Vorabkontrolle - ein wichtiges Instrument

Sicherheit im Vorfeld einer Verarbeitung

Unternehmen, die besonders schützenswerte, personenbezogene Daten, wie z.B. Gesundheitsdaten, Daten zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben erheben, verarbeiten oder nutzen, sind gesetzlich zu erhöhter Sorgfaltspflicht im Umgang mit diesen Daten verpflichtet.

Die hierfür vorgeschriebene Vorabkontrolle vor Inbetriebnahme der automatisierten Verarbeitung ermöglicht einen ersten Überblick, ob eine automatisierte Verarbeitung von Personendaten in Ihrem Unternehmen den gesetzlichen Regelungen entspricht.

Rechtlicher Hintergrund

Voraussetzung für eine Vorabkontrolle ist die beabsichtigte automatisierte Verarbeitung von personenbezogenen Daten, deren Durchführung besondere Risiken für den Betroffenen erwarten lassen. Die Vorabkontrolle wird in der EU-Datenschutzrichtlinie regelt in Art. 20 spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können geregelt.

Im Bundesdatenschutzgesetz (BDSG) befasst sich § 4d Abs. 5 und 6 mit der Thematik. Um also besondere Risiken für die Rechte und Freiheiten durch die beabsichtigte automatisierte Verarbeitung festzustellen und ggf. auszuschließen, ist deren Rechtmäßigkeit vor der Inbetriebnahme durch die verantwortliche Stelle zu prüfen.

Die EU-Richtlinie erwähnt aus diesem Grund ebenso bestimmte Verarbeitungen, die dazu geeignet sind, Betroffene von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen. Ebenso kritisch wird der Einsatz neuer Technologien genannt, die besondere Risiken im Hinblick auf die Rechte und Freiheiten für Betroffene aufweisen können. Eine solche Technologie  kann z. B. eine geplante Videoüberwachung oder eine biometrische Zeiterfassung sein.

Weitere Beispiele für Verarbeitungen zur Bewertung von den jeweils Betroffenen sind:

  • Verwendung von Beschäftigtendaten
    • Bewerberauswahlverfahren
    • Mitarbeiter-Ranglisten
    • Personalverwaltungssysteme
    • Skill-Datenbanken
  • Verbraucherinformationen in Kundenbindungsprogrammen
    • Lifestyle-Daten
    • Generierung von Verbraucherprofilen
    • Data-Warehouse- oder Data-Mining-Systeme
  • Kredit-, Versicherungs- und Handelsauskunfteien
  • Warndateien (z.B. Schwarzfahrer- und Wagnisdateien)
  • Kundenprofilerstellung
  • Scoringverfahren
  • Einsatz von Chipkarten
  • automatisierte Abrufverfahren

Zuständigkeit und Verantwortung

Zuständig für die Vorabkontrolle ist nach § 4d Abs. 6 Satz 1 BDSG der Beauftragte für den Datenschutz. Die verantwortliche Stelle ist gem. Satz 2 verpflichtet, ihm vor der Inbetriebnahme, d. h. in der Planungsphase, die Verfahrensübersicht zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1).

Die Entscheidung, ob das Verfahren letztlich in Betrieb genommen wird, liegt jedoch allein in der Verantwortung der verantwortlichen Stelle. Sie hat dabei vorgetragene Bedenken des Datenschutzbeauftragten bezüglich der Rechtmäßigkeit zu würdigen, hat aber keine Verpflichtung diesen zu folgen.

Bernhard Behr - ext. Datenschutzbeauftragter

Bernhard Behr – ext. Datenschutzbeauftragter

Haben Sie Fragen zur Vorabkontrolle oder benötigen Sie Unterstützung bei der Umsetzung. Unser Experte für die Vorabkontrolle, Herr Bernhard Behr, steht Ihnen mit Rat und Tat zur Seite. Nehmen Sie bitte Kontakt zu uns auf und wir unterstützen Sie bei der Umsetzung einer datenschutzkonformen Vorabkontrolle.

Zum Kontaktformular