Konsultationsverfahren
Geht aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (DSFA) hervor, dass die Datenverarbeitung ein hohes Risiko zur Folge hätte, sofern die:der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, hat die:der Verantwortliche gemäß Art. 36 DSGVO die Datenschutzbehörde zu konsultieren.
Diesfalls kann es in Folge zum Konsultationsverfahren kommen. Im Rahmen eines solchen Verfahrens kann die Datenschutzbehörde die:dem Verantwortlichen innerhalb einer Frist von bis zu acht Wochen (welche ggf. um sechs Wochen verlangt werden kann) schriftliche Empfehlungen hinsichtlich der geplanten Datenverarbeitung erteilen. Möglich ist auch, dass die Datenverarbeitung untersagt wird, sofern diese nach Ansicht der Datenschutzbehörde nicht in Einklang mit der DSGVO zu bringen ist. Die Frist beginnt erst zu laufen, nachdem der Datenschutzbehörde alle für die Zwecke der Konsultation erforderlichen Informationen zur Verfügung stehen.
Im Rahmen der Konsultation der Datenschutzbehörde hat die:der Verantwortliche zumindest die folgenden Informationen zur Verfügung zu stellen:
- Gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten der:des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter:innen, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen
- Die Zwecke und die Mittel der beabsichtigten Verarbeitung
- Die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien
- Gegebenenfalls die Kontaktdaten der:des Datenschutzbeauftragten
- Die Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO und
- Alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
Der Europäische Datenschutzausschuss (EDSA) hat Leitlinien veröffentlicht, die bei der Durchführung einer DSFA als Hilfe herangezogen werden können.
Diese Leitlinien sind abrufbar unter:
Leitlinien »
Rechtsgrundlagen:
Art. 36 DSGVO »