Aufgaben und Pflichten des ... / 3.3 Datenschutz-Folgenabschätzung

Der Datenschutzbeauftragte hat auch mitzuwirken an einer Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO).

Der Beauftragte muss dann

  • formal überwachen, dass eine Folgenabschätzung durchgeführt wird und
  • inhaltlich seine Meinung und seinen Rat abgeben.

Er ist jedoch weder selbst für die Durchführung verantwortlich (denn das ist die verantwortliche Stelle, also der Arbeitgeber), noch muss auf seinen Rat zwingend gehört werden.

Konkret könnte der Beauftragte seinen Rat abgeben in Bezug auf diese Punkte:[1]

  • ob die Voraussetzungen für die Durchführung einer Folgenabschätzung vorliegen oder nicht,
  • welche Methodik für die Folgenabschätzung angewendet werden könnte,
  • ob die Folgenabschätzung intern durchgeführt oder outgesourct wird,
  • welche Maßnahmen (auch technische und organisatorische Maßnahmen) angewendet werden können zu Abschwächung jeglicher Risiken für die Rechte und Freiheiten der Betroffenen,
  • ob die Datenschutz-Folgenabschätzung korrekt durchgeführt worden ist und welche Ergebnisse sich aus ihr ableiten lassen (insbesondere, ob die Datenverarbeitung durchgeführt werden darf und welche Schutzmaßnahmen getroffen werden müssen).
[1] vgl. Nr. 4.2 im Working Paper 243 ("Guidelines on Data Protection Officers ("DPOs")") der Artikel-29-Gruppe vom 13.12.2016.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge