„Bei risikobehafteter Datenverarbeitung muss eine Datenschutz-Folgenabschätzung (DS-FA) nach bestimmten Kriterien durchgeführt und bei sich daraus ergebender Notwendigkeit die zuständige Aufsichtsbehörde informiert werden.“
Die datenerfassende Stelle muss abhängig vom Schutzbedarf der von ihnen erfassten Daten und der wirtschaftlichen Zumutbarkeit geeignete technische und organisatorische Maßnahmen zur Datensicherheit treffen.
Zu gewährleisten ist außerdem die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten (pbD) verarbeitet werden.
Zusätzlich muss bei risikobehafteter Datenverarbeitung eine Datenschutz-Folgenabschätzung nach bestimmten Kriterien durchgeführt werden. Falls sich daraus ergibt, dass ein Risiko für die pbD und damit für die betroffenen Personen selbst besteht, muss die datenerfassende Stelle die für sie zuständige Aufsichtsbehörde (Datenschutzbeauftragter des jeweiligen Bundeslandes) darüber informieren. Diese soll dann binnen acht Wochen schriftliche Empfehlungen zur Risikominimierung geben – sie darf die Datenverarbeitung jedoch auch untersagen.
Datenschutzverstöße
Alle Datenschutzpannen (Datenschutzverstöße) müssen gemeldet werden, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Diese Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der zuständigen Aufsichtsbehörde eingereicht werden. Auch die Betroffenen sind „ohne unangemessene Verzögerung“ zu benachrichtigen.