Vorabkontrolle: Diese Punkte müssen Sie beachten

gesetz 02
Fachbeitrag

Auch wenn die Vorabkontrolle mit dem Inkrafttreten der DS-GVO durch die Datenschutz-Folgenabschätzung ersetzt wird, darf das Thema nicht ignoriert werden. Zum einen ist das BDSG noch 2 Jahre gültig, zum anderen zeichnen sich inhaltlich noch keine gravierenden Änderungen zwischen dieser und der Datenschutz-Folgenabschätzung ab.

Erforderlichkeit einer Vorabkontrolle

Gemäß § 4d Abs. 5 BDSG ist eine Vorabkontrolle erforderlich, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeit, seiner Leistung oder seines Verhaltens.

Von einer Vorabkontrolle kann abgesehen werden, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Durch die Ausnahmeregelung könnte der Eindruck entsteht, dass eigentlich nur in einigen wenigen Fällen eine Vorabkontrolle durchzuführen ist. Dieser Eindruck ist zwar richtig, bedeutet aber nicht, dass die verantwortliche Stelle gänzlich untätig bleiben kann. Auch wenn eine Vorabkontrolle nach § 4d Abs. 5 S. 2 a. E. BDSG nicht durchzuführen ist, ist die verantwortliche Stelle trotzdem verpflichtet alle datenschutzrechtlich relevanten Verfahren vor ihrer Inbetriebnahme auf die Einhaltung der Datenschutzgrundsätze hin zu überprüfen. Zudem ist sie verpflichtet, bei solchen Verfahren ein internes Verfahrensverzeichnis zu führen.

Zuständigkeit

Gemäß § 4d Abs. 6 BDSG ist für die Vorabkontrolle der (interne oder externe) betriebliche Datenschutzbeauftragte zuständig. Ist die verantwortliche Stelle ausnahmsweise verpflichtet eine Vorabkontrolle durchzuführen, hat sie daher einen betrieblichen Datenschutzbeauftragten zu bestellen und zwar unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen (vgl. insoweit § 4f Abs. 1 S. 4 BDSG).

Internes Verfahrensverzeichnis

Der betriebliche Datenschutzbeauftragte führt die Vorabkontrolle erst durch, nachdem die verantwortliche Stelle ihm ein internes Verfahrensverzeichnis über das geplante Verfahren sowie die Angaben über die zugriffsberechtigte Personen zur Verfügung gestellt hat. Das interne Verfahrensverzeichnis muss insbesondere folgende Angaben enthalten:

  • Zweck der Datenerhebung, -verarbeitung und -nutzung
  • betroffene Personengruppen
  • Art der Daten
  • mögliche Datenempfänger (sowohl intern als auch extern)
  • geplante Speicherfristen
  • technische und organisatorische Maßnahmen

Prüfungspunkte bei einer Vorabkontrolle

Ziel einer Vorabkontrolle ist die Prüfung der formellen und materiellen Rechtmäßigkeit des Verfahrens in seiner Gesamtheit. Dadurch soll gewährleistet werden, dass die gesetzlichen Vorschriften zum Schutz der Betroffenen und ihr Recht auf informationelle Selbstbestimmung beachtet wurden.

Der betriebliche Datenschutzbeauftragte hat vor Einführung eines neuen Verfahrens i.S.d. § 4d Abs. 5 BDSG zu prüfen, ob

  • die Erhebung, Verarbeitung oder Nutzung der Daten auf Grundlage der entsprechenden Rechtsgrundlage erfolgt (insbes. § 6b, § 28, § 32 BDSG)
  • angemessene technische und organisatorische Maßnahmen geplant wurden (§ 9 BDSG und Anlage hierzu)
  • gesetzliche Form-, Verfahrens- und Informationsregelungen eingehalten wurden (z.B. bei Videoüberwachung der Hinweispflicht nach § 6b Abs. 2 BDSG)
  • der Grundsatz der Datenvermeidung und Datensparsamkeit beachtet wurde (§ 3a BDSG)
  • soweit ein Betriebsrat vorhanden ist, das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG greift.

Technische und organisatorische Maßnahmen und Gefahrenanalyse

Hinsichtlich der technischen und organisatorischen Maßnahmen sind insbesondere folgende Punkte zu beachten:

  • Gefahren für Vertraulichkeit, Integrität und Verfügbarkeit der Daten
  • mögliche Folgen bei missbräuchlicher Verwendung
  • Eingesetzte Technik und ihre spezifischen Risiken

Eine gute Übersicht zu den Prüfungspunkten einer Vorabkontrolle hat die Landesbeauftragte für den Datenschutz Niedersachsen veröffentlicht.

Ab 2018 Datenschutz-Folgenabschätzung

Mit der DSGVO wird 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 33 DSGVO). Diese Folgenabschätzung ist grundsätzlich nichts anderes als die oben beschriebene Vorabkontrolle. Mehr Informationen dazu, finden Sie in unserem Beitrag zur Datenschutz-Folgenabschätzung.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung einer Datenschutz-Dokumentation (z.B. internes / öffentliches Verfahrensverzeichnis)
  • Bereitstellung von Verpflichtungserklärungen auf das Datengeheimnis
  • Formulierung von Betriebsvereinbarungen bei datenschutzrelevanten Sachverhalten

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Dokumente

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.