- Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021
- Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021
- Teil 1: Kapitel 1 - Anwendungsbereich und Begriffsbestimmungen (§§ 1 - 2)
- Teil 1: Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 3 - 4)
- Teil 1: Kapitel 3 - Datenschutzbeauftragte öffentlicher Stellen (§§ 5 - 7)
- Teil 1: Kapitel 4 - Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (§§ 8 - 16)
- Teil 1: Kapitel 5 - Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union (§§ 17 - 19)
- Teil 1: Kapitel 6 - Rechtsbehelfe (§§ 20 - 21)
-
Teil 2: Kapitel 1 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§ 22 - 31)
- § 22 Verarbeitung besonderer Kategorien personenbezogener Daten
- § 23 Verarbeitung zu anderen Zwecken durch öffentliche Stellen
- § 24 Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen
- § 25 Datenübermittlungen durch öffentliche Stellen
- § 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
- § 27 Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
- § 28 Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken
- § 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
- § 30 Verbraucherkredite
- § 31 Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften
-
Teil 2: Kapitel 2 - Rechte der betroffenen Person (§§ 32 - 37)
- § 32 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- § 33 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- § 34 Auskunftsrecht der betroffenen Person
- § 35 Recht auf Löschung
- § 36 Widerspruchsrecht
- § 37 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Teil 2: Kapitel 3 - Pflichten der Verantwortlichen und Auftragsverarbeiter (§§ 38 - 39)
- Teil 2: Kapitel 4 - Aufsichtsbehörde für die Datenverarbeitung durch nichtöffentliche Stellen (§ 40)
- Teil 2: Kapitel 5 - Sanktionen (§§ 41 - 43)
- Teil 2: Kapitel 6 - Rechtsbehelfe (§ 44)
- Teil 3: Kapitel 1 - Anwendungsbereich, Begriffsbestimmungen und allgemeine Grundsätze für die Verarbeitung personenbezogener Daten (§§ 45 - 47))
-
Teil 3: Kapitel 2 - Rechtsgrundlagen der Verarbeitung personenbezogener Daten (§§ 48 - 54)
- § 48 Verarbeitung besonderer Kategorien personenbezogener Daten
- § 49 Verarbeitung zu anderen Zwecken
- § 50 Verarbeitung zu archivarischen, wissenschaftlichen und statistischen Zwecken
- § 51 Einwilligung
- § 52 Verarbeitung auf Weisung des Verantwortlichen
- § 53 Datengeheimnis
- § 54 Automatisierte Einzelentscheidung
-
Teil 3: Kapitel 3 Rechte der betroffenen Personen (§§ 55 - 61)
- § 55 Allgemeine Informationen zu Datenverarbeitungen
- § 56 Benachrichtigung betroffener Personen
- § 57 Auskunftsrecht
- § 58 Rechte auf Berichtigung und Löschung sowie Einschränkung der Verarbeitung
- § 59 Verfahren für die Ausübung der Rechte der betroffenen Person
- § 60 Anrufung der oder des Bundesbeauftragten
- § 61 Rechtsschutz gegen Entscheidungen der oder des Bundesbeauftragten oder bei deren oder dessen Untätigkeit
-
Teil 3: Kapitel 4 - Pflichten der Verantwortlichen und Auftragverarbeiter (§§ 62 - 77)
- § 62 Auftragsverarbeitung
- § 63 Gemeinsam Verantwortliche
- § 64 Anforderungen an die Sicherheit der Datenverarbeitung
- § 65 Meldung von Verletzungen des Schutzes personenbezogener Daten an die oder den Bundesbeauftragten
- § 66 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
- § 67 Durchführung einer Datenschutz-Folgenabschätzung
- § 68 Zusammenarbeit mit der oder dem Bundesbeauftragten
- § 69 Anhörung der oder des Bundesbeauftragten
- § 70 Verzeichnis von Verarbeitungstätigkeiten
- § 71 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen
- § 72 Unterscheidung zwischen verschiedenen Kategorien betroffener Personen
- § 73 Unterscheidung zwischen Tatsachen und persönlichen Einschätzungen
- § 74 Verfahren bei Übermittlungen
- § 75 Berichtigung und Löschung personenbezogener Daten sowie Einschränkung der Verarbeitung
- § 77 Vertrauliche Meldung von Verstößen
- Teil 3: Kapitel 5 - Datenübermittlungen an Drittstaaten und an internationale Organisationen (§§ 78 - 81)
- Teil 3: Kapitel 6 Zusammenarbeit der Aufsichtsbehörden (§ 82)
- Teil 3: Kapitel 7 - Haftung und Sanktionen (§§ 83 - 84)
- Teil 4: (§§ 85 - 86)
§ 67 Durchführung einer Datenschutz-Folgenabschätzung
- Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die betroffenen Personen durchzuführen.
- Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Gefahrenpotential kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.
- Der Verantwortliche hat die Datenschutzbeauftragte oder den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung zu beteiligen.
- Die Folgenabschätzung hat den Rechten der von der Verarbeitung betroffenen Personen Rechnung zu tragen und zumindest Folgendes zu enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
- eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und
- die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen.
- Soweit erforderlich, hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.