(1) Hat eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
(2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.
(3) Der Verantwortliche hat den Datenschutzbeauftragten an der Durchführung einer Datenschutz-Folgenabschätzung zu beteiligen.
(4) Die Folgenabschätzung hat den Rechten und den berechtigten Interessen der von der Verarbeitung betroffenen Personen und sonstiger Betroffener Rechnung zu tragen sowie zumindest Folgendes zu enthalten:
1. |
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, |
2. |
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck, |
3. |
eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und |
4. |
die Maßnahmen, mit denen bestehenden Gefahren abgeholfen wird, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt sowie die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen. |
(5) Soweit erforderlich hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
(6) 1Der Verantwortliche hat dem Sächsischen Datenschutzbeauftragten die nach Absatz 1 durchgeführte Datenschutz-Folgenabschätzung vorzulegen. 2Auf Anforderung sind dem Sächsischen Datenschutzbeauftragten zudem alle sonstigen Informationen zu übermitteln, die er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Gefahren und die diesbezüglichen Garantien bewerten zu können.