(1) Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erläßt, auf alle Verarbeitungen personenbezogener Daten an, 

a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt. Wenn der Verantwortliche eine Niederlassung im Hoheitsgebiet mehrerer Mitgliedstaaten besitzt, ergreift er die notwendigen Maßnahmen, damit jede dieser Niederlassungen die im jeweils anwendbaren einzelstaatlichen Recht festgelegten Verpflichtungen einhält; 

b) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht in seinem Hoheitsgebiet, aber an einem Ort niedergelassen ist, an dem das einzelstaatliche Recht dieses Mitgliedstaats gemäß dem internationalen öffentlichen Recht Anwendung findet; 

c) die von einem für die Verarbeitung Verantwortlichen ausgeführt werden, der nicht im Gebiet der Gemeinschaft niedergelassen ist und zum Zwecke der Verarbeitung personenbezogener Daten auf automatisierte oder nicht automatisierte Mittel zurückgreift, die im Hoheitsgebiet betreffenden Mitgliedstaats belegen sind, es sei denn, daß diese Mittel nur zum Zweck der Durchfuhr durch das Gebiet der Europäischen Gemeinschaft verwendet werden. 

(2) In dem in Absatz 1 Buchstabe c genannten Fall hat der für die Verarbeitung Verantwortliche einen im Hoheitsgebiet des genannten Mitgliedstaats ansässigen Vertreter zu benennen, unbeschadet der Möglichkeit eines Vorgehens gegen den für die Verarbeitung Verantwortlichen selbst. 
 

(1) Dieses Gesetz findet Anwendung auf alle Verarbeitung personenbezogener Daten, die 

a) die für die Verarbeitung verantwortliche Stelle in einer festen Einrichtung im Geltungsbereich dieses Gesetzes durchführt;

b) von der verantwortlichen Stelle mit automatischen und nicht-automatischen Mitteln, die sich im Geltungsbereich dieses Gesetzes befinden, durchgeführt wird, es sei denn, daß diese Mittel nur zum Zweck der Durchführung verwendet werden.

(2) In dem in Absatz 1, Buchstabe b) genannten Fall hat die verantwortliche Stelle einen im Geltungsbereich dieses Gesetzes ansässigen Vertreter zu benennen, unbeschadet der Möglichkeit eines Vorgehens gegen die verantwortliche Stelle selbst.
 

(a) Bei Sitz im Bundesgebiet ist es klar, daß das deutsche Recht angewandt wird.

(b) Wo kann man die Grenze zwischen Durchführung und Verarbeitung ziehen? Auf der einen Seite sollte der Bürger geschützt werden, auf der anderen Seite sollte die Arbeit vor allem von Firmen nicht übermäßig behindert werden.

(1) Die Mitgliedstaaten sehen vor, daß die Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind oder nach der Übermittlung verarbeitet werden sollen, in ein Drittland vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. 

(2) Die Angemessenheit des Schutzniveaus, das ein Drittland bietet, wird unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen; insbesondere werden die Art der Daten, die Zweckbestimmung sowie die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die in dem betreffenden Drittland geltenden allgemeinen oder sektoriellen Rechtsnormen sowie die dort geltenden Standesregeln und Sicherheitsmaßnahmen berücksichtigt. 

(3) Die Mitgliedstaaten und die Kommission unterrichten einander über die Fälle, in denen ihres Erachtens ein Drittland kein angemessenes  Schutzniveau im Sinne des Absatzes 2 gewährleistet. 

(4) Stellt die Kommission nach dem Verfahren des Artikels 31 Absatz 2 fest, daß ein Drittland kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels aufweist, so treffen die Mitgliedstaaten die erforderlichen Maßnahmen, damit keine gleichartige  Datenübermittlung in das Drittland erfolgt. 

(5) Zum geeigneten Zeitpunkt leitet die Kommission Verhandlungen ein, um Abhilfe für die gemäß Absatz 4 festgestellte Lage zu schaffen. 

(6) Die Kommission kann nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des  Absatzes 2 gewährleistet. Die Mitgliedstaaten treffen die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. 

(1) Die Übermittlung personenbezogener Daten in ein Drittland ist zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. Das Schutzniveau gilt als gewährleistet, wenn die Kommission oder die Aufsichtsbehörde dies feststellt.

(2) Die Übermittlung von personenbezogenen Daten ist nicht zulässig, wenn die Kommission oder die Aufsichtsbehörde feststellt, daß das Drittland kein angemessenes Schutzniveau gewährleistet.

(3) Die Angemessenheit des Schutzniveaus wird von der Aufsichtsbehörde unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder eine Kategorie von Datenübermittlungen eine Rolle spielen, insbesondere hinsichtlich des Schutzes der Persönlichkeitsrechte des Betroffenen.
 

(1) Diese Angemessenheit muß natürlich nach genauen Kriterien beurteilt werden (siehe Gruppe29, WP 12) und kann z.B. auch durch Verträge wie ,Nr.108" gewährleistet werden.

Dies bedeutet auch, daß eine positive Einstufung vorliegen muß, damit eine Übermittlung zulässig ist.

,Kommission" bezieht sich auf die EU-Kommission.

(3) Hier könnte noch eine Verordnungsermächtigung für eine einheitliche Regelung eingefügt werden.

(1) Abweichend von Artikel 25 sehen die Mitgliedstaaten vorbehaltlich entgegenstehender Regelungen für bestimmte Fälle im innerstaatlichen Recht vor, daß eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, vorgenommen werden kann, sofern 

a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder 

 b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder 

c) die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person vom für die Verarbeitung Verantwortlichen mit einem Dritten geschlossen wurde oder geschlossen werden soll, oder 

d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder 

e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder 

f) die Übermittlung aus einem Register erfolgt, das gemäß den Rechts- oder Verwaltungsvorschriften zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur 
Einsichtnahme offensteht, soweit die gesetzlichen Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. 
 
 
 

(2) Unbeschadet des Absatzes 1 kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in  ein Drittland genehmigen, das kein angemessenes Schutzniveau im Sinne des Artikels 25 Absatz 2 gewährleistet, wenn der für die Verarbeitung  Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet; diese Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben. 

(3) Der Mitgliedstaat unterrichtet die Kommission und die anderen Mitgliedstaaten über die von ihm nach Absatz 2 erteilten Genehmigungen. Legt ein anderer Mitgliedstaat oder die Kommission einen in bezug auf den Schutz der Privatsphäre, der Grundrechte und der Personen hinreichend begründeten Widerspruch ein, so erläßt die Kommission die geeigneten Maßnahmen nach dem Verfahren des Artikels 31 Absatz 2. Die Mitgliedstaaten treffen die aufgrund des Beschlusses der Kommission gebotenen Maßnahmen. 

(4) Befindet die Kommission nach dem Verfahren des Artikels 31 Absatz 2, daß bestimmte Standardvertragsklauseln ausreichende Garantien  gemäß Absatz 2 bieten, so treffen die Mitgliedstaaten die aufgrund der Feststellung der Kommission gebotenen Maßnahmen. 
 

(a) die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat oder

(b) die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist oder

(c) die Übermittlung zum Abschluß oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse der betroffenen Person von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, und der Betroffene kein schutzwürdiges Interesse am Ausschluß der Übermittlung hat oder

(d) die Übermittlung entweder für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist oder

(e) die Übermittlung für die Wahrung lebenswichtiger Interessen der betroffenen Person erforderlich ist oder

(f) die Übermittlung der Daten aus allgemein zugänglichen Quellen entnommen werden und dabei kein schutzwürdiges Interesse verletzt wird.

(6) Die Kommission wird über nach Absatz 3 erteilte Genehmigungen und über Fälle, in denen ein Drittland kein angemessenes Schutzniveau gewährleistet unterrichtet.
 

(b) Bei Vertragsabschluß sollte sich der Betroffene über die Folgen bewußt sein, ein Vertrag kann also als Zustimmung gesehen werden.
Der beste Weg wäre, wenn die Vertragspartner klar definieren, welche Daten übermittelt werden.
 

(c) "schutzwürdige Interessen" entsprechen den Zielen der EU- Richtlinie (Art. 1) bzw. denen des neuen BDSG.

(d) Hierzu zählen Landesverteidigung, öffentliche Sicherheit u.ä.. Außerdem wird noch sichergestellt, daß von anderen Gesetzen geforderte Übermittlung nicht durch das Datenschutzgesetz beschränkt wird.
 

(e) Dies umfaßt Übermittlung zum Schutz der betroffenen Person.
 

(f) Wir haben hier die Rücksicht auf die schutzwürdigen Interessen eingefügt, da eine Zusammenstellung von Daten aus mehreren öffentlichen Quellen (data mining) eine neue Qualität von Daten darstellt (im Vergleich zu einfachen öffentlichen Quelle. Außerdem muß man bedenken, daß öffentlich bedeutet, daß ein nicht bestimmbarer Personenkreis auf die Daten zugreifen kann und dies nicht mit ,Der Öffentlichkeit" übereinstimmt.

(6) Hiermit werden die Informationspflichten des Bundes zusammengefaßt.
 

• Daten sind nur für einen spezifischen Zweck zu verwenden.
• Die Daten dürfen nicht willkürlich benutzt werden.

• Daten müssen sachlich richtig sein
• Der Umfang der Daten muß dem Zweck angemessen sein.

• Der Betroffene soll über den Umgang mit seinen personenbezogenen Daten informiert sein, es sein denn, dies würde einen unverhältnismäßigen Aufwand erzeugen.

• Die Daten müssen vor Mißbrauch geschützt werden.
• Es müssen technische und organisatorische Maßnahmen zum Schutz ergriffen werden.
• Die Verantwortlichkeit der Datenverarbeitung muß geklärt sein.

• Der Betroffenen muß das Recht auf Zugriff, Berichtigung und Widerspruch in Bezug auf seine Daten besitzen.

• Im Drittland muß eine hohe Befolgungsrate vorliegen.
• Die Unterstützung bei der Wahrung seiner Rechte und Entschädigung des Betroffenen muß geregelt sein.