Vertrauen ist gut, (Vorab)Kontrolle ist besser

gesetz 09
Fachbeitrag

Äußerst selten lassen sich neue Systeme oder automatisierte Verfahren ad hoc als rechtlich zulässig oder aber unzulässig einordnen. Meist wird dann im Schnelldurchlauf eine Grobprüfung vorgenommen – und am Ende aus dem Bauch heraus entschieden. Leider wissen nur die wenigsten, dass die Durchführung einer solchen Kontrolle bestimmter Verfahren sogar eine gesetzliche Verpflichtung ist…

Was ist eine Vorabkontrolle?

Gut versteckt ist im BDSG die Notwendigkeit einer Vorabkontrolle in § 4d Abs. 5 geregelt. Dort heißt es:

 „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“

Im Anschluss folgen zwei Punkte, wann eine Vorabkontrolle insbesondere durchzuführen ist, nämlich wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens.

Das bedeutet, dass diese Verfahren bereits bevor sie in Betrieb genommen werden, auf Herz und Nieren zu überprüfen sind.

Welche Verfahren unterliegen der Vorabkontrolle?

Das Gesetz bietet durch die offenen Begriffe einen sehr weiten Spielraum, welche Verfahren überhaupt einer Vorabkontrolle unterliegen. Grundsätzlich kann von der Notwendigkeit zur Durchführung einer Vorabkontrolle in folgenden Fällen ausgegangen werden:

  • Videoüberwachung
  • Einführung eines GPS-Systems
  • Erstellung von Kundenprofilen
  • Personalinformations-, -entwicklungs- und –verwaltungssysteme

Weitere Beispiele finden sich im Datenschutz-WIKI  des BfDI.

Wer ist für die Durchführung der Vorabkontrolle verantwortlich?

Die Vorabkontrolle wird gemäß § 4d Abs. 6 BDSG durch den Datenschutzbeauftragten durchgeführt. Dafür muss er auf der einen Seite erst einmal über das geplante Verfahren informiert werden und auf der anderen Seite notwendige Informationen zur Beurteilung der Zulässigkeit erhalten.

Hierfür muss er ein Verfahrensverzeichnis erhalten, in dem unter anderem die technischen und organisatorischen Maßnahmen des jeweiligen Verfahrens geregelt sind. Es lohnt sich dabei, den Datenschutzbeauftragten frühzeitig in die Planung neuer Verfahren einzubinden, um so besondere Risiken von Mitarbeitern oder Kunden fernhalten zu können. Weitere Informationen finden Sie in unserem neuen Beitrag Vorabkontrolle: Diese Punkte müssen Sie beachten.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung von Verträgen zur Auftragsdatenverarbeitung
  • Durchführung der gesetzlich vorgeschriebenen Dienstleisterkontrolle
  • Dokumentation des laufenden Prozesses, sowie regelmäßige Folgeprüfungen

Informieren Sie sich hier über unser Leistungsspektrum: Auftragsdatenverarbeitung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.