GesetzePreiseDokuBenchmarks

Art. 35 – Datenschutz-Folgenabschätzung

DSGVO · zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(1)Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2)Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
(3)Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
(4)Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.
(5)Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
(6)Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
(7)Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
(8)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(9)Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(10)Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
(11)Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.02.2025

Zitierende Gerichtsentscheidungen

  • C-61/22 – RL gegen Landeshauptstadt WiesbadenECLI:EU:C:2024:251

    Vorlage zur Vorabentscheidung – Verordnung (EU) 2019/1157 – Erhöhung der Sicherheit von Personalausweisen der Bürger der Europäischen Union – Gültigkeit – Rechtsgrundlage – Art. 21 Abs. 2 AEUV – Art. 77 Abs. 3 AEUV – Verordnung (EU) 2019/1157 – Art. 3 Abs. 5 – Verpflichtung der Mitgliedstaaten, in das Speichermedium von Personalausweisen zwei Fingerabdrücke in interoperablen digitalen Formaten aufzunehmen – Art. 7 der Charta der Grundrechte der Europäischen Union – Achtung des Privat- und Familienlebens – Art. 8 der Charta der Grundrechte der Europäischen Union – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 35 – Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung – Aufrechterhaltung der zeitlichen Wirkungen einer für ungültig erklärten Verordnung

  • BSG, Urt. v. 06.03.2024 – B 6 KA 23/22 RECLI:DE:BSG:2024:060324UB6KA2322R0

    1. Die gesetzlichen Regelungen im Quartal 1/2019 der Pflicht zur Durchführung des Versichertenstammdatenabgleichs und zur Anbindung von Vertrags(zahn)ärzten und Einrichtungen an die Telematikinfrastruktur widersprechen nicht den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679). 2. Die Honorarkürzung der vertragsärztlichen Leistungen um ein Prozent im Quartal 1/2019 wegen unterbliebener Durchführung des Versichertenstammdatenabgleichs verletzt nicht die Berufsausübungsfreiheit.

  • BAG, Urt. v. 06.06.2023 – 9 AZR 383/19ECLI:DE:BAG:2023:060623.U.9AZR383.19.0

    Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren. Der bei gleichzeitiger Wahrnehmung beider Funktionen bestehende Interessenkonflikt rechtfertigt es, die Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragten zu widerrufen.

  • BSG, Beschl. v. 10.11.2021 – B 1 KR 86/20 BECLI:DE:BSG:2021:101121BB1KR8620B0
  • BSG, Urt. v. 20.01.2021 – B 1 KR 7/20 RECLI:DE:BSG:2021:200121UB1KR720R0

    1. Die gesetzlichen Regelungen zur elektronischen Gesundheitskarte stehen in Einklang mit den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679), ungeachtet der Frage, ob sie im Rahmen der gesetzlichen Krankenversicherung unmittelbar Anwendung findet, und verletzen die Versicherten weder in ihrem Grundrecht auf informationelle Selbstbestimmung noch in ihren Grundrechten nach der EU-Grundrechte-Charta (juris: EUGrdRCh). 2. Der Gesetzgeber hat mit den durch das Patientendaten-Schutz-Gesetz (PDSG) neu gefassten Regelungen des SGB V zur elektronischen Gesundheitskarte und zur Telematikinfrastruktur ausreichende Vorkehrungen zur Gewährleistung einer angemessenen Datensicherheit getroffen und ist dabei auch seiner Beobachtungs- und Nachbesserungspflicht nachgekommen. 3. Die Einhaltung der datenschutzrechtlichen Vorgaben im Zusammenhang mit der elektronischen Gesundheitskarte und der Telematikinfrastruktur ist durch die zuständigen Aufsichtsbehörden zu überwachen und können die Versicherten im Rahmen der speziellen datenschutzrechtlichen Rechtsbehelfe gerichtlich überprüfen lassen, ohne dass hierdurch die gesetzliche Obliegenheit zur Nutzung der elektronischen Gesundheitskarte und deren Verfassungsmäßigkeit tangiert werden.

  • BSG, Urt. v. 20.01.2021 – B 1 KR 15/20 RECLI:DE:BSG:2021:200121UB1KR1520R0

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 35 DSGVO und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 35 DSGVO direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.