Artikel 39 VO (EU) 2018/1725

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.

(3) Eine Datenschutz-Folgenabschätzung nach Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a)

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen,

b)

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 10 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 11 oder

c)

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4) Der Europäische Datenschutzbeauftragte erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.

(5) Der Europäische Datenschutzbeauftragte kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

(6) Vor Festlegung der in den Absätzen 4 und 5 des vorliegenden Artikels genannten Listen fordert der Europäische Datenschutzbeauftragte den durch Artikel 68 der Verordnung (EU) 2016/679 eingerichteten Europäischen Datenschutzausschuss auf, diese Listen gemäß Artikel 70 Absatz 1 Buchstabe e der genannten Verordnung zu prüfen, wenn sie sich auf Verarbeitungsvorgänge eines Verantwortlichen beziehen, der gemeinsam mit einem oder mehreren Verantwortlichen, die nicht Organe oder Einrichtungen der Union sind, tätig ist.

(7) Die Folgenabschätzung enthält zumindest Folgendes:

a)

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

b)

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf die Zwecke,

c)

eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d)

die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 der Verordnung (EU) 2016/679 durch die zuständigen Auftragsverarbeiter, die nicht Organe und Einrichtungen der Union sind, ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10) Falls die Verarbeitung gemäß Artikel 5 Absatz 1 Buchstabe a oder b auf einem auf der Grundlage der Verträge erlassenen Rechtsakt beruht, in dem der konkrete Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge geregelt sind, und bereits im Rahmen der allgemeinen Folgenabschätzung vor Erlass dieses Rechtsakts eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 6 des vorliegenden Artikels nicht, sofern in dem genannten Rechtsakt nichts anderes bestimmt ist.

(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.