DSGVO Gesetzestexte
Artikel 35 EU-DSGVO: Datenschutz-Folgenabschätzung

Artikel 35 EU-DSGVO: Datenschutz-Folgenabschätzung

  1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
  2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
  3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
  5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
  6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
  7. Die Folgenabschätzung enthält zumindest Folgendes:
    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
  8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
  9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
  10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
  11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
Zum Inhaltsverzeichnis
Zur Kapitelübersicht
Vorheriger Artikel
Nächstes Kapitel
Nächster Artikel
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung

Kommentar zu
Artikel 35 EU-DSGVO: Datenschutz-Folgenabschätzung

Kommentar zu Artikel 44 DSGVO

Die Art. 44-49 DSGVO regeln die Datenübermittlung in ein Land außerhalb der EU / des EWR. Der Artikel 44 der DSGVO setzt unter anderem die Übermittlung persönlicher Daten an „Drittländer“ und internationale Organisationen fest. Länder außerhalb der EU / des EWR werden in der DSGVO als „Drittländer“ bezeichnet, in der Praxis wird auch der Begriff „Drittstaat“ verwendet. Mit der Datenübermittlung ist nicht nur eine „Übersendung“ von Daten zu verstehen, sondern auch jegliche Möglichkeit zum Abruf der Daten oder Zugriff darauf aus dem Ausland. Hierbei wird ausdrücklich darauf hingewiesen, dass sowohl der Absender als auch der Empfänger der zu übermittelnden Daten sich an die bestehenden Bedingungen und Vorgaben (z. B. Art. 9 Abs. 3 DSGVO) der DSGVO halten muss, damit die Übermittlung als solche gestattet werden kann (1. Stufe). Wenn im Anschluss daran einer Datenverarbeitung nichts mehr entgegensteht, müssen gemäß Art. 44 DSGVO zusätzlich die spezifischen Anforderungen der Art. 45 ff. DSGVO an die Datenübermittlung in Drittländer beachtet werden (2. Stufe; „2-Stufen-Prüfung“). Dies hat auch Gültigkeit für die Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland (Art. 44 S. 1 DSGVO). Diese Vorgehensweise ist notwendig, um die personenbezogenen Daten jedes Einzelnen zu schützen und diesen Schutz auch über die Landesgrenzen hinaus dauerhaft garantieren zu können.

Möglichkeit der Datenübermittlung in Drittländer:

  • Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission ( 45 DSGVO)
  • Vorliegen geeigneter Garantien ( 46 DSGVO) oder
  • Ausnahmen für bestimmte Fälle ( 49 DSGVO).

Ziel des Art. 44 DSGVO ist es, Privatpersonen vor der öffentlichen Bekanntmachung ihrer persönlichen Daten durch Unbefugte zu schützen. Da personenbezogene Daten streng vertraulich behandelt werden müssen, wurden vorbezeichnete Rahmenbedingung und Vorgaben für etwaige Datenübermittlungen ausgearbeitet, die zugleich eine eindeutige Schuldzuweisung im Falle eines Datenmissbrauchs oder sonstigen Beschwerden ermöglichen. Die in Art. 44 DSGVO dargelegte Vorgehensweise ist bei der Datenverarbeitung in und an Drittländer oder internationale Organisationen bindend und kann in keinem Fall umgangen werden. Eine Missachtung dieser Vorgehensweise kann und wird enorme Konsequenzen mit sich ziehen.