> Vorabkontrolle Datenschutzbeauftragter

„ (Vorab)Kontrolle Datenschutzbeauftragter “ – Die Prüfung der Zweckbindung und Verhältnismäßigkeit

Kontrolle DatenschutzbeauftragterDie Bedeutsamkeit für das Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ resultiert aus der hohen Relevanz unserer personenbezogenen Daten, also der Informationen, die uns als Menschen vereinfacht ausgedrückt „zuzuordnen sind“. Der Umgang mit personenbezogenen Daten ist für die sogenannten verantwortlichen Stellen, so insbesondere für Unternehmen, wichtig, sei es, um Marktforschung oder Werbung zu betreiben, zur Suche nach geeigneten Bewerbern oder zur Arbeitszeitplanung.

Es ist unerlässlich, personenbezogene Daten zu erheben, um den Geschäftszweck zu erfüllen. Dabei sollte nicht außer Acht gelassen werden, dass der von der Datenerhebung betroffene Mensch Schutzrechte hat, die nicht übergangen werden dürfen.

Ihr externer Datenschutzbeauftragter informiert zum Thema „ (Vorab)Kontrolle Datenschutzbeauftragter “ und über relevante Kriterien, die nicht außer Acht gelassen werden sollten.

„ Kontrolle Datenschutzbeauftragter “ – Wann ist eine Datenerhebung, -verarbeitung oder –nutzung erlaubt?

Grundsätzlich ist die Erhebung personenbezogener Daten nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) nur zulässig, soweit

  • das BDSG dies erlaubt
  • eine andere Rechtsvorschrift dies erlaubt oder
  • der Betroffene zustimmt

Durchbrochen wird diese Vorschrift u.a. durch den § 28 BDSG:

Nach diesem ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, wenn diese für die Begründung, Durchführung oder Beendigung eines rechtgeschäftlichen oder rechtgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Abs. 1 Nr.1). Bei Arbeitsverhältnissen tritt jedoch der § 32 BDSG an die Stelle des § 28 BDSG. Weiterhin ist nach Nr. 2 der Umgang mit personenbezogenen Daten gestattet, soweit diese für die Wahrung berechtigter Interessen der verantwortlichen Stelle dienen. Das bedeutet, dass stets eine Abwägung der Interessen der zuständigen Stelle mit denen des Betroffenen stattfinden sollte.

§ 32 BDSG Datenerhebung, -verarbeitung und -nutzung für Zwecke der Beschäftigungsverhältnisse

Besonderes Augenmerk sollte auf die Verarbeitung personenbezogener Daten innerhalb eines Beschäftigungsverhältnisses gelegt werden. Natürlich in Abhängigkeit zur Branche werden regelmäßig insbesondere im Mittelstand in kaum einem anderen Gebiet bzw. in keiner Abteilung so viele personenbezogene Daten erhoben.

Diese Datenerhebung ist nicht grundlos, da sie u.a. für die Planung der Personalpolitik, die Sicherung eines effizienten Personaleinsatzes oder die Kontrolle des Arbeitseinsatzes vom Arbeitgeber erforderlich ist. Gegen die Datenerhebung und –verarbeitung im Rahmen des Beschäftigungsverhältnisses würde sich der Mitarbeiter/Beschäftigte auch aus Sorge seinen Arbeitsplatz zu verlieren, in den seltensten Fällen zur Wehr setzen. Um den Mitarbeiter zu schützen, hat der Gesetzgeber den § 32 BDSG eingesetzt. Er gestattet den Umgang mit personenbezogenen Daten, sofern diese erforderlich sind und die Zweckbindung gewahrt bleibt und es somit zu keiner Zweckentfremdung für andere Nutzungen kommt.

Beispiel: Die Bezahlkarte in der hauseigenen Kantine des Arbeitgebers dient der Vereinfachung des Bezahlvorganges und nicht der Analyse über das Ess- und Trinkverhalten des einzelnen Mitarbeiters. Personenbezogene Daten werden hier zweckgebunden erfasst. Die Info, der Mitarbeiter konsumierte für 4,00 € ist ausreichend. Nicht erforderlich ist es regelmäßig die Portion Currywurst + Pommes zu erfassen. Auch dürfte es selbstverständlich sein, dass ein Mitarbeiter keine Hinweise auf der Basis seines „ungesunden Essverhaltens“ erhält und Datensätze zu diesen Zwecken ohne informierte und freiwillige Einwilligung verknüpft werden.

Hinweis: Zur Zweckbestimmung können Sie sich weiter unten im Text konkreter informieren.

Durchgeführt wird eine solche Prüfung oder die Beratung hierzu i. d. R. von einem kirchlichen / behördlichen oder betrieblichen Datenschutzbeauftragten (Kontrolle Datenschutzbeauftragter).

„ Kontrolle Datenschutzbeauftragter “ – Die Zweckbestimmung

Bei der Kontrolle durch den Datenschutzbeauftragten wird zum einen die Zweckbestimmung geprüft, wobei eine Interessenabwägung des Arbeitgebers und des/der betroffenen Mitarbeiter stattfindet. In diesem Rahmen prüft der Datenschutzbeauftragte, ob die geplante Maßnahme zur Erfüllung des Zwecks geeignet ist.

Will ein Arbeitgeber z.B. eine Videoüberwachungsanlage in seinem Ladenlokal installieren, so verfolgt er eventuell nicht unbedingt den Zweck, seine Mitarbeiter zu überwachen, sondern will sein Eigentum und das seiner Kunden schützen. Dessen ungeachtet wird durch den Gebrauch der Kameras der Mitarbeiter in seinen Persönlichkeitsrechten (z.B. Recht am eigenen Bild) verletzt. Auch könnte eine Videoüberwachung zur dauerhaften Verhaltens- und Leistungskontrolle der Mitarbeiter, die unzulässig ist, genutzt werden. Eine Interessenskollision von Arbeitgeber und Arbeitnehmer entsteht.

Neben der Zweckbestimmung muss die Verhältnismäßigkeit geprüft werden. Im Datenschutz gilt, dass immer zum „milderen Mittel“ gegriffen werden muss. Der Datenschutzbeauftragte muss aus diesem Grund nicht nur prüfen, ob die (geplante) Maßnahme geeignet ist, sondern ob die Maßnahme erforderlich. Beschäftigt sich der Datenschutzbeauftragte mit der (Vorab-)Kontrolle, so lässt sich die Prüfung der Verhältnismäßigkeit nicht verhindern bzw. sollte nicht vergessen werden.

„ Kontrolle Datenschutzbeauftragter “ – Verhältnismäßigkeitsprüfung

Ebenfalls durchzuführen vom Datenschutzbeauftragten ist eine Verhältnismäßigkeitsprüfung.

Bei der Prüfung der Verhältnismäßigkeit muss einzelfallspezifisch geprüft werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

(2) Ist die Maßnahme zulässig?

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Wendet man diese Kriterien auf die oben genannte Fallkonstellation mit der Videoüberwachung an, kann folgendes entnommen werden:

(1) Ist die Maßnahme geeignet für das Vorhaben?

Ja, da durch die Videoüberwachung ermittelt werden kann, wer einen Diebstahl getätigt hat. Weiterhin dient eine Videoüberwachung als Abschreckungsmittel, da der mögliche Dieb ein erhöhtes Risiko hat, erwischt zu werden, versucht er es möglicherweise erst gar nicht.

(2) Ist die Maßnahme zulässig?

Bei einer Videoüberwachung ist zu beachten, wo sich die Videoüberwachungsanlage befindet. Ist eine Installation in öffentlich zugänglichen Räumen, wie in dem Fallbeispiel, gewollt, so wird der § 32 Abs. 1 BDSG vom § 6b BDSG verdrängt. Nach § 6b wäre so eine Maßnahme innerhalb des Beschäftigungsverhältnisses nur zulässig, sofern sie eingesetzt wird, um berechtigte Interessen des Arbeitgebers zu schützen. Vorrausetzung dafür ist einerseits das Bestehen eines konkret festgelegten Zwecks für die Nutzung, andererseits darf es keinen Anhaltspunkt geben, der die schutzwürdigen Interessen der betroffenen Mitarbeiter überwiegen lässt (§ 6b Abs. 1 Nr. 3 BDSG). Weiterhin muss die Videoüberwachung und die dafür verantwortliche Stelle durch geeignete Maßnahmen kenntlich gemacht werden (§ 6b Abs. 2 BDSG).

(3) Gibt es andere Möglichkeiten, welche besser geeignet sind, das Vorhaben zu erfüllen?

Maßgeblich für den Arbeitnehmer sind in dem Beispiel der Schutz seines Eigentums und das seiner Kunden. Somit könnte er alternativ zu dem Videoüberwachungssystem auch Alarmanlagen, elektronische Schließsysteme, Schlösser etc. verwirklichen, ohne in die Persönlichkeitsrechte seiner Mitarbeiter einzugreifen.

Führen die alternativen Möglichkeiten nicht zum Erfolg, kann eine heimliche Videoüberwachung durchgeführt werden.

Nach dem BAG-Urteil (2 AZR 51/02) vom 27.03.2003 ist eine verdeckte Videoüberwachung zulässig, wenn:

  1. ein konkreter Verdacht einer Strafhandlung besteht
  2. mildere Mittel erfolglos waren und folglich
  3. die Videoüberwachung das einzige Mittel darstellt.

In der Praxis ist eine solche Prüfung nicht nur für die Frage der Modalitäten für die Nutzung von Videoüberwachungssystemen interessant, sondern ebenso bei

  • Bewerberdatenbanken
  • Telefonüberwachung
  • E-Mail-Kontrollen
  • BYOD (Bring Your Own Device)
  • Cloud Computing
  • Detektiv/Testkunden zur Überwachung
  • Due Diligence

und vielen anderen Bereichen, welche durch die unterschiedlichen Gestaltungsformen und dem Fortschreiten der technischen Entwicklung nicht immer klar zu deuten sind.

Rechtsfolgen

Die unbefugte Erhebung, Verarbeitung und Nutzung personenbezogener Daten kann zu unterschiedlichen Saktionen führen. Dies möglichen Strafen reichen von arbeitsrechtlichen Konsequenzen, über Bußgeldern bis hin zu Freiheitsstrafen. Des Weiteren führt das Bekanntwerden von Datenschutzverstößen unabdingbar zu erheblichem Imageverlust. Um solche Rechtfolgen und die Verschlechterung des Ansehens der „verantwortlichen Stelle“ zu vermeiden bedarf es einer ordnungsgemäßen Prüfung durch einen Datenschutzbeauftragten.

Fazit

Gerade in der Praxis ist die Thematik „ Kontrolle Datenschutzbeauftragter “ und die damit verbundene Prüfung der Zweckbindung respektive Zweckgebundenheit und der Verhältnismäßigkeit des beabsichtigten Vorhabens unerlässlich. Dabei muss bei jeder geplanten Maßnahme eine einzelfallbezogene Prüfung stattfinden, um ein optimales Ergebnis zu erreichen.

Gerade, weil eine unterlassene oder nicht sachgerechte Prüfung negative Rechtfolgen und einen erheblichen Imageverlust mit sich bringen kann, sollte diese Prüfung durch einen kompetenten Datenschutzbeauftragten durchgeführt werden.

Falls Sie mehr zum Thema „(Vorab)Kontrolle Datenschutzbeauftragter“ erfahren möchten oder sich nicht sicher sind, ob das von Ihnen beabsichtigte Verfahren den datenschutzrechtlichen Bestimmungen genügt, können Sie sich gern an uns wenden. Holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Wir bieten unsere Dienste als externer Datenschutzbeauftragter an und führen nicht nur eine fachgerechte Prüfung ihres Anliegens aus, sondern stehen Ihnen mit Rat für die Findung alternativer Lösungen zur Verfügung, um das bestmöglichste Resultat zu erzielen. Sofern Sie einen Mitarbeiter als internen Datenschutzbeauftragten für diese Aufgabe vorsehen wollen, bieten wir ebenso Weiterbildungen und Schulungen an, um optimale Voraussetzungen zu schaffen. Auch der Support des internen Datenschutzbeauftragten durch unsere Datenschutzberater, die mit gezielter Datenschutzberatung unterstützen, führt für unsere Auftraggeber zu einem klaren Mehrwert.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

„ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

Vorabkontrolle DatenschutzbeauftragterTrotz der hohen Verbundenheit der Begriffe „ Vorabkontrolle Datenschutzbeauftragter “ sieht man in der Praxis häufig, dass innerhalb einer „verantwortliche Stellen“ zwar ein interner betrieblicher Datenschutzbeauftragter oder externer Datenschutzbeauftragter bestellt wurde, sich die Verantwortlichen allerdings nicht darüber bewusst sind, dass bestimmte Verfahren vorab zwingend durch den Datenschutzbeauftragten kontrolliert werden sollten. Die sogenannte Datenschutz-Vorabkontrolle darf nicht vergessen werden.

Ihr externer Datenschutzbeauftragter informiert im Folgenden, wann und unter welchen Umständen die sogenannte Vorabkontrolle durch den bestellten Datenschutzbeauftragten und zwar ausschließlich durch diesen „Beauftragten für den Datenschutz“ erfolgen sollte.

„ Vorabkontrolle Datenschutzbeauftragter “ – die hohe Bedeutung für den Datenschutz

Durch das Bundesdatenschutzgesetz (BDSG) sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt, gemäß § 4d Abs. 2 BDSG, wenn innerhalb der „verantwortliche Stelle“ ein interner betrieblicher Datenschutzbeauftragter bzw. externer Datenschutzbeauftragter bestellt wurde. Des Weiteren legt § 4d Abs. 5 BDSG fest, dass für einige automatisierte Datenverarbeitungen eine Vorabkontrolle zu erfolgen hat.

§ 4d Abs. 6 S. 1 BDSG schreibt hierzu das Folgende: „Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.

Zuständig für die Vorabkontrolle ist damit eindeutig der Datenschutzbeauftragte unter Mitwirkung der verantwortlichen Stelle!!!

Eine Vorabkontrolle ist eine Überprüfung des Datenschutzbeauftragten VOR der automatisierten Datenverarbeitung, dabei ermöglicht sie der „verantwortlichen Stelle“ sich frühzeitig mit den potenziellen Datenschutz-Risiken und Gefahren, die sich durch die automatisierte Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben, zu befassen.

Wann sollte eine Vorabkontrolle stattfinden? Gibt es Situationen bei der eine Vorabkontrolle entfällt?

Wann eine solche Vorabkontrolle stattfinden soll, ist vom Gesetzgeber bestimmt. So besagt der § 4d Abs. 5 BDSG, dass eine solche Kontrolle nur durchzuführen ist, wenn ein automatisches Verfahren „besondere Risiken“ für die Rechte und Freiheiten der davon Betroffenen darstellt. Aber wann stellt die automatisierte Datenverarbeitung ein erhöhtes Risiko dar?

Das erhöhte Risiko wird wird im § 4d Abs. 5 BDSG in zwei Punkten näher erläutert. Nach diesem ist die Vorabkontrolle bei der Verarbeitung von besonderen Arten personenbezogener Daten (§3 Abs. 9 BDSG) sowie bei deren Verwertung, welche Rückschlüsse auf die Fähigkeiten, Leistung oder Verhalten des Betroffenen begründet, sogenannte Verhaltens- und Leistungskontrolle, anzuwenden. Es ist darauf zu achten, dass bereits die bloße Möglichkeit einer Verhaltens- und Leistungskontrolle eine Vorabkontrolle vorsieht. Aus diesem Grund sollten unter anderem Zeiterfassungssysteme und Videoüberwachungsanlagen einer Vorabkontrolle durch den Datenschutzbeauftragten unterzogen werden. Möchten Sie mehr zu Thema Videoüberwachung oder Zeiterfassung erfahren, dann lesen Sie doch unsere Beiträge „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“ oder „Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten“.

In der Praxis liegen weitere Verfahren vor, die ebenfalls einer Datenschutz-Vorabkontrolle unterzogen werden sollten, allerdings ist das Thema „ Vorabkontrolle Datenschutzbeauftragter “ nicht in allen Fällen für „verantwortliche Stellen“ so deutlich erkennbar, wie bei der Videoüberwachung oder Zeiterfassung.

Bezüglich der Voraussetzungen für eine Vorabkontrolle bietet der § 4d Abs. 5 BDSG zwar das Heranziehen des § 3 Abs. 9 BDSG an, welcher erläutert, dass Daten, die eine Vorabkontrolle benötigen, vorliegen, sobald diese im Zusammenhang mit rassischer und ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben stehen.

Diese besonderen Angaben, wie die religiöse Überzeugung und Angaben über die Gesundheit, werden im betrieblichen / behördlichen Alltag häufig im Rahmen der gesetzlich vorgeschriebenen Speicherung der Religionszugehörigkeit für die Ermittlung der Kirchensteuer sowie im Zusammenhang mit dem Betrieblichen Eingliederungsmanagements (BEM) bzw. dem Betrieblichen Gesundheitsmanagements (BGM) erhoben und verarbeitet.

Nach dem § 4d Abs. 5 Nr. 2 BDSG unterfällt ebenso die Verarbeitung personenbezogener Daten, die die Persönlichkeit des Beteiligten bewerten sollen, der Vorabkontrolle. Was unter der Bewertung der Persönlichkeit des Betroffenen zu verstehen ist, kann schwer ermittelt werden, da eine Bewertung immer aus dem eigenen Standpunkt erfolgt und subjektive Tendenzen nicht zu vermeiden sind.  Selbst bei besonderen Arten personenbezogener Daten oder bei personenbezogenen Daten, die eine Verhaltens- und Leistungskontrolle ermöglichen, gibt es noch die Ausnahmen im § 4d Abs. 5 Satz 2 letzter Halbsatz.  Eine Vorabkontrolle kann demnach entfallen, wenn:

  • eine gesetzliche Verpflichtung für die Verarbeitung besteht,
  • die Einwilligung des Betroffenen vorliegt (Achtung Exkurs: Einwilligungen im Kontext des Arbeitsverhältnisses regelmäßig schwierig) oder
  • die Verarbeitung der Daten einem Vertragsverhältnis oder auch vertragsähnlichen Verhältnis dienen.

Im Zweifel über die Erforderlichkeit einer Vorabkontrolle sollte auf fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten (siehe auch Dienstleistung: externer Datenschutzbeauftragter) zurückgegriffen werden.

Was sind die Folgen einer unterlassenen Datenschutz-Vorabkontrolle?

Erfolgt keine Vorabkontrolle, so stellt dies zwar keine Ordnungswidrigkeit oder Straftat, gemäß §§ 43, 44 BDSG dar. Auch bedeutet es nicht, dass eine automatisierte Datenverarbeitung ohne Vorabkontrolle nicht rechtmäßig ist, allerdings ermöglicht sie vorab Fehler festzustellen. Wird erst im Nachgang festgestellt, dass die automatisierte Datenverarbeitung nicht datenschutzkonform erfolgt, da die relevanten Kriterien, wie der Anlass der Datenverarbeitung, die über ein Verbot oder eine Zulässigkeit des Verfahrens entscheiden, nicht eingehalten werden, so muss die „verantwortliche Stelle“ Änderungen vornehmen oder die Verfahren einstellen. Dies führt zumeist zu einem erheblichen Mehraufwand. Des Weiteren ist nicht auszuschließen, dass automatisierte Datenverarbeitungen, wie Videoüberwachungssysteme, unter anderem durch die Aufsichtsbehörde geprüft werden. Wird zum Beispiel festgestellt, dass die „verantwortliche Stelle“ die Mitarbeiter überwacht, so kann dies zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen. Auch auf das „Betriebsklima“ wirken sich Probleme rund um die Videoüberwachung nicht gerade positiv aus. Mitarbeiter sollten daher bestmöglich zu den Hintergründen einer Videoüberwachung informiert werden. Wir bieten unseren Kunden daher die Möglichkeit diese durch die Vorabkontrolle gewonnenen Kenntnisse zu den Mitarbeitern zu transferieren und integrieren diese in einem sehr reduzierten Umfang in unsere Datenschutzschulungen.

Es ist daher für niemanden von Vorteil, wenn ein Verfahren zwar schnell zum Einsatz kommt, jedoch erneuert / stark verändert werden muss, weil Aspekte des Datenschutzes nicht hinreichend beachtet wurden. Beim Einsatz von Videoüberwachungsanlagen kann eine Folge z. B. das Abhängen der zuvor teuer erworbenen und installierten Videokameraanlagen sein.

Neben der Vorabkontrolle sollten „verantwortliche Stellen“ weitere Maßnahmen, wie die Erstellung eines öffentlichen und von internen Verfahrensverzeichnissen (auch als interne Verfahrensübersicht bekannt), ergreifen. Zudem sollte beachtet werden, dass der Betriebsrat bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen ein Mitbestimmungsrecht hat, vgl. § 87 Abs. 1 Nr. 6 BetrVG.

Benötigen Sie Informationen zum Thema „ Vorabkontrolle Datenschutzbeauftragter “ bzw. „Datenschutz Vorabkontrolle“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund automatisierte Datenverarbeitungen, wie  Zeiterfassung und Videoüberwachung.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.