Teil 3: Verarbeitung personenbezogener Daten nach Maßgabe der Richtlinie (EU) 2016/680
Abschnitt 6: Pflichten der Verantwortlichen und Auftragsverarbeiter
§ 57 Konsultation der oder des Landesbeauftragten für den Datenschutz und die Informationsfreiheit
(1) 1Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Landesbeauftragte oder den Landesbeauftragten für den Datenschutz und die Informationsfreiheit zu konsultieren, wenn
aus der Datenschutz-Folgenabschätzung nach § 56 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechtsgüter der betroffenen Personen zur Folge hätte, wenn der Verantwortliche keine Abhilfemaßnahmen treffen würde oder
die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren ein hohes Risiko für die Rechtsgüter der betroffenen Personen zur Folge hat.
2Die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.
(2) Bei der Ausarbeitung eines Vorschlags für die Datenverarbeitung betreffende Gesetzes- und Verordnungsentwürfe ist zuvor die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit zu konsultieren.
(3) 1Der oder dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit sind im Falle des Absatzes 1 vorzulegen:
die nach § 56 durchgeführte Datenschutz-Folgenabschätzung,
gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,
Angaben zu den zum Schutz der Rechtsgüter der betroffenen Person vorgesehenen Maßnahmen und Garantien,
Name und Kontaktdaten der oder des Datenschutzbeauftragten.
2Auf Anforderung sind ihr oder ihm zudem alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Person bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(4) 1Falls die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder keine ausreichenden Abhilfemaßnahmen getroffen hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. 2Die oder der Landesbeauftragte für den Datenschutz und die Informationsfreiheit kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. 3Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren.
(5) 1Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 4 Satz 1 genannten Frist beginnen. 2In diesem Fall sind die Empfehlungen der oder des Landesbeauftragten für den Datenschutz und die Informationsfreiheit im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
Fundstelle(n):
zur Änderungsdokumentation
UAAAG-89449