Für Verantwortliche, die prüfen, ob für einen Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich somit folgende Umsetzungsreihenfolge:
- Prüfung, ob der Verarbeitungsvorgang auf der vorgenannten Muss-Liste genannt ist.
- Wenn der Verarbeitungsvorgang auf der Liste nicht genannt ist, ist zu prüfen, ob der Verarbeitungsvorgang einen Fall nach Art. 35 Abs. 3 DSGVO darstellt.
- Handelt es sich bei dem Verarbeitungsvorgang auch nicht um einen Fall des Art. 35 Abs. 3 DSGVO, dann ist zu prüfen, ob dennoch ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt, wobei die oben genannten Leitlinien maßgebend sind. Ist dies nicht der Fall, muss eine Datenschutz-Folgenabschätzung nicht durchgeführt werden.
- Wenn zum Schutz der verarbeiteten personenbezogenen Daten zusätzliche Maßnahmen getroffen werden müssen, müssen diese umgesetzt sein, bevor das System produktiv genutzt wird.
- Nachvollziehbare Dokumentation der Datenschutz-Folgenabschätzung selbst,sowie der in diesem Zusammenhang getroffene Entscheidungen.
- Aktualisieren Sie auch andere Datenschutz-Dokumentationen wie das Verzeichnis der Verarbeitungstätigkeiten oder die Informationspflichten für Betroffene.
Wenn Sie sich unsicher sind, ob die Durchführung einer Datenschutz-Folgenabschätzung letztlich notwendig ist, wenden Sie sich gerne an die Datenschutzbeauftragten der ITEBO-Unternehmensgruppe. Der Datenschutzbeauftragte berät den Verantwortlichen auch bei der Durchführung der Datenschutz-Folgenabschätzung.
