Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

So weisen Sie die Einhaltung von Artikel 36 der DSGVO nach

Artikel 36 der DSGVO verpflichtet Organisationen, vor der Verarbeitung personenbezogener Daten eine Aufsichtsbehörde zu konsultieren, wenn eine Datenschutz-Folgenabschätzung (DSFA) hohe, nicht zu minimierende Risiken aufzeigt. Dies gewährleistet ein proaktives Risikomanagement und die Einhaltung der Datenschutzbestimmungen.

Autorin
David Holloway
Aktualisiert September 30, 2025
4 / 5 Sterne

Navigation durch Artikel 36 der DSGVO: Schritte zur Gewährleistung der Einhaltung

Datenschutz Artikel 36 beschreibt die Verpflichtung einer Organisation, vor der Durchführung einer DSFA eine „Aufsichtsbehörde“ zu konsultieren (siehe Artikel 35), um die Rechte und Freiheiten der betroffenen Personen während des gesamten Verarbeitungsvorgangs weiter zu schützen.

DSGVO Artikel 36 Gesetzestext

EU-DSGVO-Version

Vorherige Beratung

  1. Der für die Verarbeitung Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn eine Datenschutz-Folgenabschätzung gemäß Artikel 35 ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift.
  2. Ist die Aufsichtsbehörde der Ansicht, dass die in Absatz 1 genannte beabsichtigte Verarbeitung gegen diese Verordnung verstoßen würde, insbesondere wenn der Verantwortliche das Risiko nicht ausreichend erkannt oder abgemildert hat, muss die Aufsichtsbehörde dies innerhalb einer Frist von bis zu acht Wochen nach Erhalt der Mitteilung tun Er erteilt dem für die Verarbeitung Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter eine schriftliche Stellungnahme und kann alle seine in Artikel 58 genannten Befugnisse nutzen. Diese Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden . Die Aufsichtsbehörde teilt dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter eine solche Verlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens unter Angabe der Gründe für die Verzögerung mit. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat.
  3. Bei der Konsultation der Aufsichtsbehörde gemäß Absatz 1 übermittelt der Verantwortliche der Aufsichtsbehörde Folgendes:

    • (a) gegebenenfalls die jeweiligen Verantwortlichkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei der Verarbeitung innerhalb einer Unternehmensgruppe;
    • (b) die Zwecke und Mittel der beabsichtigten Verarbeitung;
    • (c) die Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung;
    • (d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    • (e) die Datenschutz-Folgenabschätzung gemäß Artikel 35; Und
    • (f) alle anderen von der Aufsichtsbehörde angeforderten Informationen.
  4. Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für eine von einem nationalen Parlament zu verabschiedende Gesetzgebungsmaßnahme oder einer auf einer solchen Gesetzgebungsmaßnahme basierenden Regulierungsmaßnahme, die sich auf die Verarbeitung bezieht.
  5. Ungeachtet des Absatzes 1 können die Rechtsvorschriften der Mitgliedstaaten von den für die Verarbeitung Verantwortlichen verlangen, dass sie sich bei der Verarbeitung durch einen für die Verarbeitung Verantwortlichen zur Erfüllung einer Aufgabe, die der für die Verarbeitung Verantwortliche im öffentlichen Interesse wahrnimmt, einschließlich der damit verbundenen Verarbeitung, mit der Aufsichtsbehörde beraten und eine vorherige Genehmigung von ihr einholen zum Sozialschutz und zur öffentlichen Gesundheit.

Britische DSGVO-Version

Vorherige Beratung

  1. Der für die Verarbeitung Verantwortliche konsultiert den Datenschutzbeauftragten vor der Verarbeitung, wenn eine Datenschutz-Folgenabschätzung gemäß Artikel 35 ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift.
  2. Ist der Beauftragte der Ansicht, dass die in Absatz 1 genannte beabsichtigte Verarbeitung gegen diese Verordnung verstoßen würde, insbesondere wenn der Verantwortliche das Risiko nicht ausreichend erkannt oder gemindert hat, muss der Beauftragte dies innerhalb einer Frist von bis zu acht Wochen nach Eingang des Antrags tun Zur Konsultation erteilt er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter schriftliche Ratschläge und kann alle in Artikel 58 genannten Befugnisse nutzen. Diese Frist kann unter Berücksichtigung der Komplexität der beabsichtigten Verarbeitung um sechs Wochen verlängert werden. Der Beauftragte informiert den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über jede solche Verlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens und nennt dabei auch die Gründe für die Verzögerung. Diese Zeiträume können ausgesetzt werden, bis der Kommissar die Informationen erhalten hat, die er für die Zwecke der Konsultation angefordert hat.
  3. Bei der Konsultation des Datenschutzbeauftragten gemäß Absatz 1 übermittelt der für die Verarbeitung Verantwortliche der Aufsichtsbehörde Folgendes:

    • (a) gegebenenfalls die jeweiligen Verantwortlichkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei der Verarbeitung innerhalb einer Unternehmensgruppe;
    • (b) die Zwecke und Mittel der beabsichtigten Verarbeitung;
    • (c) die Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung;
    • (d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    • (e) die Datenschutz-Folgenabschätzung gemäß Artikel 35; Und
    • (f) alle anderen von der Aufsichtsbehörde angeforderten Informationen.
  4. Die zuständige Behörde muss den Kommissar bei der Ausarbeitung eines Vorschlags für eine gesetzgeberische Maßnahme konsultieren, die vom Parlament, der walisischen Nationalversammlung, dem schottischen Parlament oder der nordirischen Versammlung angenommen werden soll, oder bei der Vorbereitung einer Regulierungsmaßnahme, die auf einer solchen gesetzgeberischen Maßnahme basiert. was sich auf die Verarbeitung bezieht.

    • 4A. In Absatz 4 bedeutet „die zuständige Behörde“: (a) in Bezug auf eine vom Parlament angenommene gesetzgeberische Maßnahme oder eine auf einer solchen gesetzgeberischen Maßnahme basierende Regulierungsmaßnahme den Außenminister; (b) in Bezug auf eine von der Nationalversammlung von Wales angenommene Gesetzgebungsmaßnahme oder eine auf einer solchen Gesetzgebungsmaßnahme basierende Regulierungsmaßnahme die walisischen Minister; (c) in Bezug auf eine vom schottischen Parlament angenommene Gesetzgebungsmaßnahme oder eine auf einer solchen Gesetzgebungsmaßnahme basierende Regulierungsmaßnahme die schottischen Minister; (d) in Bezug auf eine von der Nordirland-Versammlung angenommene Gesetzgebungsmaßnahme oder eine auf einer solchen Gesetzgebungsmaßnahme basierende Regulierungsmaßnahme das zuständige nordirische Ministerium.
  5. Ungeachtet des Absatzes 1 können die Rechtsvorschriften der Mitgliedstaaten von den für die Verarbeitung Verantwortlichen verlangen, dass sie sich bei der Verarbeitung durch einen für die Verarbeitung Verantwortlichen zur Erfüllung einer Aufgabe, die der für die Verarbeitung Verantwortliche im öffentlichen Interesse wahrnimmt, einschließlich der damit verbundenen Verarbeitung, mit der Aufsichtsbehörde beraten und eine vorherige Genehmigung von ihr einholen zum Sozialschutz und zur öffentlichen Gesundheit.


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 5.2.2 (Verstehen der Bedürfnisse und Erwartungen interessierter Parteien) und EU-DSGVO Artikel 36

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 36 (1), 36 (2), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) und 36 (5)

Der Schutz personenbezogener Daten und der Privatsphäre kann sich sowohl intern als auch extern auf eine große Anzahl von Mitarbeitern, Benutzern und Kunden auswirken.

Organisationen müssen ein klares Verständnis für die Bedürfnisse des betroffenen Personals und dessen, was ISO als „interessierte Parteien“ betrachtet, erlangen.

Die Organisation muss Folgendes festlegen und dokumentieren:

  • Alle „interessierten Parteien“, die für das umfassendere Thema Datenschutz relevant sind.
  • Was sind die besonderen Anforderungen dieser Personen im Rahmen eines PIMS?

Organisationen sollten neben praktischen und betrieblichen Anforderungen auch alle gesetzlichen, behördlichen oder vertraglichen Verpflichtungen berücksichtigen.

Bei der Implementierung eines PIMS müssen Organisationen eine Liste interessierter Parteien erstellen, die entweder von einem PIMS betroffen sind oder eine Rolle bei der Verarbeitung personenbezogener Daten spielen.

Wenn es um PII geht, könnte ein Interessent einer der folgenden sein (aber nicht beschränkt auf):

  • Ein Angestellter.
  • Ein Kunde.
  • Regulierungs-, Justiz- oder Aufsichtsbehörden.
  • Andere PII-Controller und -Prozessoren.

Es ist wichtig zu beachten, dass PII-Anforderungen – im Zusammenhang mit einem PIMS – oft aus einer Vielzahl von Quellen stammen, darunter:

  • Interne Prozesse und Ziele.
  • Regierungs- und/oder Regulierungsbehörden.
  • Vertragliche Verpflichtungen gegenüber Drittorganisationen.

Für Regierungs- und Regulierungsorganisationen kann es oft schwierig sein, die Einhaltung veröffentlichter Datenschutzstandards seitens einer Organisation in ihrer Rolle als PII-Verarbeiter und Verantwortlicher zu bestätigen.

Daher müssen Organisationen von diesen Gremien erwarten, dass sie unabhängige Überprüfungen aller relevanten Managementsysteme fordern, um ihre eigenen Prüfungsanforderungen zu erfüllen.

ISO 27701 Abschnitt 7.2.5 (Datenschutzfolgenabschätzung) und EU-DSGVO Artikel 36

In diesem Abschnitt sprechen wir über die DSGVO-Artikel 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)( e), 36 (3)(f) und 36 (5)

Die PII-Verarbeitung ist eine risikoreiche Geschäftsfunktion, die gründlich bewertet werden muss, um die Integrität, Authentizität und Rechtmäßigkeit der verarbeiteten Daten sicherzustellen.

Abhängig von der Gerichtsbarkeit müssen einige Organisationen eine kategorische Liste von Szenarien einhalten, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, wie zum Beispiel:

  1. Automatisierte Entscheidungsfindung.
  2. Verarbeitung spezieller PII-Kategorien auf Unternehmensebene.
  3. Überwachung großer öffentlicher Bereiche.

Organisationen müssen festlegen, was eine angemessene Folgenabschätzung darstellt, einschließlich (aber nicht beschränkt auf):

  • Welche Art von PII wird gespeichert?
  • Wo es gespeichert wird.
  • Wohin es verschoben werden kann.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-Artikel ISO 27701-Klausel Unterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 36 (1) bis 36 (5) ISO 27701 5.2.2 Non
EU-DSGVO Artikel 36 (1), 36 (3)(a), 36 (3)(b), 36 (3)(c), 36 (3)(d), 36 (3)(e), 36 (3)(f) und 36 (5) ISO 27701 7.2.5 Non

Wie ISMS.online hilft

Unterstützen Sie umfassendere Geschäftsentscheidungen. Mit all Ihren Daten an einem Ort, der auf Zusammenarbeit ausgelegt ist, sind Sie bestens gerüstet, um die richtigen Entscheidungen zur richtigen Zeit zu treffen.

Bleiben Sie dem Wandel immer einen Schritt voraus. Risiken sind nicht statisch, daher müssen Ihre Tools anpassungsfähig sein. Bewältigen Sie Bedrohungen und Chancen mühelos mit einem integrierten und dynamischen Tool, das die kontinuierliche Identifizierung, Bewertung und Behandlung von Risiken vereinfacht.

Erfahren Sie mehr von eine Demo buchen.

David Holloway

, Chief Marketing Officer

David Holloway ist Chief Marketing Officer bei ISMS.online und verfügt über mehr als vier Jahre Erfahrung in den Bereichen Compliance und Informationssicherheit. Als Teil des Führungsteams konzentriert sich David darauf, Unternehmen dabei zu unterstützen, sich sicher in komplexen regulatorischen Umgebungen zurechtzufinden und Strategien zu entwickeln, die Geschäftsziele mit wirkungsvollen Lösungen in Einklang bringen. Er ist außerdem Co-Moderator des Podcasts „Phishing For Trouble“, in dem er sich mit spektakulären Cybersicherheitsvorfällen befasst und wertvolle Erkenntnisse vermittelt, die Unternehmen dabei helfen, ihre Sicherheits- und Compliance-Praktiken zu stärken.

LinkedIn

DSGVO-Artikel

DSGVO im Detail

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Beratungstermin vereinbaren