(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Hessische Datenschutzbeauftragte oder den Hessischen Datenschutzbeauftragten zu konsultieren, wenn
- aus einer Datenschutz-Folgenabschätzung nach § 62 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder
- die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.
Die oder der Hessische Datenschutzbeauftragte kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur vorherigen Konsultation nach Satz 1 unterliegen. § 59 Abs. 1 Satz 2 gilt entsprechend.
(2) Der oder dem Hessischen Datenschutzbeauftragten sind im Fall des Abs. 1 vorzulegen:
- die nach § 62 durchgeführte Datenschutz-Folgenabschätzung,
- gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
- Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung,
- Angaben zu den zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien und
- die Kontaktdaten der oder des Datenschutzbeauftragten.
Auf Anfrage sind der oder dem Hessischen Datenschutzbeauftragten alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Risiken und die diesbezüglichen Garantien bewerten zu können.
(3) Falls die oder der Hessische Datenschutzbeauftragte der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu sechs Wochen nach Erhalt des Ersuchens um Konsultation schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Hessische Datenschutzbeauftragte kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders komplex ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Eingang des Antrags auf Konsultation den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zusammen mit den Gründen für die Verzögerung zu informieren.
(4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der vorherigen Konsultation, aber vor Ablauf der in Abs. 3 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Hessischen Datenschutzbeauftragten im Nachhinein zu berücksichtigen und sind die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.
(5) Die oder der Hessische Datenschutzbeauftragte ist bei der Ausarbeitung eines Vorschlags für eine vom Landtag zu erlassende Gesetzgebungsmaßnahme oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung personenbezogener Daten betreffen, zu konsultieren.