Artikel 47

Verbindliche interne Datenschutzvorschriften

  • (1)   Die zustĂ€ndige Aufsichtsbehörde genehmigt gemĂ€ĂŸ dem KohĂ€renzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese
  • a) rechtlich bindend sind, fĂŒr alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch fĂŒr ihre BeschĂ€ftigten gilt,
  • b) den betroffenen Personen ausdrĂŒcklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten ĂŒbertragen und
  • c) die in Absatz 2 festgelegten Anforderungen erfĂŒllen.
  • a) Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, und jedes ihrer Mitglieder;
  • b) die betreffenden DatenĂŒbermittlungen oder Reihen von DatenĂŒbermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden DrittlĂ€nder;
  • c) interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften;
  • d) die Anwendung der allgemeinen DatenschutzgrundsĂ€tze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, DatenqualitĂ€t, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage fĂŒr die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen fĂŒr die WeiterĂŒbermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen;
  • e) die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zustĂ€ndigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zustĂ€ndigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten;
  • f) die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter ĂŒbernommene Haftung fĂŒr etwaige VerstĂ¶ĂŸe eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollstĂ€ndig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann;
  • g) die Art und Weise, wie die betroffenen Personen ĂŒber die Bestimmungen der Artikel 13 und 14 hinaus ĂŒber die verbindlichen internen Datenschutzvorschriften und insbesondere ĂŒber die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden;
  • h) die Aufgaben jedes gemĂ€ĂŸ Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist;
  • i) die Beschwerdeverfahren;
  • j) die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, bestehenden Verfahren zur ÜberprĂŒfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten DatenschutzĂŒberprĂŒfungen und Verfahren zur GewĂ€hrleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger ÜberprĂŒfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, mitgeteilt werden und sollten der zustĂ€ndigen Aufsichtsbehörde auf Anfrage zur VerfĂŒgung gestellt werden;
  • k) die Verfahren fĂŒr die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde;
  • l) die Verfahren fĂŒr die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sĂ€mtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, gewĂ€hrleisten, insbesondere durch Offenlegung der Ergebnisse von ÜberprĂŒfungen der unter Buchstabe j genannten Maßnahmen gegenĂŒber der Aufsichtsbehörde;
  • m) die Meldeverfahren zur Unterrichtung der zustĂ€ndigen Aufsichtsbehörde ĂŒber jegliche fĂŒr ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame WirtschaftstĂ€tigkeit ausĂŒben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und
  • n) geeignete Datenschutzschulungen fĂŒr Personal mit stĂ€ndigem oder regelmĂ€ĂŸigem Zugang zu personenbezogenen Daten.
  • (3)   Die Kommission kann das Format und die Verfahren fĂŒr den Informationsaustausch ĂŒber verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese DurchfĂŒhrungsrechtsakte werden gemĂ€ĂŸ dem PrĂŒfverfahren nach Artikel 93 Absatz 2 erlassen.