsleistungen für die betreffende Person beziehen;

(17) „Geodaten“ Informationen mit direktem oder indirektem Bezug zu einem bestimmten Standort oder geografischen Gebiet.

(18) „Hauptniederlassung“ im Falle des für die Verarbeitung Verantwortlichen der Ort seiner Niederlassung in der Union, an dem die Grundsatzentscheidungen hinsichtlich der Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Informationen getroffen werden; wird über die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Informationen nicht in der Union entschieden, ist die Hauptniederlassung der Ort, an dem die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen in der Union hauptsächlich stattfinden. Im Falle des Auftragsverarbeiters bezeichnet „Hauptniederlassung“ den Ort, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat;

(19) „Vertreter“ jede in der Union niedergelassene natürliche oder juristische Person, die von dem für die Verarbeitung Verantwortlichen ausdrücklich bestellt wurde und in Bezug auf die diesem nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle handelt und gegenüber den Aufsichtsbehörden oder sonstigen Stellen in der Union als Ansprechpartner fungiert;

(20) „Unternehmen“ jedes Gebilde, das eine wirtschaftliche Tätigkeit ausübt, unabhängig von seiner Rechtsform, das heißt vor allem natürliche und juristische Personen sowie Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;

(21) „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht;

(22) „verbindliche unternehmensinterne Persönlichkeitsrechtsschutzregelungen“ Maßnahmen zum Schutz personenbezogener Informationen, zu deren Einhaltung sich ein im Hoheitsgebiet eines EU-Mitgliedstaats niedergelassener für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter für Informationsübermittlungen oder eine Kategorie von Informationsübermittlungen personenbezogener Informationen an einen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe in einem oder mehreren Drittländern verpflichtet;

(23) „Kind“ jede Person bis zur Vollendung des achtzehnten Lebensjahres;

(24) „Aufsichtsbehörde“ eine von einem Mitgliedstaat nach Maßgabe von Artikel 46 eingerichtete staatliche Stelle.

Artikel 5 Allgemeiner Grundsatz für die Verarbeitung personenbezogener Informationen

Personenbezogene Informationen dürfen nur nach Treu und Glauben und unter Rücksichtnahme auf Persönlichkeitsrechte der betroffenen Personen verarbeitet werden.

Artikel 6 Verarbeitung durch Unternehmen

Unternehmen dürfen personenbezogene Informationen nur verarbeiten

a) für festgelegte Zwecke und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise;

b) in einer transparenten Weise unter Einhaltung der Bestimmungen der Artikel 9 und 10 dieser Verordnung;

c) wenn die personenbezogenen Informationen sachlich richtig und auf dem neuesten Stand sind; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Informationen, die im Hinblick auf die Zwecke ihrer Verarbeitung unzutreffend sind, unverzüglich gelöscht oder berichtigt werden;

d) wenn die Verarbeitung der Informationen keine Rechte von Personen gemäß Artikel 11 und 12 dieser Verordnung verletzt.

Artikel 7 Sensible Informationen

1. Die Verarbeitung sensibler Informationen durch ein Unternehmen ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre ausdrückliche und spezifische Einwilligung zu der Verarbeitung der sie betreffenden sensiblen Informationen für einen oder mehrere genau festgelegte Zwecke gegeben.

b) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen.

c) Die Verarbeitung ist erforderlich, damit der für die Verarbeitung Verantwortliche seine ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen arbeitsrechtlichen Pflichten nachkommen kann, soweit dies nach den Vorschriften der Union oder dem Recht der Mitgliedstaaten, das angemessene Garantien vorsehen muss, zulässig ist.

d) Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt.

e) Die Verarbeitung ist nötig, um lebenswichtige Interessen der betroffenen Person oder einer anderen Person zu schützen, die aus physischen oder rechtlichen Gründen außerstande ist, eine Einwilligung zu geben.

f) Die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Erwerbszweck im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung nur auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Informationen nicht ohne Einwilligung der betroffenen Personen nach außen weitergegeben werden.

g) Die Verarbeitung bezieht sich auf Informationen, die die betroffene Person offenkundig öffentlich gemacht hat.

h) Die Verarbeitung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich.

i) Die Verarbeitung betrifft Gesundheitsdaten und ist vorbehaltlich der Bedingungen und Garantien des Artikels 81 für Gesundheitszwecke erforderlich.2. Die Verarbeitung von sensiblen Informationen für historische, statistische oder wissenschaftlich forschende Zwecke ist unter den Bedingungen und Garantien im Sinne von Artikel 83 rechtmäßig.

3. Die Verarbeitungen gemäß Absatz 1 Buchstabe d) müssen eine Rechtsgrundlage haben im

a) Unionsrecht oder

b) Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt.
Die einzelstaatliche Regelung muss ein im öffentlichen Interesse liegendes Ziel verfolgen oder zum Schutz der Rechte und Freiheiten Dritter erforderlich sein, den Wesensgehalt des Rechts auf den Schutz personenbezogener Informationen wahren und in einem angemessenen Verhältnis zu dem mit der Verarbeitung verfolgten legitimen Zweck stehen.

4. Ist der Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Informationen erhoben wurden, nicht vereinbar, muss auf die Verarbeitung mindestens einer der in Absatz 1 Buchstaben a bis e genannten Gründe zutreffen. Dies gilt insbesondere bei Änderungen von Geschäfts- und allgemeinen Vertragsbedingungen.

Artikel 8 Einwilligung

1. Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer sensiblen Informationen für eindeutig festgelegte Zwecke erteilt hat.

2. Soll die Einwilligung durch eine schriftliche Erklärung erfolgen, die noch einen anderen Sachverhalt betrifft, muss das Erfordernis der Einwilligung äußerlich erkennbar von dem anderen Sachverhalt getrennt werden.

3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit aus wichtigem Grund zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Artikel 9 Datenschutzerklärungen

1. Wenn ein Unternehmer personenbezogene Informationen verarbeitet, um eine Vertragsbeziehung zu begründen, zu entwickeln oder zu verändern, oder wenn ein Unternehmer einen Dienst der Informationsgesellschaft betreibt, hat er ausdrückliche und transparente Datenschutzerklärungen zur Verfügung zu stellen, an die er gebunden ist.

2. Der Unternehmer hat die Datenschutzerklärungen in verständlicher Form unter Verwendung einer klaren, einfachen und adressatengerechten Sprache zur Verfügung zu stellen.

3. In einer Vertragsbeziehung hat der Unternehmer die Datenschutzerklärung bei Vertragsschluss zur Verfügung zu stellen. Die Datenschutzerklärung muss schriftlich oder elektronisch bereit gehalten werden.

4. Beim Betrieb eines Dienstes der Informationsgesellschaft, hat der Unternehmer leicht zugängliche Versionen der aktuellen Datenschutzerklärungen bereit zu stellen. Nutzer des Dienstes müssen in der Lage sein, die Datenschutzerklärungen jederzeit herunterladen.

5. Wenn der Unternehmer damit rechen muss, dass es sich bei seinen Kunden oder Nutzern oft um Kinder handelt, müssen seine Datenschutzerklärungen in einer Weise formuliert sein, die leicht von Kindern verstanden werden kann. Unionsrechte und Gesetze der Mitgliedsstaaten über den Schutz von Minderjährigen bleiben unberührt.

Artikel 10 Transparenz

1. Datenschutzerklärungen müssen Kunden oder Nutzer informieren über

a) den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen sowie gegebenenfalls seines Vertreters und des Datenschutzbeauftragten,

b) die Art der persönlichen Informationen, die verarbeitet werden;

c) den Zweck der Verarbeitung persönlicher Informationen sowie der Grund, warum diese Informationen für diesen Zweck erforderlich ist;

d) die Übermittlung von personenbezogenen Informationen an Dritte;e) die Befugnisse, die sich der Unternehmer vorbehält, personenbezogene Informationen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Dienstes der Informationsgesellschaft zu verarbeiten und nutzen,

e) die Befugnisse, die sich der Unternehmer vorbehält, personenbezogene Informationen auch über die Laufzeit des Vertragsverhältnisses oder die Dauer der Nutzung des Dienstes der Informationsgesellschaft zu verarbeiten und nutzen,

f) die Erstellung, Verarbeitung, Übermittlung und Nutzung von Bewegungsprofilen unter Einsatz von Geodaten,

g) die technischen und organisatorischen Maßnahmen, die der Unternehmer ergreift zur Sicherung personenbezogener Informationen gegen den unbefugten Zugriff Dritter einschließlich der Verfahren der Verschlüsselung und Anonymisierung von Informationen (Datensicherheit),

h) die Möglichkeiten des Betroffenen, Auskunft über erhobene, verarbeitete, übermittelte und genutzte personenbezogene Informationen zu erhalten und Korrekturen von Unrichtigkeiten zu verlangen einschließlich der Möglichkeiten des Betroffenen, unmittelbar Einblick in die Informationen zu nehmen und Korrekturen selbst vorzunehmen,

i) die Rechte des Betroffenen, der Erhebung, Verarbeitung, Übermittlung und Nutzung von Informationen teilweise oder vollständig zu widersprechen,

j) die Verhaltenskodices und sonstigen Verhaltensregeln, zu deren Einhaltung sich der Unternehmer verpflichtet,

k) die Befugnisse, die sich der Unternehmer vorbehält, die Umstände der Erhebung, Verarbeitung und Nutzung personenbezogener Informationen gemäß Buchstabe (a) bis (j) zu ändern

2. Erfolgt die Verarbeitung personenbezogener Informationen in Verbindung mit einer vertraglichen Beziehung, hat der Unternehmer den Kunden über alle wichtigen Änderungen und Überarbeitungen der einschlägigen Datenschutzbestimmungen zu informieren. Der Unternehmer ist zu Änderungen berechtigt (Änderungsrecht),

a) wenn er berechtigte Interessen verfolgt und

b) wenn die Änderungen keine neuen Rechte zur Übermittlung personenbezogener Informationen an Dritte begründen.

3. Wenn der Unternehmer von seinem Änderungsrecht Gebrauch macht, hat er die Kunden über alle wesentlichen Änderungen an den Datenschutzbestimmungen zu informieren. Ein Kunde ist berechtigt, Änderungen zu widersprechen, wenn seine schutzwürdigen Interessen die Interessen des Unternehmers an den Änderungen überwiegen. Der Unternehmer hat Kunden bei Änderungen über ihr Widerspruchsrecht zu informieren.

4. Wenn ein Unternehmer persönliche Informationen für einen bestimmten, in seinen Datenschutzerklärungen genannten Zweck verarbeitet, darf er den Zweck nur ändern,

a) soweit ihm dies die Datenschutzerklärungen gestatten, und

b) wenn der Unternehmer die Bestimmungen der Absätze 1 bis 3 einhält.

5. Ein Unternehmer darf personenbezogene Informationen nicht an Dritte übermitteln, es sei denn

a) ihm ist dies durch seine Datenschutzerklärungen gestattet gemäß den Absätzen 1 bis e; oder

b) die betroffenen Personen haben hierzu Einwilligungen abgegeben.

6. Die Kommission kann Standardvorlagen für Datenschutzerklärungen gemäß Artikel 9 dieser Verordnung festlegen, wobei sie gegebenenfalls die Besonderheiten und Bedürfnisse der verschiedenen Sektoren und Verarbeitungssituationen berücksichtigt. Dabei ergreift die Kommission geeignete Maßnahmen für Kleinst und Kleinstunternehmen sowie mittlere Unternehmen. Die entsprechenden Durchführungsrechtsakte werden in Übereinstimmung mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 erlassen.

Artikel 11 Recht auf Berichtigung

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Berichtigung von unzutreffenden personenbezogenen Informationen zu verlangen. Die betroffene Person hat das Recht, die Vervollständigung unvollständiger personenbezogener Informationen, auch in Form eines Korrigendums, zu verlangen.

2. Statt der Berichtigung kann der für die Verarbeitung Verantwortliche persönliche Informationen für den Zeitraum sperren blockieren, den er benötigt, um die Richtigkeit der Informationen zu überprüfen, wenn die Richtigkeit von der betroffenen Person bestritten wird.

Artikel 12 Recht auf Löschung

1. Die betroffene Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung von sie betreffenden personenbezogenen Informationen und die Unterlassung jeglicher weiteren Verbreitung dieser Informationen zu verlangen, speziell wenn es sich um personenbezogene Informationen handelt, die die betroffene Person im Kindesalter öffentlich gemacht hat, sofern einer der folgenden Gründe zutrifft:

a) Die Informationen sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person legt gemäß Artikel 13 Widerspruch gegen die Verarbeitung ein.

c) Die Verarbeitung der Informationen ist aus anderen Gründen nicht mit der Verordnung vereinbar.

2. Der für die Verarbeitung Verantwortliche sorgt für eine umgehende Löschung der personenbezogenen Informationen, soweit deren Speicherung nicht erforderlich ist:

a) zur Ausübung des Rechts auf Kommunikationsfreiheit, sofern dieses Recht das betroffene Persönlichkeitsrecht überwiegt;

b) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit in Einklang mit Artikel 81;

c) für historische und statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung gemäß Artikel 83;

d) zur Erfüllung einer gesetzlichen Pflicht zur Vorhaltung der personenbezogenen Informationen, der der für die Verarbeitung Verantwortliche nach dem Unionsrecht oder dem Recht eines Mitgliedstaats unterliegt, wobei das mitgliedstaatliche Recht ein im öffentlichen Interesse liegendes Ziel verfolgen, den Wesensgehalt des Rechts auf den Schutz personenbezogener Informationen wahren und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss;

e) in den in Absatz 3 genannten Fällen.

4. Anstatt die personenbezogenen Informationen zu löschen, kann der für die Verarbeitung Verantwortliche die Informationen sperren, wenn

a) der für die Verarbeitung Verantwortliche die personenbezogenen Informationen für die Erfüllung seiner Aufgabe nicht länger benötigt, sie aber für Beweiszwecke weiter aufbewahrt werden müssen;

b) die Verarbeitung unrechtmäßig ist, die betroffene Person aber Einspruch gegen ihre Löschung erhebt und stattdessen deren eingeschränkte Nutzung fordert;

5. Die in Absatz 3 genannten personenbezogenen Informationen dürfen mit Ausnahme ihrer Speicherung nur verarbeitet werden, wenn sie für Beweiszwecke erforderlich sind, wenn die betroffene Person ihre Einwilligung gegeben hat oder die Rechte einer anderen natürlichen oder juristischen Person geschützt werden müssen oder wenn dies im öffentlichen Interesse liegt.

6. Unterliegt die Verarbeitung personenbezogener Informationen gemäß Absatz 3 einer Beschränkung, teilt der für die Verarbeitung Verantwortliche der betroffenen Person im Voraus mit, dass die Beschränkung aufgehoben werden soll.
Beschränkung aufgehoben werden soll.6. Wird eine Löschung vorgenommen, darf der für die Verarbeitung Verantwortliche die personenbezogenen Informationen nicht auf sonstige Weise verarbeiten.

Artikel 13 Direktwerbung

1. Werden personenbezogene Informationen verarbeitet, um Direktwerbung zu betreiben, hat die betroffene Person das Recht, dagegen unentgeltlich Widerspruch einzulegen. Die betroffene Person muss ausdrücklich in einer verständlichen und von anderen Informationen klar abgegrenzten Form auf dieses Recht hingewiesen werden.

2. Im Falle eines Widerspruchs darf der für die Verarbeitung Verantwortliche die betreffenden personenbezogenen Informationen nicht weiter nutzen oder anderweitig verarbeiten.

Artikel 14 Auf Profiling basierende Maßnahmen

1. Eine natürliche Person hat das Recht, nicht einer auf einer rein automatisierten Verarbeitung von Daten basierenden Maßnahme unterworfen zu werden, die ihr gegenüber rechtliche Wirkungen entfaltet oder sie in maßgeblicher Weise beeinträchtigt und deren Zweck in der Auswertung bestimmter Merkmale ihrer Person oder in der Analyse beziehungsweise Voraussage etwa ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht.

2. Unbeschadet der sonstigen Bestimmungen dieser Verordnung darf eine Person einer Maßnahme nach Absatz 1 nur unterworfen werden, wenn die Verarbeitung :

a) im Rahmen des Abschlusses oder der Erfüllung eines Vertrags vorgenommen wird und der Abschluss oder die Erfüllung des Vertrags auf Wunsch der betroffenen Person erfolgt ist oder geeignete Maßnahmen ergriffen wurden, um die berechtigten Interessen der betroffenen Person zu wahren, beispielsweise durch das Recht auf direkten persönlichen Kontakt, oder

b) ausdrücklich aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten gestattet ist und diese Rechtsvorschriften geeignete Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person enthalten oder

c) mit Einwilligung der betroffenen Person nach Maßgabe von Artikel 8 und vorbehaltlich entsprechender Garantien erfolgt.

3. Die automatisierte Verarbeitung personenbezogener Informationen zum Zwecke der Auswertung bestimmter persönlicher Merkmale einer natürlichen Person darf sich nicht ausschließlich auf sensible Informationen stützen.

4. In Fällen gemäß Absatz 2 müssen die von dem für die Verarbeitung Verantwortlichen gemäß Artikel 10 erteilten Auskünfte auch Angaben zu einer etwaigen Verarbeitung für die unter Absatz 1 beschriebenen Zwecke und die damit angestrebten Auswirkungen auf die betroffene Person beinhalten.

Artikel 15 Verhaltenserfassung

1. Wenn ein Unternehmen einen Dienst der Informationsgesellschaft betreibt, darf es Informationen über das Nutzerverhalten erfassen, verarbeiten und nutzen zu Zwecken

a) der Wartung und Datensicherheit; oder

b) der Analyse der Nutzung des Dienstes; oder

c) des Marketing einschließlich individualisierter Werbung sowie

d) zu ähnlichen Zwecken.2. Die Verhaltenserfassung ist nur dann zulässig, wenn Datenschutzerklärungen gemäß Art. 9 den Nutzer in hervorgehobener Weise über die Verhaltenserfassung informieren.3. Der Unternehmer hat dem Nutzer wirksame Mittel bereitzustellen zur Verhinderung der eingesetzten Verhaltenserfassung, wenn nicht die Interessen des Unternehmers an der Verhaltenserfassung die schutzwürdigen Interessen des Nutzers überwiegen.

4. Sensible Informationen dürfen zur Verhaltenserfassung nur verarbeitet werden, wenn eine wirksame Einwilligung des Nutzers gemäß Artikel 8 dieser Verordnung vorliegt.

Artikel 16 Datenschutz durch Technik

1. Der Unternehmer hat in jedem Stadium der Entwicklung, Konstruktion, Änderung und Erweiterung von Verfahren sicherstellen, dass die folgenden Richtlinien insoweit eingehalten werden, als dies

a) möglich und zumutbar ist;

b) ohne dem Unternehmer eine Belastung aufzubürden, die nicht durch die berechtigten Interessen der Betroffenen gerechtfertigt werden kann.

2. Die Verfahren sind so auszugestalten, dass personenbezogene Informationen automatisch gelöscht werden, wenn sie für den Verwendungszweck nicht mehr benötigt werden und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Eine Archivierung und Nutzung ausschließlich zu Beweiszwecken bleibt erlaubt.

3. Die Sicherheit der Verfahren ist am Stand der Technik auszurichten. Insbesondere sind personenbezogene Informationen gegen den unbefugten Zugriff Dritter nach dem Stand der Technik zu schützen.

4. Sensible Informationen bedürfen eines erhöhten Schutzes. Dies ist insbesondere bei der Gestaltung von Administratoren- und anderen Zugriffsrechten zu berücksichtigen.

5. Bei der Gestaltung von Datenschutz erklärungen (Artikel 9) oder vorformulierten Einwilligungen (Artikel 8) sind Standards zu berücksichtigen, die sich in der Praxis entwickelt haben und die Gewohnheiten der Betroffenen prägen

6. Die Erhebung und die Übermittlung von personenbezogenen Informationen sind rückverfolgbar zu gestalten. Dies gilt auch für sämtliche Versionsstände der Datenschutzerklärungen (Artikel 9).

7. Bei der Bildung von Bewegungsprofilen (art. 10 Abs. 5 (e) und der Verhaltenserfassung (Art. 15) sind die Verfahren so zu gestalten, dass dem Betroffenen technische Mittel zur Verfügung stehen, mit deren Hilfe er die Bildung von Profilen dauerhaft oder vorübergehend verhindern kann.

8. Dem Betroffenen sind angemessene, wirksame und zugängliche technische Mittel zur Verfügung zu stellen, mit deren Hilfe er fehlerhafte personenbezogene Informationen erkennen und berichtigen kann.