Datenschutzbehörde & Sie

Gemäß DSGVO liegt die Durchsetzung in der Verantwortung der nationalen Datenschutzbehörden (DPA). Jedes EWR-Land verfügt über eine eigene unabhängige Datenschutzbehörde, die die Anwendung der DSGVO, einschließlich der Bearbeitung von Beschwerden, überwacht. Für die Datenverarbeitung in mehr als einem EWR-Land sieht die DSGVO ein System der Zusammenarbeit zwischen den zuständigen Datenschutzbehörden vor, um einen Konsens zu erzielen. Überblick über die DPAs.

Die DSGVO sieht bestimmte Rechte für Einzelpersonen vor, einschließlich des Rechts auf Beschwerde bei der zuständigen Behörde, wenn sie befürchten, dass ihre Datenschutzrechte verletzt wurden.

Aufgaben und Befugnisse der Datenschutzbehörden

Aufgaben der Datenschutzbehörden

Jeder Datenschutzbeauftragte des EWR ist dafür verantwortlich, die Anwendung der DSGVO zu überwachen und durchzusetzen und die Öffentlichkeit für die Risiken, Regeln, Garantien und Rechte in Bezug auf die Verarbeitung personenbezogener Daten zu sensibilisieren. Die Datenschutzbehörden haben auch die Aufgabe, das nationale Parlament, die Regierung und andere Organe und Einrichtungen zu beraten und jedem Einzelnen Informationen über die Ausübung ihrer Rechte zur Verfügung zu stellen. Datenschutzbehörden fördern auch das Bewusstsein der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter für ihre Verpflichtungen aus der DSGVO. Datenschutzbehörden bearbeiten Beschwerden von Einzelpersonen, führen Untersuchungen zur ordnungsgemäßen Anwendung der DSGVO durch und arbeiten mit anderen Datenschutzbehörden bei der Anwendung der DSGVO zusammen. Die Behörden sind auch zuständig für:

  • Annahme und Genehmigung von Standardvertragsklauseln;
  • Genehmigung verbindlicher Unternehmensvorschriften;
  • Genehmigung von Verhaltenskodizes;
  •  Förderung der Einrichtung von Datenschutzzertifizierungsmechanismen;
  •  Beitrag zu den Tätigkeiten des EDSA;
  •  Erfüllung sonstiger Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten.
Link
Art. 57 DSGVO

EUR-Lex

Befugnisse der DPA

Im Rahmen der DSGVO wurden die Durchsetzungsbefugnisse der nationalen Datenschutzbehörden deutlich erweitert. Art. 58 DSGVO definiert die Befugnisse jeder dieser nationalen Behörden, indem sie sie in drei große Gruppen unterteilt:

  • Ermittlungsbefugnisse;
  • Korrekturbefugnisse;
  • Beratungsbefugnisse.

Ermittlungsbefugnisse

Die Datenschutzbehörden üben ihre Untersuchungsbefugnisse aus, um festzustellen, ob ein Verstoß gegen die DSGVO vorliegt, ihren genauen Anwendungsbereich und ihre Art. DPAs können unter anderem:

  • Die Organisationen auffordern, alle Informationen im Zusammenhang mit einer Untersuchung bereitzustellen.
  • Untersuchungen in Form von Datenschutzaudits durchführen und Organisationen über einen mutmaßlichen Verstoß gegen die DSGVO informieren.
  • Zugang zu allen personenbezogenen Daten, die sich im Besitz einer Organisation befinden, und zu allen Informationen zu erhalten, die für die Wahrnehmung ihrer Aufgaben erforderlich sind, einschließlich des Zugangs zu den Räumlichkeiten der Organisation, inklusive aller Datenverarbeitungsgeräte und -mittel, im Einklang mit dem EU- und nationalen Verfahrensrecht.
  • Durchführung einer Überprüfung von Zertifizierungen gemäß Art. 42.7 DSGVO.

Korrekturbefugnisse

Wenn ein Verstoß gegen die DSGVO-Bestimmungen infolge der Untersuchung festgestellt oder davon ausgegangen wird, dass ein Verarbeitungsvorgang Risiken birgt oder bestimmte Anforderungen nicht erfüllt, haben die Datenschutzbehörden das Recht, eine oder mehrere ihrer Korrekturbefugnisse auszuüben, z. B.:

  • Warnung oder Verbot der Verarbeitung: im Falle bestehender Risiken können DPAs gegenüber Organisationen Warnungen aussprechen, um zu verhindern, dass ihre Verarbeitungsvorgänge gegen die Bestimmungen der DSGVO verstoßen. Datenschutzbehörden können auch eine vorübergehende oder endgültige Beschränkung, einschließlich eines Verbots der Verarbeitung von Organisationen, anordnen und anweisen, den betroffenen Personen die Datenschutzverletzungen mitzuteilen.
  • Compliance-Auftrag: Um die Einhaltung der DSGVO zu gewährleisten oder um Fälle zu behandeln, in denen bestimmte Kriterien oder Anforderungen nicht erfüllt sind, sind die Datenschutzbehörden befugt, Organisationen zu beauftragen, den Anfragen von Einzelpersonen zur Ausübung ihrer Rechte gemäß der DSGVO nachzukommen. Gegebenenfalls könnten Organisationen aufgefordert werden, ihre Verarbeitungsvorgänge in einer bestimmten Weise und innerhalb eines bestimmten Zeitraums mit den Bestimmungen der DSGVO in Einklang zu bringen.
  • Aussetzung der Datenströme oder Entzug der Zertifizierung: Darüber hinaus können die Datenschutzbehörden ihre Befugnisse ausüben, um Datenübermittlungen an Empfänger in Drittländern oder an internationale Organisationen auszusetzen. Sie können außerdem die Zertifizierung entziehen oder die Zertifizierungsstelle anordnen, eine ausgestellte Zertifizierung gemäß Art. 42 und 43 DSGVO zu entziehen. In Fällen, in denen die Zertifizierungsanforderungen nicht oder nicht mehr erfüllt sind, können sie die Zertifizierungsstelle beauftragen, keine Zertifizierung auszustellen.
  • Rügen: Bei festgestellten Verstößen können DPA Organisationen zurechtweisen.
  • Geldbußen: Darüber hinaus können die Datenschutzbehörden neben oder anstelle der oben genannten Maßnahmen auch Verwaltungsgeldbußen gemäß Art. 83 DSGVO verhängen. Die Verwaltungssanktionsregelung erfordert eine Einzelfallprüfung der Umstände jedes einzelnen Verstoßes. Bei der Bewertung sollten Faktoren wie Art, Schwere und Dauer des Verstoßes, die vorsätzliche oder fahrlässige Natur, eventuell durchgeführte Schadensbegrenzungsschritte, die technischen und organisatorischen (d. h. Sicherheits-) Maßnahmen, die umgesetzt wurden und wie die Datenschutzbehörde auf das Problem aufmerksam wurde, berücksichtigt werden.

Der Höchstbetrag der potenziellen Sanktion hängt von der Art des Verstoßes ab:

  • Sie kann bis zu einem Höchstbetrag von 10 Mio. EUR oder 2 % des weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr (z. B. bei Verletzung von „Privacy by design and by default“, Nichteinhaltung der Verpflichtung zum Abschluss einer Datenverarbeitungsvereinbarung oder Nichtdurchführung einer Datenschutz-Folgenabschätzung oder zur Ernennung eines Datenschutzbeauftragten) gemäß Art. 83.4 DSGVO betragen; oder
  • sie kann bis zu maximal 20 Millionen oder 4 % des weltweiten Gesamtumsatzes im vorangegangenen Geschäftsjahr betragen (z. B. bei Verletzung der Grundprinzipien der Verarbeitung, bei der unrechtmäßigen Verarbeitung personenbezogener Daten ohne Rechtsgrundlage oder bei Verstößen gegen Rechte der betroffenen Person) nach Art. 83.5 DSGVO. 

Weitere Einzelheiten zu den Geldbußen im Zusammenhang mit Verstößen gegen verschiedene DSGVO-Artikel finden Sie in Art. 83 DSGVO und den EDSA-Leitlinien zur Berechnung von Geldbußen im Rahmen der DSGVO.

Link
Art. 83 DSGVO

EUR-Lex

Link
Leitlinien für die Berechnung von Geldbußen

EDSA

Link
Leitlinien für die Anwendung und Festsetzung von Geldbußen

WP29

Beratungsbefugnisse

Jede Datenschutzbehörde hat im Rahmen der DSGVO eine bestimmte Berechtigungs- und Beratungsfunktion, durch die sie Organisationen unterstützen oder spezifische Verarbeitungstätigkeiten genehmigen können. Einige Beispiele sind:

  • Vorherige Konsultation: Beratung der für die Verarbeitung Verantwortlichen im Rahmen des vorherigen Konsultationsverfahrens nach Art. 36 DSGVO.
  • Stellungnahmen zu legislativen Tätigkeiten: Entweder von sich aus oder auf Antrag Stellungnahmen an nationale Parlamente, Regierungen oder – im Einklang mit dem nationalen Recht – an andere Organe und Einrichtungen sowie an die Öffentlichkeit zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten.
  • Verhaltens- und Zertifizierungskodizes: Genehmigung von Entwürfen von Verhaltenskodizes, Akkreditierung von Zertifizierungsstellen oder Erteilung von Zertifizierungen und Genehmigung von Zertifizierungskriterien.

Die Ausübung der oben genannten Befugnisse der Datenschutzbehörden unterliegt angemessenen Garantien, einschließlich eines wirksamen gerichtlichen Rechtsbehelfs und eines ordnungsgemäßen Verfahrens, wie sie im EU-Recht und im nationalen Recht im Einklang mit der Charta der Grundrechte der EU festgelegt sind. Jede Datenschutzbehörde ist befugt, Verstöße gegen die DSGVO den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls ein Gerichtsverfahren einzuleiten oder anderweitig einzuleiten, um die Bestimmungen der DSGVO durchzusetzen. Den Datenschutzbehörden können durch ihr nationales Recht zusätzliche Befugnisse übertragen werden.

Link
Art. 58 DSGVO

EUR-Lex

Zusammenarbeit und One-Stop-Shop

Die DSGVO gilt im gesamten EWR unter Verwendung einheitlicher Datenschutzvorschriften für alle Länder. Dieser Ansatz unterstützt internationale Unternehmen, aber auch KMU bei ihren Bemühungen, sich zu entwickeln und zu wachsen, indem sie ihre Dienstleistungen in mehr als einem EWR-Land anbieten.

Um den Verwaltungsaufwand bei der Verarbeitung personenbezogener Daten in zwei oder mehreren EWR-Ländern zu verringern, bietet die DSGVO ein System für die Zusammenarbeit zwischen den Datenschutzbehörden – den sogenannten „One-Stop-Shop“-Mechanismus, um einen Konsens zwischen den zahlreichen Datenschutzbehörden zu erzielen.

Verarbeitet eine Organisation Daten in zwei oder mehr EWR-Ländern, so ist beispielsweise die zuständige Behörde, die sich mit einer Beschwerde oder einer Datenschutzverletzung befasst, die des Landes, in dem der für die Verarbeitung Verantwortliche seinen Hauptgeschäftssitz hat. Dies erleichtert es den Verantwortlichen, da sie in jedem Land, in dem sie tätig sind, nicht die unterschiedlichen Gesetze einhalten müssen. Darüber hinaus müssen sie nur mit einer DPA interagieren. Abhängig von der Art des Unternehmens und den Produkten und Dienstleistungen, die Sie anbieten, kann die grenzüberschreitende Verarbeitung auch für Ihr KMU gelten. Viele kleinere Unternehmen, wie Online-Shops, E-Commerce-Websites, mobile und Computeranwendungen, bieten Dienstleistungen in mehreren Ländern an.

Wenn Ihr KMU Daten von Einzelpersonen in verschiedenen EWR-Ländern verarbeitet, sind Sie verpflichtet, festzustellen, welches die zuständige Datenschutzbehörde oder die federführende Behörde ist. Dies ist in der Regel die DPA, die sich in dem EWR-Land befindet, in dem sich der Sitz Ihrer Organisation befindet und in dem Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden.

In der Praxis

  • Online-Händler, die beispielsweise Kleidung über ihre Webshops an Kunden in mehreren EWR-Ländern verkaufen, können und verarbeiten häufig personenbezogene Daten. In einem solchen grenzüberschreitenden Fall muss die zuständige Behörde das Land der Hauptniederlassung des Online-Händlers sein („Grundsatzniederlassung“).

Sobald Sie festgestellt haben, welche DPA federführend ist, müssen Sie nur mit ihnen kommunizieren. Die federführende Datenschutzbehörde kooperiert und nimmt an Gesprächen mit anderen betroffenen EWR-DPA teil.

Muss eine Beschwerde mit einem grenzüberschreitenden Element im Rahmen der Zusammenarbeit mit einem anderen DPA bearbeitet werden, so werden folgende Kooperationsmaßnahmen ergriffen:

  • Wenn eine andere Datenschutzbehörde die Beschwerde erhalten hat, ist sie verpflichtet, die federführende Datenschutzbehörde über den Fall zu unterrichten;
  • Die betroffene Datenschutzbehörde kann sich an der Ausarbeitung eines Beschlusses über die Beschwerde beteiligen;

Bei der Vorbereitung einer Entscheidung muss die federführende Datenschutzbehörde die Stellungnahme der betroffenen Datenschutzbehörde berücksichtigen.

Link
Art. 56 DSGVO

EUR-Lex

Link
Art. 60 DSGVO

EUR-Lex

Link
One-Stop-Shop-Verfahren

EDSA

Link
Garantie der gleichen Rechte für alle

EDSA

Link
Richtlinien zur Anwendung des Art. 60 DSGVO

EDSA

Bestimmung der federführenden Datenschutzbehörde

Schlüsselkonzepte

Grenzüberschreitende Verarbeitung personenbezogener Daten

Nach der DSGVO ist die Identifizierung einer federführenden Datenschutzbehörde nur für Organisationen relevant, die die grenzüberschreitende Verarbeitung personenbezogener Daten durchführen.

Die DSGVO definiert die „grenzüberschreitende Verarbeitung“ entweder als:

  1. Verarbeitung personenbezogener Daten, die in mehr als einem EWR-Land erfolgt, in dem der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter in mehr als einem EWR-Land ansässig ist; oder
  2. Verarbeitung personenbezogener Daten, die in einer einzigen Niederlassung einer Organisation im EWR stattfinden, aber Personen in mehr als einem EWR-Land erheblich beeinflussen oder wahrscheinlich erheblich beeinflussen werden.
Link
Art. 4.23 DSGVO

EUR-Lex

Link
Artikel 29-Datenschutzgruppe: Leitlinien zur federführenden Aufsichtsbehörde

Newsroom der Europäischen Kommission

In der Praxis

  • Dies bedeutet, dass, wenn eine Organisation Niederlassungen in Deutschland und Kroatien hat und die Verarbeitung personenbezogener Daten im Rahmen ihrer Tätigkeiten erfolgt, dies eine grenzüberschreitende Verarbeitung darstellt. 
  • Alternativ darf die Organisation nur eine Niederlassung in Deutschland haben. Wenn seine Verarbeitungstätigkeit jedoch Personen in Deutschland und Kroatien erheblich beeinflusst – oder wahrscheinlich erheblich beeinflussen wird, dann stellt dies auch eine grenzüberschreitende Verarbeitung dar.

Verständnis von „substanziellen Auswirkungen“         

Die Tatsache, dass eine Organisation in mehreren EWR-Ländern eine Menge– sogar eine große Menge – personenbezogener Daten verarbeitet, bedeutet nicht zwangsläufig, dass die Verarbeitung eine wesentliche Wirkung hat oder haben wird. Eine Verarbeitung mit geringer oder gar keiner Wirkung stellt keine grenzüberschreitende Verarbeitung dar, unabhängig davon, wie viele Personen sie betrifft.

Die Datenschutzbehörden interpretieren „substanzielle Auswirkungen“ von Fall zu Fall. Sie berücksichtigen den Kontext der Verarbeitung, die Art der Daten, den Zweck der Verarbeitung und Faktoren wie die Frage, ob die Verarbeitung

  • definitiv oder wahrscheinlich Schaden, Verlust oder Not für Einzelpersonen verursacht;
  • eine tatsächliche Wirkung in Bezug auf die Einschränkung der Rechte des Einzelnen oder die Verweigerung einer Gelegenheit hat oder haben wird;
  • sich auf die Gesundheit, das Wohlbefinden oder den Seelenfrieden des Einzelnen auswirkt oder diese Faktoren wahrscheinlich beeinträchtigen wird;
  • den finanziellen oder wirtschaftlichen Status oder die wirtschaftliche Situation oder die Umstände des Einzelnen beeinträchtigt oder wahrscheinlich beeinflussen wird;
  • Personen verwundbar für Diskriminierung oder unfaire Behandlung macht;
  • die Analyse besonderer Kategorien personenbezogener oder anderer sensibler Daten, insbesondere der personenbezogenen Daten von Kindern, umfasst;
  • definitiv oder wahrscheinlich dazu führt, dass Einzelpersonen ihr Verhalten in signifikanter Weise ändern;
  • unwahrscheinliche, unerwartete oder unerwünschte Folgen für Einzelpersonen hat;
  • Verlegenheit oder andere negative Folgen, einschließlich Reputationsschäden verursacht;
  • oder die Verarbeitung einer Vielzahl von personenbezogenen Daten umfasst.

Federführende Datenschutzbehörde

Einfach ausgedrückt, ist eine „federführende Datenschutzbehörde“ der Datenschutzbeauftragte mit der Hauptverantwortung für den Umgang mit einer grenzüberschreitenden Datenverarbeitungstätigkeit, beispielsweise wenn eine Person eine Beschwerde über die Verarbeitung ihrer personenbezogenen Daten einlegt. Die federführende Datenschutzbehörde koordiniert alle Ermittlungen und arbeitet mit „betroffenen“ Datenschutzbehörden zusammen. Die Ermittlung der federführenden Datenschutzbehörde hängt von der Bestimmung des Standorts der „Hauptniederlassung“ oder „Einzelniederlassung“ des für die Verarbeitung Verantwortlichen in der EU ab.

Wenn eine Organisation nur in einem EWR-Land niedergelassen ist, verfügt sie über eine einzige Niederlassung im EWR, und die DPA dieses Landes wird die federführende Datenschutzbehörde sein.

Wenn eine Organisation in mehr als einem EWR-Land niedergelassen ist, muss ihre Hauptniederlassung festgelegt werden, damit die federführende DPA ermittelt werden kann.

Link
Art. 56 DSGVO

EUR-Lex

Hauptniederlassung

Um festzustellen, wo sich die Hauptniederlassung befindet, muss zunächst der Standort der zentralen Verwaltung der Organisation im EWR ermittelt werden (Ort der zentralen Verwaltung; Hauptquartier), falls vorhanden. Dies ist der Ort, an dem Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten getroffen werden.

In Fällen, in denen Entscheidungen über unterschiedliche grenzüberschreitende Verarbeitungstätigkeiten innerhalb der Zentralverwaltung getroffen werden, wird es im EWR eine einzige federführende Datenschutzbehörde für die verschiedenen Datenverarbeitungstätigkeiten des multinationalen Unternehmens geben. Es kann jedoch Fälle geben, in denen eine andere Niederlassung als der Ort der zentralen Verwaltung autonome Entscheidungen über die Zwecke und Mittel einer bestimmten Verarbeitungstätigkeit trifft. In diesen Situationen wird es für die Unternehmen von entscheidender Bedeutung sein, genau zu ermitteln, wo die Entscheidungen über Zweck und Mittel der Verarbeitung getroffen werden. Die korrekte Identifizierung der Hauptniederlassung liegt im Interesse der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter, da sie Klarheit darüber bietet, welche DPA sie in Bezug auf ihre verschiedenen Compliance-Aufgaben gemäß der DSGVO zu bewältigen haben.

Link
Art. 4.16 DSGVO

EUR-Lex

In der Praxis

  • Ein Bekleidungshändler hat seinen Hauptsitz (d. h. seinen „Ort der zentralen Verwaltung“) in Sofia, Bulgarien. Es hat Niederlassungen in verschiedenen anderen EWR-Ländern, die in Kontakt mit Einzelpersonen dort stehen. Alle Betriebe nutzen dieselbe Software, um personenbezogene Daten der Kunden zu Marketingzwecken zu verarbeiten. Alle Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten der Kunden zu Marketingzwecken werden innerhalb seines Hauptsitzes in Sofia getroffen. Das bedeutet, dass die federführende DPA des Unternehmens für diese grenzüberschreitende Verarbeitungstätigkeit die bulgarische DPA ist.

Organisationen, die nicht im EWR ansässig sind

Wenn Ihre Organisation nicht im EWR ansässig ist, sondern der DSGVO unterliegt, da sie in den räumlichen Anwendungsbereich der DSGVO fällt, muss sie möglicherweise einen Vertreter in einem der EWR-Länder benennen.

Wenn eine Organisation jedoch keine Niederlassung im EWR hat, löst die bloße Anwesenheit eines Vertreters in einem der EWR-Länder nicht das „One-Stop-Shop“-System aus. Dies bedeutet, dass Organisationen ohne Niederlassung im EWR über ihren lokalen Vertreter in jedem EWR-Land, in dem sie tätig sind, mit lokalen Datenschutzbehörden zusammenarbeiten müssen.

Link
Art. 27 DSGVO

EUR-Lex

Rolle des Europäischen Datenschutzausschusses

Der EDSA ist eine unabhängige europäische Einrichtung mit Rechtspersönlichkeit, die zur einheitlichen Anwendung der Datenschutzvorschriften im gesamten EWR beiträgt und die Zusammenarbeit zwischen den Datenschutzbehörden des EWR fördert. Der EDSA setzt sich aus den Leitungen der Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) oder deren Vertretern zusammen. 

Erfahren Sie mehr über den EDSA

Im EDSA arbeiten die Datenschutzbehörden zusammen, um: 

  • allgemeine Leitlinien (einschließlich Leitlinien, Stellungnahmen, Empfehlungen und bewährte Verfahren) zum Datenschutzrecht, insbesondere zur DSGVO zu erarbeiten; 
  • Beratung der Europäischen Kommission in allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten und neuen vorgeschlagenen Rechtsvorschriften in der EU zu gewährleisten;
  • die Annahme von Kohärenzbeschlüssen und Stellungnahmen in grenzüberschreitenden Datenschutzfällen zu gewährleisten.

Anstatt spezifische, individuelle Anfragen zu beantworten, gibt der EDSA allgemeine Leitlinien heraus.

Der EDSA hat mehrere Leitfäden angenommen, die für Unternehmen, einschließlich KMU, unmittelbar relevant sind. Diese Leitlinien präzisieren unterschiedliche Begriffe der DSGVO, wie z. B. die Grundprinzipien der Verarbeitung, Datenschutz durch Design und Standard, internationale Datenübermittlungen und Rechte der betroffenen Person. Eine Übersicht dieser Dokumente finden Sie hier.

 

Kohärenzmechanismus

Der Kohärenzmechanismus kann sich direkt auf KMU auswirken. In erster Linie kann der Kohärenzmechanismus ausgelöst werden, wenn die federführende Datenschutzbehörde und die betroffenen Datenschutzbehörden keinen Konsens über einen bestimmten grenzüberschreitenden Fall erzielen können. In solchen Fällen wird der Fall an den EDSA verwiesen, der eine verbindliche Entscheidung zur Beilegung der Streitigkeit erlässt.

Darüber hinaus gibt der EDSA zu einigen von EWR-DPA ausgearbeiteten Entwürfen von Beschlüssen, die grenzüberschreitende Auswirkungen haben (z. B. zu einem neuen Paket von Standardverträgen oder Verhaltenskodizes), kohärente Stellungnahmen ab.

Der EDSA kann auch Konsistenzmeinungen zu allen Fragen der allgemeinen Anwendung der DSGVO oder zu Problemen mit Wirkung in mehr als einem EWR-Land abgeben. Diese Arbeit zielt darauf ab, sicherzustellen, dass die DSGVO in verschiedenen EWR-Ländern einheitlich verstanden und angewendet wird. 

Link
Art. 63 DSGVO

EUR-Lex

Link
Art. 64 DSGVO

EUR-Lex

Link
Art. 65 DSGVO

EUR-Lex

Link
Art. 66 DSGVO

EUR-Lex

Link
Art. 67 DSGVO

EUR-Lex

Link
Art. 70 DSGVO

EUR-Lex

Link
Infografik zu Konsistenzverfahren im Rahmen der DSGVO

EDSA