Artikel 36 EU-DSGVO: Vorherige Konsultation

  1. Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

  2.  

    1. Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben.

    2. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. 

    3. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung.

    4. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.

  3. Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung:

    1. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;

    2. die Zwecke und die Mittel der beabsichtigten Verarbeitung;

    3. die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien;

    4. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

    5. die Datenschutz-Folgenabschätzung gemäß Artikel 35 und

    6. alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.

  4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen.

  5. Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

Kommentar zu Art. 36 DSGVO

Was sagt Art. 36 DSGVO aus?


Artikel 36 DSGVO sieht in einem bestimmten Fall eine Konsultation der Aufsichtsbehörde vor der Datenverarbeitung vor. Stellt ein Unternehmen bei einer Datenschutz-Folgenabschätzung fest, dass die Datenverarbeitung ein hohes Risiko hervorrufen würde, konsultiert es die Aufsichtsbehörde. Dies gilt jedoch nur dann, wenn das Unternehmen das Risiko nicht durch geeignete Maßnahmen eindämmt.

Gemäß Absatz 2 erteilt die Aufsichtsbehörde dem Unternehmen schriftliche Empfehlungen, falls die Datenverarbeitung der Verordnung widersprechen würde. Außerdem kann sie ihre Untersuchungs- und Abhilfebefugnisse nach Artikel 58 DSGVO wahrnehmen. Hierfür ist eine Frist von bis zu acht Wochen vorgesehen, die die Behörde jedoch um bis zu sechs Wochen verlängern kann.

Was müssen Unternehmen beachten, wenn sie die Aufsichtsbehörde nach Art. 36 DSGVO konsultieren?


Ist Ihr Unternehmen von der Konsultation betroffen, informieren Sie die Aufsichtsbehörde nach Absatz 3 über diese Punkte:

  • Zuständigkeitsbereiche des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Datenverarbeitung beteiligten Auftragsverarbeiter

  • Zwecke und Mittel der geplanten Datenverarbeitung

  • Maßnahmen und Garantien, die die DSGVO zum Schutz der Betroffenen vorsieht

  • gegebenenfalls die Daten des Datenschutzbeauftragten

  • die vorgenommene Datenschutz-Folgenabschätzung (Artikel 35 DSGVO)

Außerdem lassen Sie der Behörde jene Informationen zukommen, die sie bei Ihnen angefordert hat. Gemäß Absatz 5 des Artikels 36 DSGVO kann der nationale Gesetzgeber ein Unternehmen dazu verpflichten, die Aufsichtsstelle zu konsultieren und eine Datenverarbeitung genehmigen zu lassen, wenn es um öffentliche Interessen geht. Eine kompetente Auskunft über solche Konsultations- und Genehmigungspflichten können Sie bei einer professionellen Datenschutzberatung erhalten.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr