Artikel 35

Datenschutz-Folgenabschätzung

  • (1)¬†¬†¬†Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko f√ľr die Rechte und Freiheiten nat√ľrlicher Personen zur Folge, so f√ľhrt der Verantwortliche vorab eine Absch√§tzung der Folgen der vorgesehenen Verarbeitungsvorg√§nge f√ľr den Schutz personenbezogener Daten durch. F√ľr die Untersuchung mehrerer √§hnlicher Verarbeitungsvorg√§nge mit √§hnlich hohen Risiken kann eine einzige Absch√§tzung vorgenommen werden.
  • (2)¬†¬†¬†Der Verantwortliche holt bei der Durchf√ľhrung einer Datenschutz-Folgenabsch√§tzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  • a) systematische und umfassende Bewertung pers√∂nlicher Aspekte nat√ľrlicher Personen, die sich auf automatisierte Verarbeitung einschlie√ülich Profiling gr√ľndet und die ihrerseits als Grundlage f√ľr Entscheidungen dient, die Rechtswirkung gegen√ľber nat√ľrlichen Personen entfalten oder diese in √§hnlich erheblicher Weise beeintr√§chtigen;
  • b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem√§√ü Artikel 9 Absatz 1 oder von personenbezogenen Daten √ľber strafrechtliche Verurteilungen und Straftaten gem√§√ü Artikel¬†10 oder
  • c) systematische umfangreiche √úberwachung √∂ffentlich zug√§nglicher Bereiche.
  • (4)¬†¬†¬†Die Aufsichtsbeh√∂rde erstellt eine Liste der Verarbeitungsvorg√§nge, f√ľr die gem√§√ü Absatz¬†1 eine Datenschutz-Folgenabsch√§tzung durchzuf√ľhren ist, und ver√∂ffentlicht diese. Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
  • (5)¬†¬†¬†Die Aufsichtsbeh√∂rde kann des Weiteren eine Liste der Arten von Verarbeitungsvorg√§ngen erstellen und ver√∂ffentlichen, f√ľr die keine Datenschutz-Folgenabsch√§tzung erforderlich ist. Die Aufsichtsbeh√∂rde √ľbermittelt diese Listen dem Ausschuss.
  • (6)¬†¬†¬†Vor Festlegung der in den Abs√§tzen¬†4 und¬†5 genannten Listen wendet die zust√§ndige Aufsichtsbeh√∂rde das Koh√§renzverfahren gem√§√ü Artikel¬†63 an, wenn solche Listen Verarbeitungst√§tigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen f√ľr betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeintr√§chtigen k√∂nnten.
  • a) eine systematische Beschreibung der geplanten Verarbeitungsvorg√§nge und der Zwecke der Verarbeitung, gegebenenfalls einschlie√ülich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • b) eine Bewertung der Notwendigkeit und Verh√§ltnism√§√üigkeit der Verarbeitungsvorg√§nge in Bezug auf den Zweck;
  • c) eine Bewertung der Risiken f√ľr die Rechte und Freiheiten der betroffenen Personen gem√§√ü Absatz¬†1 und
  • d) die zur Bew√§ltigung der Risiken geplanten Abhilfema√ünahmen, einschlie√ülich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis daf√ľr erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
  • (8)¬†¬†¬†Die Einhaltung genehmigter Verhaltensregeln gem√§√ü Artikel¬†40 durch die zust√§ndigen Verantwortlichen oder die zust√§ndigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgef√ľhrten Verarbeitungsvorg√§nge, insbesondere f√ľr die Zwecke einer Datenschutz-Folgenabsch√§tzung, geb√ľhrend zu ber√ľcksichtigen.
  • (9)¬†¬†¬†Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder √∂ffentlicher Interessen oder der Sicherheit der Verarbeitungsvorg√§nge ein.
  • (10)¬†¬†¬†Falls die Verarbeitung gem√§√ü Artikel¬†6 Absatz¬†1 Buchstabe¬†c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorg√§nge regeln und bereits im Rahmen der allgemeinen Folgenabsch√§tzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabsch√§tzung erfolgte, gelten die Abs√§tze¬†1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungst√§tigkeiten eine solche Folgenabsch√§tzung durchzuf√ľhren.
  • (11)¬†¬†¬†Erforderlichenfalls f√ľhrt der Verantwortliche eine √úberpr√ľfung durch, um zu bewerten, ob die Verarbeitung gem√§√ü der Datenschutz-Folgenabsch√§tzung durchgef√ľhrt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorg√§ngen verbundenen Risikos √Ąnderungen eingetreten sind.