Mehr
Navigation
KAPITEL I Allgemeine Bestimmungen (1-4)
Artikel 1. Gegenstand und ZieleArtikel 2. Sachlicher AnwendungsbereichArtikel 3. Räumlicher AnwendungsbereichArtikel 4. Begriffsbestimmungen
KAPITEL II Grundsätze (5-11)
Artikel 5. Grundsätze für die Verarbeitung personenbezogener DatenArtikel 6. Rechtmäßigkeit der VerarbeitungArtikel 7. Bedingungen für die EinwilligungArtikel 8. Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der InformationsgesellschaftArtikel 9. Verarbeitung besonderer Kategorien personenbezogener DatenArtikel 10. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und StraftatenArtikel 11. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
KAPITEL III Rechte der betroffenen Person (12-23)
Artikel 12. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen PersonArtikel 13. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen PersonArtikel 14. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurdenArtikel 15. Auskunftsrecht der betroffenen PersonArtikel 16. Recht auf BerichtigungArtikel 17. Recht auf Löschung („Recht auf Vergessenwerden“)Artikel 18. Recht auf Einschränkung der VerarbeitungArtikel 19. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der VerarbeitungArtikel 20. Recht auf DatenübertragbarkeitArtikel 21. WiderspruchsrechtArtikel 22. Automatisierte Entscheidungen im Einzelfall einschließlich ProfilingArtikel 23. Beschränkungen
KAPITEL IV Verantwortlicher und Auftragsverarbeiter (24-43)
Artikel 24. Gegenstand und ZieleArtikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenArtikel 26. Gemeinsam VerantwortlicheArtikel 27. Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder AuftragsverarbeiternArtikel 28. AuftragsverarbeiterArtikel 29. Verarbeitung unter der Aufsicht des Verantwortlichen oder des AuftragsverarbeitersArtikel 30. Verzeichnis von VerarbeitungstätigkeitenArtikel 31. Zusammenarbeit mit der AufsichtsbehördeArtikel 32. Sicherheit der VerarbeitungArtikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die AufsichtsbehördeArtikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Artikel 35. Datenschutz-Folgenabschätzung
Artikel 36. Vorherige KonsultationArtikel 37. Benennung eines DatenschutzbeauftragtenArtikel 38. Stellung des DatenschutzbeauftragtenArtikel 39. Aufgaben des DatenschutzbeauftragtenArtikel 40. VerhaltensregelnArtikel 41. Überwachung der genehmigten VerhaltensregelnArtikel 42. ZertifizierungArtikel 43. Zertifizierungsstellen
KAPITEL V Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen (44-50)
Artikel 44. Allgemeine Grundsätze der DatenübermittlungArtikel 45. Datenübermittlung auf der Grundlage eines AngemessenheitsbeschlussesArtikel 46. Datenübermittlung vorbehaltlich geeigneter GarantienArtikel 47. Verbindliche interne DatenschutzvorschriftenArtikel 48. Nach dem Unionsrecht nicht zulässige Übermittlung oder OffenlegungArtikel 49. Ausnahmen für bestimmte FälleArtikel 50. Internationale Zusammenarbeit zum Schutz personenbezogener Daten
KAPITEL VI Unabhängige Aufsichtsbehörden (51-59)
Artikel 51. AufsichtsbehördeArtikel 52. UnabhängigkeitArtikel 53. Allgemeine Bedingungen für die Mitglieder der AufsichtsbehördeArtikel 54. Errichtung der AufsichtsbehördeArtikel 55. ZuständigkeitArtikel 56. Zuständigkeit der federführenden AufsichtsbehördeArtikel 57. AufgabenArtikel 58. BefugnisseArtikel 59. Tätigkeitsbericht
KAPITEL VII Zusammenarbeit und Kohärenz (60-70)
Artikel 60. Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen AufsichtsbehördenArtikel 61. Gegenseitige AmtshilfeArtikel 62. Gemeinsame Maßnahmen der AufsichtsbehördenArtikel 63. KohärenzverfahrenArtikel 64. Stellungnahme des AusschussesArtikel 65. Streitbeilegung durch den AusschussArtikel 66. DringlichkeitsverfahrenArtikel 67. InformationsaustauschArtikel 68. Europäischer DatenschutzausschussArtikel 69. UnabhängigkeitArtikel 70. Aufgaben des AusschussesArtikel 71. BerichterstattungArtikel 72. VerfahrensweiseArtikel 73. VorsitzArtikel 74. Aufgaben des VorsitzesArtikel 75. SekretariatArtikel 76. Vertraulichkeit
KAPITEL VIII Rechtsbehelfe, Haftung und Sanktionen (77-84)
Artikel 77. Recht auf Beschwerde bei einer AufsichtsbehördeArtikel 78. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine AufsichtsbehördeArtikel 79. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder AuftragsverarbeiterArtikel 80. Vertretung von betroffenen PersonenArtikel 81. Aussetzung des VerfahrensArtikel 82. Haftung und Recht auf SchadenersatzArtikel 83. Allgemeine Bedingungen für die Verhängung von GeldbußenArtikel 84. Sanktionen
KAPITEL IX Vorschriften für besondere Verarbeitungssituationen (85-91)
Artikel 85. Verarbeitung und Freiheit der Meinungsäußerung und InformationsfreiheitArtikel 86. Verarbeitung und Zugang der Öffentlichkeit zu amtlichen DokumentenArtikel 87. Verarbeitung der nationalen KennzifferArtikel 88. Datenverarbeitung im BeschäftigungskontextArtikel 89. Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen ZweckenArtikel 90. GeheimhaltungspflichtenArtikel 91. Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte (92-93)
Artikel 92. Ausübung der BefugnisübertragungArtikel 93. Ausschussverfahren
KAPITEL XI Schlussbestimmungen (94-95)
Artikel 94. Aufhebung der Richtlinie 95/46/EGArtikel 95. Verhältnis zur Richtlinie 2002/58/EGArtikel 96. Verhältnis zu bereits geschlossenen ÜbereinkünftenArtikel 97. Berichte der KommissionArtikel 98. Überprüfung anderer Rechtsakte der Union zum DatenschutzArtikel 99. Inkrafttreten und Anwendung
DSGVO (GDPR) > Artikel 35. Datenschutz-Folgenabschätzung
PDF herunterladen

Artikel 35 DSGVO. Datenschutz-Folgenabschätzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

ISO 27701 Verbindungen
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to articles 35(1) GDPR:

8.2.1 Customer agreement

Control

The organization should ensure, where relevant, that the contract to process PII addresses the organization’s role in providing assistance with the customer’s obligations (taking into account the nature of processing and the information available to the organization).

Implementation guidance

The contract between the organization and the customer should include the following wherever relevant, and depending on the customer’s role (PII controller or PII processor) (this list is neither definitive nor exhaustive):

[…]


to read full text

Verbindungen

(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

Verbindungen
Verbindungen

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Leitlinien und Gerichtsurteile
Leitlinien und Gerichtsurteile

(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

Verbindungen
Verbindungen

(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

(6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

Verbindungen
Verbindungen

(7) Die Folgenabschätzung enthält zumindest Folgendes:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

Leitlinien und Gerichtsurteile
Leitlinien und Gerichtsurteile

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

Verbindungen
Verbindungen

(9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 35(9) GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


to read full text

(10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

Verbindungen
Verbindungen

(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Datenschutz-Grundverordnung (DSGVO)

Letzte konsolidierte Fassung (inkl. Berichtigung, ABl. L 314 vom 22.11.2016, S. (2016/679), Berichtigung, ABl. L 127 vom 23.5.2018, S. (2016/679)). EUR-lex

ISO 27701 Erwägungsgrund Leitlinien und Gerichtsurteile Leave a comment
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 35 GDPR:

7.2.5 Privacy impact assessment

Control

The organization should assess the need for, and implement where appropriate, a privacy impact assessment whenever new processing of PII or changes to existing processing of PII is planned.

Implementation guidance

PII processing generates risks for PII principals. These risks should be assessed through a privacy impact assessment.

[…]


to read full text

Erwägungsgrund

(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

(84) Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden.

(89) Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorgängen gehören insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.

(90) In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.

(91) Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und — beispielsweise aufgrund ihrer Sensibilität — wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

(92) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen — beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.

(93) Anlässlich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Behörde oder öffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt, können die Mitgliedstaaten es für erforderlich erachten, solche Folgeabschätzungen vor den Verarbeitungsvorgängen durchzuführen.

Leitlinien und Gerichtsurteile Leave a comment
[js-disqus]