Die Vorabkontrolle: Sicherheit im Vorfeld einer Verarbeitung

Unternehmen, die besonders schützenswerte, personenbezogene Daten, wie z.B. Gesundheitsdaten, Daten zur ethnischen oder rassischen Herkunft, zur Religion, zu politischen Meinungen und dem Sexualleben erheben, verarbeiten oder nutzen, sind gesetzlich zu erhöhter Sorgfaltspflicht im Umgang mit diesen Daten verpflichtet.

Die hierfür vorgeschriebene Vorabkontrolle vor Inbetriebnahme der automatisierten Verarbeitung ermöglicht einen ersten Überblick, ob eine automatisierte Verarbeitung von Personendaten in Ihrem Unternehmen den gesetzlichen Regelungen entspricht.

Rechtlicher Hintergrund

Voraussetzung für eine Vorabkontrolle ist die beabsichtigte automatisierte Verarbeitung von personenbezogenen Daten, deren Durchführung besondere Risiken für den Betroffenen erwarten lassen. Die Vorabkontrolle wird in der EU-Datenschutzrichtlinie regelt in Art. 20 spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können geregelt.

Im Bundesdatenschutzgesetz (BDSG) befasst sich § 4d Abs. 5 und 6 mit der Thematik. Um also besondere Risiken für die Rechte und Freiheiten durch die beabsichtigte automatisierte Verarbeitung festzustellen und ggf. auszuschließen, ist deren Rechtmäßigkeit vor der Inbetriebnahme durch die verantwortliche Stelle zu prüfen.

Die EU-Richtlinie erwähnt aus diesem Grund ebenso bestimmte Verarbeitungen, die dazu geeignet sind, Betroffene von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen. Ebenso kritisch wird der Einsatz neuer Technologien genannt, die besondere Risiken im Hinblick auf die Rechte und Freiheiten für Betroffene aufweisen können. Eine solche Technologie  kann z. B. eine geplante Videoüberwachung oder eine biometrische Zeiterfassung sein.

Weitere Beispiele für Verarbeitungen zur Bewertung von den jeweils Betroffenen sind:

  • Verwendung von Beschäftigtendaten
    • Bewerberauswahlverfahren
    • Mitarbeiter-Ranglisten
    • Personalverwaltungssysteme
    • Skill-Datenbanken
  • Verbraucherinformationen in Kundenbindungsprogrammen
    • Lifestyle-Daten
    • Generierung von Verbraucherprofilen
    • Data-Warehouse- oder Data-Mining-Systeme
  • Kredit-, Versicherungs- und Handelsauskunfteien
  • Warndateien (z.B. Schwarzfahrer- und Wagnisdateien)
  • Kundenprofilerstellung
  • Scoringverfahren
  • Einsatz von Chipkarten
  • automatisierte Abrufverfahren

Zuständigkeit und Verantwortung

Zuständig für die Vorabkontrolle ist nach § 4d Abs. 6 Satz 1 BDSG der Beauftragte für den Datenschutz. Die verantwortliche Stelle ist gem. Satz 2 verpflichtet, ihm vor der Inbetriebnahme, d. h. in der Planungsphase, die Verfahrensübersicht zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1).

Die Entscheidung, ob das Verfahren letztlich in Betrieb genommen wird, liegt jedoch allein in der Verantwortung der verantwortlichen Stelle. Sie hat dabei vorgetragene Bedenken des Datenschutzbeauftragten bezüglich der Rechtmäßigkeit zu würdigen, hat aber keine Verpflichtung diesen zu folgen.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s