Skip to content

§ 9 Datenschutz-Folgenabschätzung

(1) Eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der Datenschutz-Grundverordnung durch den Verantwortlichen kann unterbleiben, soweit

  1. eine solche für den Verarbeitungsvorgang bereits vom fachlich zuständigen Ministerium oder einer von diesem ermächtigten öffentlichen Stelle durchgeführt wurde und dieser Verarbeitungsvorgang im Wesentlichen unverändert übernommen wird oder
  2. der konkrete Verarbeitungsvorgang in einer Rechtsvorschrift geregelt ist und im Rechtsetzungsverfahren bereits eine Datenschutz-Folgenabschätzung erfolgt ist, es sei denn, dass in der Rechtsvorschrift etwas anderes bestimmt ist.

Die Ministerien stellen den öffentlichen Stellen die Ergebnisse der von ihnen und der von ihnen ermächtigten öffentlichen Stellen durchgeführten Datenschutz-Folgenabschätzungen zur Verfügung.

(2) Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Artikels 35 Abs. 1 der Datenschutz-Grundverordnung bei diesem Verfahren vorliegen, die Datenschutz-Folgenabschätzung nach den Artikeln 35 und 36 der Datenschutz-Grundverordnung durchführen. Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Datenschutz-Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.