Zum Inhalt springen Zur Navigation springen
Vertrauen ist gut, (Vorab)Kontrolle ist besser

Vertrauen ist gut, (Vorab)Kontrolle ist besser

Äußerst selten lassen sich neue Systeme oder automatisierte Verfahren ad hoc als rechtlich zulässig oder aber unzulässig einordnen. Meist wird dann im Schnelldurchlauf eine Grobprüfung vorgenommen – und am Ende aus dem Bauch heraus entschieden. Leider wissen nur die wenigsten, dass die Durchführung einer solchen Kontrolle bestimmter Verfahren sogar eine gesetzliche Verpflichtung ist…

Was ist eine Vorabkontrolle?

Gut versteckt ist im BDSG die Notwendigkeit einer Vorabkontrolle in § 4d Abs. 5 geregelt. Dort heißt es:

 „Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).“

Im Anschluss folgen zwei Punkte, wann eine Vorabkontrolle insbesondere durchzuführen ist, nämlich wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens.

Das bedeutet, dass diese Verfahren bereits bevor sie in Betrieb genommen werden, auf Herz und Nieren zu überprüfen sind.

Welche Verfahren unterliegen der Vorabkontrolle?

Das Gesetz bietet durch die offenen Begriffe einen sehr weiten Spielraum, welche Verfahren überhaupt einer Vorabkontrolle unterliegen. Grundsätzlich kann von der Notwendigkeit zur Durchführung einer Vorabkontrolle in folgenden Fällen ausgegangen werden:

  • Videoüberwachung
  • Einführung eines GPS-Systems
  • Erstellung von Kundenprofilen
  • Personalinformations-, -entwicklungs- und –verwaltungssysteme

Weitere Beispiele finden sich im Datenschutz-WIKI  des BfDI.

Wer ist für die Durchführung der Vorabkontrolle verantwortlich?

Die Vorabkontrolle wird gemäß § 4d Abs. 6 BDSG durch den Datenschutzbeauftragten durchgeführt. Dafür muss er auf der einen Seite erst einmal über das geplante Verfahren informiert werden und auf der anderen Seite notwendige Informationen zur Beurteilung der Zulässigkeit erhalten.

Hierfür muss er ein Verfahrensverzeichnis erhalten, in dem unter anderem die technischen und organisatorischen Maßnahmen des jeweiligen Verfahrens geregelt sind. Es lohnt sich dabei, den Datenschutzbeauftragten frühzeitig in die Planung neuer Verfahren einzubinden, um so besondere Risiken von Mitarbeitern oder Kunden fernhalten zu können. Weitere Informationen finden Sie in unserem neuen Beitrag Vorabkontrolle: Diese Punkte müssen Sie beachten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.