*

Aug
29

Externer Datenschutzbeauftragter - …Vorabkontrolle

Externer Datenschutzbeauftragter Berlin Brandenburg - VorabkontrolleIst beabsichtigt, personenbezogenen Daten automatisiert zu verarbeiten und sind damit besondere Risiken für die Rechte und Freiheiten der Betroffenen verbunden, sind diese Verfahren bereits vor der Inbetriebnahme durch den zuständigen Datenschutzbeauftragten auf ihre datenschutzrechtliche Zulässigkeit zu prüfen. (§ 4 d Absatz 5 u. 6 Bundesdatenschutzgesetz).

  

Wann bestehen besondere Risiken?

In § 4 Absatz 5 Bundesdatenschutzgesetz werden zwei Regelbeispiele über die regelmäßige Annahme eines besonderen Risikos für die Persönlichkeitsrechte des Betroffenen genannt:

  • es sollen besondere Arten personenbezogener Daten verarbeitet werden (z. B. Daten zur Gesundheit, zur politischen Meinung, zum Sexualleben, zur rassischen oder ethnischen Herkunft des Betroffenen - …s. a. § 3 Absatz 9 Bundesdatenschutzgesetz)
  • die Verarbeitung der personenbezogenen Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens

Diese beiden Regelbeispiele sind nicht abschließend. Auch können wesentliche Änderungen eines Verfahrens (z. B. Standortverlagerung, Veränderungen der Infrastruktur, Einführung neuer Technologien) eine (erneute) Vorabkontrolle erforderlich machen.

  

Beispiele für besondere Risiken

Aufgrund der rasanten und anhaltenden Entwicklung von Technologien und Verfahren ist es richtig, dass der Gesetzgeber nicht im Detail regelt hat, in welchen Anwendungsfällen eine Vorabkontrolle zu erfolgen hat. Typische Anwendungsfälle sind aber zum Beispiel

  • Assementverfahren zur Personalauswahl
  • Beförderungsranglisten
  • Personalinformationssysteme
  • Personalentwicklungssysteme
  • Personalverwaltungssysteme
  • Skilldatenbanken
  • Warndateien
  • Verbraucher- und Kundenprofile
  • Videoüberwachung
  • Einsatz von Chipkarten
  • Automatisierte Abrufverfahren
  • Biometrische Zeiterfassung
  • GPS-Systeme

  

Ausnahmen von der Verpflichtung zur Vorabkontrolle

Eine Vorabkontrolle ist nicht erforderlich, wenn eine gesetzliche Verpflichtung zur Verarbeitung der Daten besteht, der Betroffene in die Verarbeitung eingewilligt hat oder die Verarbeitung erforderlich ist, um ein Vertragsverhältnis (…ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis mit dem Betroffenen) zu begründen, durchzuführen oder zu beenden.

  

Wie ist eine Vorabkontrolle durchzuführen?

Für die Durchführung der Vorabkontrolle ist der Datenschutzbeauftragte zuständig. Er ist rechtzeitig von der verantwortlichen Stelle über das geplante Verfahren zu unterrichten.

Aufgabe des Datenschutzbeauftragten ist es zunächst zu prüfen, inwieweit mit der Umsetzung des geplanten Verfahrens besondere Risiken für die Betroffenen verbunden sind. Liegen diese vor, ist weiter zu prüfen, ob die materielle Zulässigkeit gegeben ist. Werden also die Stimmungen des Bundesdatenschutzgesetzes oder auch anderer Regelungen zum Datenschutz eingehalten. Dabei wird unter anderem geprüft, ob eine Rechtsgrundlage gegeben ist, geeignete technisch-organisatorische Maßnahmen getroffen, die Rechte der Betroffenen gewahrt oder auch die Regeln der Datenvermeidung und Datensparsamkeit beachtet werden.

Die Vorabkontrolle ist rein zeitlich zu verstehen. Die Maßstäbe müssen daher auch nicht strenger sein als bei anderen Prüfungen der datenschutzrechtlichen Zulässigkeit.

Die Durchführung der Vorabkontrolle sollte zu Nachweiszwecken schriftlich dokumentiert werden.

  

Ergebnis der Vorabkontrolle

Die Durchführung einer Vorabkontrolle ist keine Voraussetzung für die Rechtmäßigkeit für die Durchführung der Verarbeitung, so dass der Datenschutzbeauftragte auch keine Freigabe oder Genehmigung erteilt.

Die verantwortliche Stelle sollte jedoch das Ergebnis der Vorabkontrolle zur Kenntnis nehmen, bei ihren Entscheidungen beachten und erforderliche Nachbesserungen, insbesondere unter Berücksichtigung der Meldeverpflichtung des betrieblichen Datenschutzbeauftragten gegenüber der Aufsichtsbehörde (siehe unten), vornehmen.

  

Pflicht zum Einschalten der Aufsichtsbehörde

Treten bei der Vorabkontrolle Zweifel an der Zulässigkeit der Verarbeitung auf, ist der betriebliche Datenschutzbeauftragte verpflichtet, sich an die Aufsichtsbehörde zu wenden (§ 4 d Absatz 6 Satz 3 Bundesdatenschutzgesetz).

In der Praxis wird der betriebliche Datenschutzbeauftragte zunächst seine Zweifel an der Rechtmäßigkeit der Verarbeitung zunächst der Geschäftsführung mitteilen und vorschlagen, die Zweifel auszuräumen. Werden die Zweifel ausgeräumt, so besteht auch keine Notwendigkeit zur Unterrichtung der Aufsichtsbehörde.

Sofern die Zweifel nicht ausgeräumt werden ist es strittig, ob der betriebliche Datenschutzbeauftragte ohne  weitere Unterrichtung der Geschäftsführung die Aufsichtsbehörde zu unterrichten hat oder im Rahmen seiner Treuepflicht zunächst doch die Geschäftsführung zu informieren hat, um dieser eine letzte Möglichkeit zur Nachbesserung oder den Verzicht auf die Einführung des Verfahrens zu ermöglichen. In der Praxis wird es lebensnaher sein, dass der betriebliche Datenschutzbeauftragte die Geschäftsführung vor seinen weiteren Schritten unterrichtet.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg

Benutzername:
User-Login
Ihr E-Mail