Artikel 86 DSGVO-EU: Befugnisübertragung

1. Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen.

2. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 5, Artikel 8 Absatz 3, Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 wird der Kommission auf unbestimmte Zeit ab Inkrafttreten dieser Verordnung übertragen.

3. Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 6 Absatz 5, Artikel 8 Absatz 3, Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Der Beschluss wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem darin angegebenen späteren Zeitpunkt wirksam. Er berührt nicht die Gültigkeit von bereits in Kraft getretenen delegierten Rechtsakten.

4. Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat.

5. Ein delegierter Rechtsakt, der gemäß Artikel 6 Absatz 5, Artikel 8 Absatz 3, Artikel 9 Absatz 3, Artikel 12 Absatz 5, Artikel 14 Absatz 7, Artikel 15 Absatz 3, Artikel 17 Absatz 9, Artikel 20 Absatz 6, Artikel 22 Absatz 4, Artikel 23 Absatz 3, Artikel 26 Absatz 5, Artikel 28 Absatz 5, Artikel 30 Absatz 3, Artikel 31 Absatz 5, Artikel 32 Absatz 5, Artikel 33 Absatz 6, Artikel 34 Absatz 8, Artikel 35 Absatz 11, Artikel 37 Absatz 2, Artikel 39 Absatz 2, Artikel 43 Absatz 3, Artikel 44 Absatz 7, Artikel 79 Absatz 6, Artikel 81 Absatz 3, Artikel 82 Absatz 3 und Artikel 83 Absatz 3 erlassen worden ist, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb von zwei Monaten nach Übermittlung des Rechtsakts Einwände erhoben haben oder wenn vor Ablauf dieser Frist sowohl das Europäische Parlament als auch der Rat der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um zwei Monate verlängert.

Entwurf!

Begründung:

(3.4. Erläuterung des Vorschlags im Einzelnen)

"Artikel 86 enthält die Standardbestimmung für die Übertragung der Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 290 AEUV. Der Gesetzgeber kann der Kommission danach die Befugnis übertragen, Rechtsakte ohne Gesetzescharakter mit allgemeiner Geltung zur Ergänzung oder Änderung bestimmter nicht wesentlicher Vorschriften eines Gesetzgebungsakts zu erlassen ("quasi-legislative Rechtsakte")."

Erwägungsgründe:

"(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext und zu historischen und statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.

(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern, Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz-Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren,[45] ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen.

(131) Die Standardvorlagen für die Einwilligung im Falle von Kindern, die Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, die Standardvorlagen für die Unterrichtung der betroffenen Person, die Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, die Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, die besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, die Standards und Verfahren für Datenschutz-Folgenabschätzungen, die Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, die technischen Standards und Verfahren für die Zertifizierung, die Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, die Fälle der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, die Vorschriften für die Amtshilfe, für gemeinsame Maßnahmen und Beschlüsse im Rahmen des Kohärenzverfahrens sollten im Wege des Prüfverfahrens festgelegt werden, da es sich um Rechtsakte von allgemeiner Tragweite handelt.

(132) Die Kommission sollte in hinreichend begründeten Fällen äußerster Dringlichkeit, die ein Drittland oder ein Gebiet oder einen Verarbeitungssektor in diesem Drittland oder eine internationale Organisation betreffen, die kein angemessenes Schutzniveau gewährleisten, und sich auf Angelegenheiten beziehen, die von Aufsichtsbehörden im Rahmen des Kohärenzverfahrens mitgeteilt wurden, sofort geltende Durchführungsrechtsakte erlassen.

(133) Da die Ziele dieser Verordnung, nämlich ein gleiches Maß an Datenschutz für den Einzelnen und freier Datenverkehr in der Union, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen sind, kann die Union im Einklang mit dem Subsidiaritätsprinzip gemäß Artikel 5 des Vertrags über die Europäische Union tätig werden. Entsprechend dem in demselben Artikel genannten Verhältnismäßigkeitsprinzip geht diese Verordnung nicht über das für die Erreichung dieser Ziele erforderliche Maß hinaus."

Quelle: Europäischen Kommission: "Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */" vom 25.01.2012.