Konsultationsverfahren bei hohem Restrisiko
Wird im Ergebnis einer Datenschutz-Folgenabschätzung festgestellt, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss sich nach Artikel 36 Absatz 1 Datenschutz-Grundverordnung (DSGVO) der Verantwortliche vor der Verarbeitung an die zuständige Aufsichtsbehörde, also die Sächsische Datenschutzbeauftragte, wenden.
Dazu muss der Verantwortliche der Sächsischen Datenschutzbeauftragten nach Artikel 36 Absatz 3 DSGVO Folgendes vorlegen:
- gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
- die Zwecke und die Mittel der beabsichtigten Verarbeitung,
- die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der Datenschutz-Grundverordnung vorgesehenen Maßnahmen und Garantien,
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
- die Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO und
- alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
Die Sächsische Datenschutzbeauftragte prüft sodann, ob die geplante Verarbeitung im Einklang mit der Datenschutz-Grundverordnung stünde, dabei insbesondere, ob der Verantwortliche das Risiko ausreichend ermittelt und eingedämmt hat.
Hierzu hat sie im Regelfall bis zu acht Wochen Zeit. Bei komplexen Verarbeitungen kann sie die Frist um maximal sechs Wochen verlängern. Über eine Fristverlängerung muss sie den Verantwortlichen und gegebenenfalls einen Auftragsverarbeiter mit Angabe der Gründe innerhalb eines Monats unterrichten. Diese Fristen gelten nur, wenn der Aufsichtsbehörde alle für die Zwecke der Konsultation erforderlichen Informationen vorliegen.
Ist die Sächsische Datenschutzbeauftragte dagegen der Auffassung, dass die geplante Verarbeitung nicht im Einklang mit der Verordnung steht, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter schriftlich entsprechende Empfehlungen (zum Beispiel zu weiteren technisch-organisatorischen Maßnahmen oder zu Änderungen in den Verarbeitungsprozessen). Zugleich kann sie ihre Befugnisse nach Artikel 58 DSGVO ausüben, also zum Beispiel den Verantwortlichen oder den Auftragsverarbeiter warnen, dass beabsichtigte Verarbeitungsvorgänge gegen die Datenschutz-Grundverordnung verstoßen würden. Wird mit einer gegen die Datenschutz-Grundverordnung verstoßenden Verarbeitung personenbezogener Daten begonnen, kann die Sächsische Datenschutzbeauftragte diese untersagen.