2017-03-08 11:13:15 +01:00
|
|
|
Artikel 35 - Datenschutz-Folgenabschätzung
|
|
|
|
|
------------------------------------------
|
|
|
|
|
|
2017-03-27 11:03:41 +02:00
|
|
|
1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer
|
|
|
|
|
Technologien, aufgrund der Art, des Umfangs, der Umstände und der
|
|
|
|
|
Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die
|
|
|
|
|
Rechte und Freiheiten natürlicher Personen zur Folge, so führt der
|
|
|
|
|
Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
|
|
|
|
|
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
|
|
|
|
|
Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit
|
|
|
|
|
ähnlich hohen Risiken kann eine einzige Abschätzung
|
|
|
|
|
vorgenommen werden.
|
|
|
|
|
|
|
|
|
|
2. Der Verantwortliche holt bei der Durchführung einer
|
|
|
|
|
Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten,
|
|
|
|
|
sofern ein solcher benannt wurde, ein.
|
|
|
|
|
|
|
|
|
|
3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere
|
|
|
|
|
in folgenden Fällen erforderlich:
|
|
|
|
|
|
|
|
|
|
a. systematische und umfassende Bewertung persönlicher Aspekte
|
|
|
|
|
natürlicher Personen, die sich auf automatisierte Verarbeitung
|
|
|
|
|
einschließlich Profiling gründet und die ihrerseits als
|
|
|
|
|
Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber
|
|
|
|
|
natürlichen Personen entfalten oder diese in ähnlich erheblicher
|
|
|
|
|
Weise beeinträchtigen;
|
|
|
|
|
|
|
|
|
|
b. umfangreiche Verarbeitung besonderer Kategorien von
|
|
|
|
|
personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von
|
|
|
|
|
personenbezogenen Daten über strafrechtliche Verurteilungen und
|
|
|
|
|
Straftaten gemäß Artikel 10 oder
|
|
|
|
|
|
|
|
|
|
c. systematische umfangreiche Überwachung öffentlich
|
|
|
|
|
zugänglicher Bereiche.
|
|
|
|
|
|
|
|
|
|
4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge,
|
|
|
|
|
für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung
|
|
|
|
|
durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde
|
|
|
|
|
übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
|
|
|
|
|
|
|
|
|
|
5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von
|
|
|
|
|
Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine
|
|
|
|
|
Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde
|
|
|
|
|
übermittelt diese Listen dem Ausschuss.
|
|
|
|
|
|
|
|
|
|
6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet
|
|
|
|
|
die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel
|
|
|
|
|
63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit
|
|
|
|
|
dem Angebot von Waren oder Dienstleistungen für betroffene Personen
|
|
|
|
|
oder der Beobachtung des Verhaltens dieser Personen in mehreren
|
|
|
|
|
Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr
|
|
|
|
|
personenbezogener Daten innerhalb der Union erheblich
|
|
|
|
|
beeinträchtigen könnten.
|
|
|
|
|
|
|
|
|
|
7. Die Folgenabschätzung enthält zumindest Folgendes:
|
|
|
|
|
|
|
|
|
|
a. eine systematische Beschreibung der geplanten
|
|
|
|
|
Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
|
|
|
|
|
gegebenenfalls einschließlich der von dem Verantwortlichen
|
|
|
|
|
verfolgten berechtigten Interessen;
|
|
|
|
|
|
|
|
|
|
b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der
|
|
|
|
|
Verarbeitungsvorgänge in Bezug auf den Zweck;
|
|
|
|
|
|
|
|
|
|
c. eine Bewertung der Risiken für die Rechte und Freiheiten der
|
|
|
|
|
betroffenen Personen gemäß Absatz 1 und
|
|
|
|
|
|
|
|
|
|
d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen,
|
|
|
|
|
einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren,
|
|
|
|
|
durch die der Schutz personenbezogener Daten sichergestellt und
|
|
|
|
|
der Nachweis dafür erbracht wird, dass diese Verordnung
|
|
|
|
|
eingehalten wird, wobei den Rechten und berechtigten Interessen
|
|
|
|
|
der betroffenen Personen und sonstiger Betroffener Rechnung
|
|
|
|
|
getragen wird.
|
|
|
|
|
|
|
|
|
|
8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch
|
|
|
|
|
die zuständigen Verantwortlichen oder die zuständigen
|
|
|
|
|
Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von
|
|
|
|
|
diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die
|
|
|
|
|
Zwecke einer Datenschutz-Folgenabschätzung, gebührend
|
|
|
|
|
zu berücksichtigen.
|
|
|
|
|
|
|
|
|
|
9. Der Verantwortliche holt gegebenenfalls den Standpunkt der
|
|
|
|
|
betroffenen Personen oder ihrer Vertreter zu der beabsichtigten
|
|
|
|
|
Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher
|
|
|
|
|
Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
|
|
|
|
|
|
|
|
|
|
10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e
|
|
|
|
|
auf einer Rechtsgrundlage im Unionsrecht oder im Recht des
|
|
|
|
|
Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls
|
|
|
|
|
diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die
|
|
|
|
|
konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der
|
|
|
|
|
allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser
|
|
|
|
|
Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten
|
|
|
|
|
die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der
|
|
|
|
|
Mitgliedstaaten erforderlich ist, vor den betreffenden
|
|
|
|
|
Verarbeitungstätigkeiten eine solche
|
|
|
|
|
Folgenabschätzung durchzuführen.
|
|
|
|
|
|
|
|
|
|
11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung
|
|
|
|
|
durch, um zu bewerten, ob die Verarbeitung gemäß der
|
|
|
|
|
Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt
|
|
|
|
|
zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen
|
|
|
|
|
verbundenen Risikos Änderungen eingetreten sind.
|
2017-03-08 11:13:15 +01:00
|
|
|
|
|
|
|
|
|
