Sie befinden sich hier:

Konsultation der Aufsichtsbehörde aufgrund einer Datenschutz-Folgenabschätzung

Der Verantwortliche muss vor der Aufnahme der Verarbeitung die Aufsichtsbehörde konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1 DSGVO).

Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können (Erwägungsgrund 94 Satz 2).

Ein unzulässig hohes Restrisiko wäre beispielsweise eine Situation, in der die Betroffenen erheblichen oder gar unumkehrbaren und nicht zu bewältigenden Folgen ausgesetzt sind (z. B.: unrechtmäßiger Datenzugriff, durch den das Leben der Betroffenen bedroht ist oder der eine Gefahr für ihre Arbeitsstelle oder ihre finanzielle Situation darstellt) und/oder in der das Eintreten eines Risikos unausweichlich scheint (z. B.: weil aufgrund des Weitergabe-, Nutzungs- oder Verteilmodus keine Möglichkeit besteht, die Zahl derjenigen zu verringern, die auf die Daten zugreifen, oder weil eine bekannte Sicherheitslücke nicht behoben wird).1)

Die im Rahmen einer Konsultation erforderlichen Angaben sind in Art. 36 Abs. 3 DSGVO aufgelistet. So muss der Verantwortliche der Aufsichtsbehörde bei einer Konsultation folgende Informationen zur Verfügung stellen:

  • gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
  • die Zwecke und die Mittel der beabsichtigten Verarbeitung;
  • die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Datenschutz-Folgenabschätzung gemäß Artikel 35 und
  • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit der Datenschutz-Grundverordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie gemäß Art. 36 Abs. 2 DSGVO dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse (z. B. Datenschutzüberprüfung, Hinweis auf vermeintliche Verstöße, Zutritts-, Zugangs- und Zugriffsrechte) ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.

Zusätzlich können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen (Art. 36 Abs. 5 DSGVO).

Auf Verlangen ist der Nachweis über die Durchführung einer Datenschutz-Folgenabschätzung der zuständigen Datenschutzaufsicht vorzulegen (Art. 58 Abs. 1 Buchstabe a DSGVO).

Fundstelle

1) Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ der Artikel-29-Gruppe (nunmehr Europäischer Datenschutzausschuss) – abrufbar im Internet beispielsweise unter https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf

nach oben