Welche Rolle spielen Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO bzw. Artikel 27 JI-RL?

 

Es ist Aufgabe der Verantwortlichen, und nicht der Datenschutzbeauftragten, eine Datenschutz-Folgenabschätzung (=DSFA), durchzuführen, falls sie erforderlich ist (Artikel 35 Absatz 1 DS-GVO und Artikel 27 JI-RL). Datenschutzbeauftragte beraten und überwachen bei der DSFA. Dabei können sie eine wichtige und nützliche Rolle als Assistenz des Verantwortlichen einnehmen.

 

Verantwortliche holen bei der Durchführung der DSFA den Rat der Datenschutzbeauftragten ein, sofern solche benannt wurden (Artikel 35 Absatz 2 DS-GVO).

 

Verantwortliche sollten zu folgenden Gesichtspunkten den Rat der Datenschutzbeauftragten einholen:

  • Erforderlichkeit einer DSFA
  • Strategie bei Durchführung der DSFA
  • Entscheidung für eine interne oder ausgelagerte DSFA (Einbindung Externer)
  • Sicherheitsvorkehrungen (inklusive technischer und organisatorischer  Maßnahmen), um die Risiken in Bezug auf die Rechte der Betroffenen zu minimieren
  • Prüfung, ob die Durchführung der DSFA richtig vorgenommen wurde und ob die Schlussfolgerungen daraus mit den Vorgaben der DS-GVO bzw. der JI-RL übereinstimmen (z. B. Vorschläge zur Eindämmung des erkannten Risikos anhand der Implementierung verschiedener technischer und organisatorischer Maßnahmen).

 

Rat von Datenschutzbeauftragten einzuholen, bedeutet nicht, dass Verantwortliche in jedem Fall dem Rat der Datenschutzbeauftragten zu folgen haben. Falls Verantwortliche sich dazu entscheiden sollten, vom Rat der Datenschutzbeauftragten abzuweichen, sollten sie gewährleisten, die Gründe für die Abweichung schriftlich zu dokumentieren, um ihre Rechenschaftspflicht zu erfüllen (Artikel 5 Absatz 2 DS-GVO bzw. Artikel 4 Absatz 4 JI-RL).

 

zurück zur Übersicht