(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Datenverarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

(2) Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine gemeinsame Datenschutz-Folgenabschätzung vorgenommen werden.

(3) ¹Die Folgenabschätzung hat die Rechte und die schutzwürdigen Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener angemessen zu berücksichtigen. ²Sie ist schriftlich zu dokumentieren und enthält zumindest

1. 1.

   eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,

2. 2.

   eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,

3. 3.

   eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

4. 4.

   die Maßnahmen, mit denen die bestehenden Risiken eingedämmt werden sollen, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden soll.

(4) Der Verantwortliche holt bei der Durchführung der Datenschutz-Folgenabschätzung den Rat der oder des behördlichen Datenschutzbeauftragten ein.

(5) Soweit erforderlich hat der Verantwortliche eine Überprüfung durchzuführen, ob die Verarbeitung den Maßgaben folgt, die sich aus der Folgenabschätzung ergeben haben.