Auch wenn die Vorabkontrolle mit dem Inkrafttreten der DS-GVO durch die Datenschutz-Folgenabschätzung ersetzt wird, darf das Thema nicht ignoriert werden. Zum einen ist das BDSG noch 2 Jahre gültig, zum anderen zeichnen sich inhaltlich noch keine gravierenden Änderungen zwischen dieser und der Datenschutz-Folgenabschätzung ab.
Der Inhalt im Überblick
Erforderlichkeit einer Vorabkontrolle
Gemäß § 4d Abs. 5 BDSG ist eine Vorabkontrolle erforderlich, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
- besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden oder
- die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeit, seiner Leistung oder seines Verhaltens.
Von einer Vorabkontrolle kann abgesehen werden, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Durch die Ausnahmeregelung könnte der Eindruck entsteht, dass eigentlich nur in einigen wenigen Fällen eine Vorabkontrolle durchzuführen ist. Dieser Eindruck ist zwar richtig, bedeutet aber nicht, dass die verantwortliche Stelle gänzlich untätig bleiben kann. Auch wenn eine Vorabkontrolle nach § 4d Abs. 5 S. 2 a. E. BDSG nicht durchzuführen ist, ist die verantwortliche Stelle trotzdem verpflichtet alle datenschutzrechtlich relevanten Verfahren vor ihrer Inbetriebnahme auf die Einhaltung der Datenschutzgrundsätze hin zu überprüfen. Zudem ist sie verpflichtet, bei solchen Verfahren ein internes Verfahrensverzeichnis zu führen.
Zuständigkeit
Gemäß § 4d Abs. 6 BDSG ist für die Vorabkontrolle der (interne oder externe) betriebliche Datenschutzbeauftragte zuständig. Ist die verantwortliche Stelle ausnahmsweise verpflichtet eine Vorabkontrolle durchzuführen, hat sie daher einen betrieblichen Datenschutzbeauftragten zu bestellen und zwar unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen (vgl. insoweit § 4f Abs. 1 S. 4 BDSG).
Internes Verfahrensverzeichnis
Der betriebliche Datenschutzbeauftragte führt die Vorabkontrolle erst durch, nachdem die verantwortliche Stelle ihm ein internes Verfahrensverzeichnis über das geplante Verfahren sowie die Angaben über die zugriffsberechtigte Personen zur Verfügung gestellt hat. Das interne Verfahrensverzeichnis muss insbesondere folgende Angaben enthalten:
- Zweck der Datenerhebung, -verarbeitung und -nutzung
- betroffene Personengruppen
- Art der Daten
- mögliche Datenempfänger (sowohl intern als auch extern)
- geplante Speicherfristen
- technische und organisatorische Maßnahmen
Prüfungspunkte bei einer Vorabkontrolle
Ziel einer Vorabkontrolle ist die Prüfung der formellen und materiellen Rechtmäßigkeit des Verfahrens in seiner Gesamtheit. Dadurch soll gewährleistet werden, dass die gesetzlichen Vorschriften zum Schutz der Betroffenen und ihr Recht auf informationelle Selbstbestimmung beachtet wurden.
Der betriebliche Datenschutzbeauftragte hat vor Einführung eines neuen Verfahrens i.S.d. § 4d Abs. 5 BDSG zu prüfen, ob
- die Erhebung, Verarbeitung oder Nutzung der Daten auf Grundlage der entsprechenden Rechtsgrundlage erfolgt (insbes. § 6b, § 28, § 32 BDSG)
- angemessene technische und organisatorische Maßnahmen geplant wurden (§ 9 BDSG und Anlage hierzu)
- gesetzliche Form-, Verfahrens- und Informationsregelungen eingehalten wurden (z.B. bei Videoüberwachung der Hinweispflicht nach § 6b Abs. 2 BDSG)
- der Grundsatz der Datenvermeidung und Datensparsamkeit beachtet wurde (§ 3a BDSG)
- soweit ein Betriebsrat vorhanden ist, das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG greift.
Technische und organisatorische Maßnahmen und Gefahrenanalyse
Hinsichtlich der technischen und organisatorischen Maßnahmen sind insbesondere folgende Punkte zu beachten:
- Gefahren für Vertraulichkeit, Integrität und Verfügbarkeit der Daten
- mögliche Folgen bei missbräuchlicher Verwendung
- Eingesetzte Technik und ihre spezifischen Risiken
Eine gute Übersicht zu den Prüfungspunkten einer Vorabkontrolle hat die Landesbeauftragte für den Datenschutz Niedersachsen veröffentlicht.
Ab 2018 Datenschutz-Folgenabschätzung
Mit der DSGVO wird 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 33 DSGVO). Diese Folgenabschätzung ist grundsätzlich nichts anderes als die oben beschriebene Vorabkontrolle. Mehr Informationen dazu, finden Sie in unserem Beitrag zur Datenschutz-Folgenabschätzung.