+49 (0)172 / 444 24 33 info@hamburg-datenschutz.com
Seite auswählen

Art. 35: Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge veröffentlichen, bei denen eine Datenschutz-Folgeabschätzung durchzuführen ist (whitelist). Sie können weiterhin eine Liste zur Verfügung stellen, für Verarbeitungsvorgänge, für die keine Datenschutz-Folgeabschätzung durchzuführen ist (blacklist).

Falls aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte und sich dieses auch mit den ergriffenen Maßnahmen nicht eindämmen lässt, hat der Verantwortliche vor dem Beginn der Verarbeitung die Aufsichtsbehörde zu konsultieren.

Die Datenschutz-Folgeabschätzung muss mindestens folgende Angaben enthalten:
  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Absatz 1 DSGVO und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Sind sie unsicher, ob Sie eine Datenschutz-Folgenabschätzung erstellen können? Dann schreiben Sie uns oder rufen uns an. Wir unterstützen Sie.