German Original (Official) Version
§ 53 BlnDSG Durchführung einer Datenschutz-Folgenabschätzung
- Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
- Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.
- Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.
- Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
- eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
- die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
- Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.
English Machine Translated Version
Section 53 Conducting a data protection impact assessment
- Where, by virtue of the nature, scope, context and purposes of the processing, a form of processing, in particular where new technologies are used, is likely to result in a significant risk to the legal interests of data subjects, the controller shall carry out a prior assessment of the impact of the envisaged processing operations on data subjects.
- A joint data protection impact assessment can be carried out for the examination of several similar processing operations with a similarly high risk potential.
- The controller shall involve the data protection officer in carrying out the impact assessment.
- The impact assessment shall take into account the rights of data subjects and shall include at least the following:
- a systematic description of the intended processing operations and the purposes of the processing,
- an assessment of the necessity and proportionality of the processing operations in relation to their purpose,
- an assessment of the risks to the legal interests of the persons concerned; and
- the measures taken to address existing risks, including safeguards, security measures and procedures to ensure the protection of personal data and to demonstrate compliance with the law.
- Where necessary, the controller shall carry out a review of whether the processing follows the conditions resulting from the impact assessment.
Previous: 52 BlnDSG Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten — Notification of affected persons in the event of breaches of personal data protection
Next: 54 BlnDSG Zusammenarbeit mit der oder dem Berliner Beauftragten für Datenschutz und Informationsfreiheit — Cooperation with the Berlin Commissioner for Data Protection and Freedom of Information