Zurück zur Hauptseite der Datenschutzleitlinien für Organisatoren
Datenschutzleitlinien – Frage 6
Wann und wie ist eine Datenschutz-Folgenabschätzung durchzuführen?
Gilt für Fallszenario 2, außer in Bezug auf die Nutzung des Datenaustauschsystems der Kommission
Als Vertreter müssen Sie immer dann eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Sie ist unter anderem insbesondere dann erforderlich, wenn sensible Daten in großem Umfang verarbeitet werden.
Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien zur Datenschutz-Folgenabschätzung verfasst. Zudem sollten Sie prüfen, ob Ihre zuständige nationale Datenschutzbehörde weitere Leitlinien dazu herausgegeben hat, wann und wie eine Folgenabschätzung durchzuführen ist.
Die Datenschutz-Folgenabschätzung sollte vor der Verarbeitung durchgeführt und als dynamisches Instrument, nicht nur als einmalige Maßnahme, gesehen werden. Bestehen Restrisiken, die durch die getroffenen Maßnahmen nicht gemindert werden können, muss die zuständige nationale Datenschutzbehörde vor Beginn der Verarbeitung konsultiert werden.
HINWEIS:
Bei einer Verarbeitung im Rahmen einer gemeinsamen Verantwortlichkeit mit der Kommission müssen Sie keine Datenschutz-Folgenabschätzung durchführen, da diese Verarbeitung bereits Gegenstand der von der Kommission durchgeführten Folgenabschätzung ist (siehe Fallszenario 1).
Hintergrund:
- Artikel 35 der DSGVO
- Artikel 36 der EU-DSVO
- Leitlinien zur Datenschutz-Folgenabschätzung des Europäischen Datenschutzausschusses
