(1) Eine Datenschutz-Folgenabschätzung nach Artikel 35 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 soll nicht durchgeführt werden, soweit diese für eine Verarbeitung, die im Wesentlichen unverändert übernommen wird, bereits von der fachlich zuständigen obersten Landesbehörde oder von einer durch diese ermächtigten öffentlichen Stelle durchgeführt wurde.

(2) Die obersten Landesbehörden können den öffentlichen Stellen ihres Geschäftsbereichs die Ergebnisse der von ihnen oder durch von ihnen ermächtigten Behörden durchgeführten Datenschutz-Folgenabschätzungen zur Verfügung stellen, soweit die Information nicht die Sicherheit von IT-Systemen gefährden würde.

(3) Entwickelt eine öffentliche Stelle ein automatisiertes Verfahren, das zum Einsatz durch öffentliche Stellen bestimmt ist, so kann sie, sofern die Voraussetzungen des Artikel 35 Absatz 1 der Verordnung (EU) 2016/679 bei diesem Verfahren vorliegen, die Folgenabschätzung nach den Artikeln 35 und 36 der Verordnung (EU) 2016/679 durchführen. Soweit das Verfahren von öffentlichen Stellen im Wesentlichen unverändert übernommen wird, kann eine weitere Folgenabschätzung durch die übernehmenden öffentlichen Stellen unterbleiben.