Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese (Art. 35 Abs. 6 DSGVO). Die Aufsichtsbehörde kann zusätzlich eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss.
In der DSGVO Art. 56 DSGVO wurde neu geregelt, dass nur noch eine Aufsichtsbehörde für Unternehmen zuständig ist, nämlich die Aufsichtsbehörde für die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder des Auftragsverarbeiters, auch "One-Stop-Shop"-Prinzip genannt.
Der Verantwortliche konsultiert vor der Datenverarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte und deshalb Maßnahmen zur Eindämmung des Risikos notwendig sind (Art. 36 DSGVO). Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation folgende Informationen zur Verfügung:
- Angaben über die Zuständigkeit des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
- die Zwecke und die Mittel der beabsichtigten Verarbeitung;
- die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;
- die Kontaktdaten des Datenschutzbeauftragten;
- die Datenschutz-Folgenabschätzung und alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit der DSGVO steht, unterbreitet sie dem Verantwortlichen bzw. dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen. Diese Maßnahme gilt besonders dann als notwendig, wenn der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat. Diese Frist kann bei komplexen Fällen um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen bzw. den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.[1]
Das ist nur ein Ausschnitt aus dem Produkt Versicherungs Glossar. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen