§ 58

(1) Der Verantwortliche hat vor der Inbetriebnahme von neu anzulegenden Dateisystemen die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit oder den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit anzuhören, wenn 1. aus einer Datenschutz-Folgenabschätzung nach § 57 hervorgeht, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, oder 2. die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, Mechanismen oder Verfahren, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann eine Liste der Verarbeitungsvorgänge erstellen, die der Pflicht zur vorherigen Anhörung nach Satz 1 unterliegen. § 54 Absatz 1 Satz 2 gilt entsprechend. (2) Der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind im Fall des Absatzes 1 vorzulegen: 1. die nach § 57 durchgeführte Datenschutz-Folgenabschätzung, 2. gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, 3. Angaben zu den Zwecken und Mitteln der beabsichtigten Verarbeitung, 4. Angaben zu den zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien und 5. die Kontaktdaten der oder des Datenschutzbeauftragten. Auf Anfrage sind der oder dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit alle sonstigen Informationen zu übermitteln, die sie oder er benötigt, um die Rechtmäßigkeit der Verarbeitung sowie insbesondere die in Bezug auf den Schutz der personenbezogenen Daten der betroffenen Personen bestehenden Risiken und die diesbezüglichen Garantien bewerten zu können. (3) Falls die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Auffassung ist, dass die geplante Verarbeitung gegen gesetzliche Vorgaben verstoßen würde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, kann sie oder er dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu sechs Wochen nach Einleitung der Anhörung schriftliche Empfehlungen unterbreiten, welche Maßnahmen noch ergriffen werden sollten. Die oder der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann diese Frist um einen Monat verlängern, wenn die geplante Verarbeitung besonders schwierig ist. Sie oder er hat in diesem Fall innerhalb eines Monats nach Einleitung der Anhörung den Verantwortlichen und gegebenenfalls den Auftragsverarbeiter über die Fristverlängerung zusammen mit den Gründen für die Verzögerung zu informieren. (4) Hat die beabsichtigte Verarbeitung erhebliche Bedeutung für die Aufgabenerfüllung des Verantwortlichen und ist sie daher besonders dringlich, kann er mit der Verarbeitung nach Beginn der Anhörung, aber vor Ablauf der in Absatz 3 genannten Frist beginnen. In diesem Fall sind die Empfehlungen der oder des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit im Nachhinein zu berücksichtigen und ist die Art und Weise der Verarbeitung daraufhin gegebenenfalls anzupassen.