Zweiter Teil: Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Abs. 1 der Richtlinie (EU) 2016/680
Zweites Kapitel: Technische und organisatorische Pflichten des Verantwortlichen und Auftragsverarbeiters
§ 40 Vorherige Anhörung der Aufsichtsbehörde
(1) 1Vor der Inbetriebnahme neu anzulegender Datenverarbeitungssysteme hat der Verantwortliche die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde anzuhören, wenn
aus einer Datenschutz-Folgenabschätzung nach § 39 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder
die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien und Verfahren, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte.
2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur Anhörung nach Satz 1 unterliegen.
(2) Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde ist bei der Ausarbeitung von Rechts- und Verwaltungsvorschriften anzuhören, die die Verarbeitung personenbezogener Daten betreffen.
(3) Der von der oder dem Landesbeauftragten geleiteten Behörde sind die in Artikel 36 Abs. 3 der Datenschutz-Grundverordnung genannten Informationen sowie auf Anforderung weitere Informationen vorzulegen, die sie benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.
(4) 1Falls die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, so kann sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. 2Die von der oder dem Landesbeauftragten für den Datenschutz geleitete Behörde kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. 3Sie hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zu informieren und die Gründe für die Verzögerung mitzuteilen.
(5) 1Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, so kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 4 genannten Frist beginnen. 2In diesem Fall sind die Empfehlungen der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde nachträglich zu berücksichtigen, wobei die Art und Weise der Verarbeitung insoweit gegebenenfalls anzupassen ist.
Fundstelle(n):
zur Änderungsdokumentation
FAAAG-89454