> externer Datenschutzbeauftragter > Arbeitnehmerdatenschutz > „ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

„ Vorabkontrolle Datenschutzbeauftragter “ – Wann und unter welchen Umständen eine „Datenschutz Vorabkontrolle“ erfolgen sollte

Vorabkontrolle DatenschutzbeauftragterTrotz der hohen Verbundenheit der Begriffe „ Vorabkontrolle Datenschutzbeauftragter “ sieht man in der Praxis häufig, dass innerhalb einer „verantwortliche Stellen“ zwar ein interner betrieblicher Datenschutzbeauftragter oder externer Datenschutzbeauftragter bestellt wurde, sich die Verantwortlichen allerdings nicht darüber bewusst sind, dass bestimmte Verfahren vorab zwingend durch den Datenschutzbeauftragten kontrolliert werden sollten. Die sogenannte Datenschutz-Vorabkontrolle darf nicht vergessen werden.

Ihr externer Datenschutzbeauftragter informiert im Folgenden, wann und unter welchen Umständen die sogenannte Vorabkontrolle durch den bestellten Datenschutzbeauftragten und zwar ausschließlich durch diesen „Beauftragten für den Datenschutz“ erfolgen sollte.

„ Vorabkontrolle Datenschutzbeauftragter “ – die hohe Bedeutung für den Datenschutz

Durch das Bundesdatenschutzgesetz (BDSG) sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt, gemäß § 4d Abs. 2 BDSG, wenn innerhalb der „verantwortliche Stelle“ ein interner betrieblicher Datenschutzbeauftragter bzw. externer Datenschutzbeauftragter bestellt wurde. Des Weiteren legt § 4d Abs. 5 BDSG fest, dass für einige automatisierte Datenverarbeitungen eine Vorabkontrolle zu erfolgen hat.

§ 4d Abs. 6 S. 1 BDSG schreibt hierzu das Folgende: „Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor.

Zuständig für die Vorabkontrolle ist damit eindeutig der Datenschutzbeauftragte unter Mitwirkung der verantwortlichen Stelle!!!

Eine Vorabkontrolle ist eine Überprüfung des Datenschutzbeauftragten VOR der automatisierten Datenverarbeitung, dabei ermöglicht sie der „verantwortlichen Stelle“ sich frühzeitig mit den potenziellen Datenschutz-Risiken und Gefahren, die sich durch die automatisierte Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten ergeben, zu befassen.

Wann sollte eine Vorabkontrolle stattfinden? Gibt es Situationen bei der eine Vorabkontrolle entfällt?

Wann eine solche Vorabkontrolle stattfinden soll, ist vom Gesetzgeber bestimmt. So besagt der § 4d Abs. 5 BDSG, dass eine solche Kontrolle nur durchzuführen ist, wenn ein automatisches Verfahren „besondere Risiken“ für die Rechte und Freiheiten der davon Betroffenen darstellt. Aber wann stellt die automatisierte Datenverarbeitung ein erhöhtes Risiko dar?

Das erhöhte Risiko wird wird im § 4d Abs. 5 BDSG in zwei Punkten näher erläutert. Nach diesem ist die Vorabkontrolle bei der Verarbeitung von besonderen Arten personenbezogener Daten (§3 Abs. 9 BDSG) sowie bei deren Verwertung, welche Rückschlüsse auf die Fähigkeiten, Leistung oder Verhalten des Betroffenen begründet, sogenannte Verhaltens- und Leistungskontrolle, anzuwenden. Es ist darauf zu achten, dass bereits die bloße Möglichkeit einer Verhaltens- und Leistungskontrolle eine Vorabkontrolle vorsieht. Aus diesem Grund sollten unter anderem Zeiterfassungssysteme und Videoüberwachungsanlagen einer Vorabkontrolle durch den Datenschutzbeauftragten unterzogen werden. Möchten Sie mehr zu Thema Videoüberwachung oder Zeiterfassung erfahren, dann lesen Sie doch unsere Beiträge „Videoüberwachung – Wieso Sie den Datenschutz im Blick behalten sollten“ oder „Vertrauen ist gut, Kontrolle ist besser! – Wieso Sie bei der Zeiterfassung Datenschutz-Risiken beachten sollten“.

In der Praxis liegen weitere Verfahren vor, die ebenfalls einer Datenschutz-Vorabkontrolle unterzogen werden sollten, allerdings ist das Thema „ Vorabkontrolle Datenschutzbeauftragter “ nicht in allen Fällen für „verantwortliche Stellen“ so deutlich erkennbar, wie bei der Videoüberwachung oder Zeiterfassung.

Bezüglich der Voraussetzungen für eine Vorabkontrolle bietet der § 4d Abs. 5 BDSG zwar das Heranziehen des § 3 Abs. 9 BDSG an, welcher erläutert, dass Daten, die eine Vorabkontrolle benötigen, vorliegen, sobald diese im Zusammenhang mit rassischer und ethnischer Herkunft, politischer Meinung, religiöser oder philosophischer Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben stehen.

Diese besonderen Angaben, wie die religiöse Überzeugung und Angaben über die Gesundheit, werden im betrieblichen / behördlichen Alltag häufig im Rahmen der gesetzlich vorgeschriebenen Speicherung der Religionszugehörigkeit für die Ermittlung der Kirchensteuer sowie im Zusammenhang mit dem Betrieblichen Eingliederungsmanagements (BEM) bzw. dem Betrieblichen Gesundheitsmanagements (BGM) erhoben und verarbeitet.

Nach dem § 4d Abs. 5 Nr. 2 BDSG unterfällt ebenso die Verarbeitung personenbezogener Daten, die die Persönlichkeit des Beteiligten bewerten sollen, der Vorabkontrolle. Was unter der Bewertung der Persönlichkeit des Betroffenen zu verstehen ist, kann schwer ermittelt werden, da eine Bewertung immer aus dem eigenen Standpunkt erfolgt und subjektive Tendenzen nicht zu vermeiden sind.  Selbst bei besonderen Arten personenbezogener Daten oder bei personenbezogenen Daten, die eine Verhaltens- und Leistungskontrolle ermöglichen, gibt es noch die Ausnahmen im § 4d Abs. 5 Satz 2 letzter Halbsatz.  Eine Vorabkontrolle kann demnach entfallen, wenn:

  • eine gesetzliche Verpflichtung für die Verarbeitung besteht,
  • die Einwilligung des Betroffenen vorliegt (Achtung Exkurs: Einwilligungen im Kontext des Arbeitsverhältnisses regelmäßig schwierig) oder
  • die Verarbeitung der Daten einem Vertragsverhältnis oder auch vertragsähnlichen Verhältnis dienen.

Im Zweifel über die Erforderlichkeit einer Vorabkontrolle sollte auf fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten (siehe auch Dienstleistung: externer Datenschutzbeauftragter) zurückgegriffen werden.

Was sind die Folgen einer unterlassenen Datenschutz-Vorabkontrolle?

Erfolgt keine Vorabkontrolle, so stellt dies zwar keine Ordnungswidrigkeit oder Straftat, gemäß §§ 43, 44 BDSG dar. Auch bedeutet es nicht, dass eine automatisierte Datenverarbeitung ohne Vorabkontrolle nicht rechtmäßig ist, allerdings ermöglicht sie vorab Fehler festzustellen. Wird erst im Nachgang festgestellt, dass die automatisierte Datenverarbeitung nicht datenschutzkonform erfolgt, da die relevanten Kriterien, wie der Anlass der Datenverarbeitung, die über ein Verbot oder eine Zulässigkeit des Verfahrens entscheiden, nicht eingehalten werden, so muss die „verantwortliche Stelle“ Änderungen vornehmen oder die Verfahren einstellen. Dies führt zumeist zu einem erheblichen Mehraufwand. Des Weiteren ist nicht auszuschließen, dass automatisierte Datenverarbeitungen, wie Videoüberwachungssysteme, unter anderem durch die Aufsichtsbehörde geprüft werden. Wird zum Beispiel festgestellt, dass die „verantwortliche Stelle“ die Mitarbeiter überwacht, so kann dies zu hohen Bußgeldern und zu einem erheblichen Imageverlust führen. Auch auf das „Betriebsklima“ wirken sich Probleme rund um die Videoüberwachung nicht gerade positiv aus. Mitarbeiter sollten daher bestmöglich zu den Hintergründen einer Videoüberwachung informiert werden. Wir bieten unseren Kunden daher die Möglichkeit diese durch die Vorabkontrolle gewonnenen Kenntnisse zu den Mitarbeitern zu transferieren und integrieren diese in einem sehr reduzierten Umfang in unsere Datenschutzschulungen.

Es ist daher für niemanden von Vorteil, wenn ein Verfahren zwar schnell zum Einsatz kommt, jedoch erneuert / stark verändert werden muss, weil Aspekte des Datenschutzes nicht hinreichend beachtet wurden. Beim Einsatz von Videoüberwachungsanlagen kann eine Folge z. B. das Abhängen der zuvor teuer erworbenen und installierten Videokameraanlagen sein.

Neben der Vorabkontrolle sollten „verantwortliche Stellen“ weitere Maßnahmen, wie die Erstellung eines öffentlichen und von internen Verfahrensverzeichnissen (auch als interne Verfahrensübersicht bekannt), ergreifen. Zudem sollte beachtet werden, dass der Betriebsrat bei Verfahren, die eine Leistungs- und Verhaltenskontrolle ermöglichen ein Mitbestimmungsrecht hat, vgl. § 87 Abs. 1 Nr. 6 BetrVG.

Benötigen Sie Informationen zum Thema „ Vorabkontrolle Datenschutzbeauftragter “ bzw. „Datenschutz Vorabkontrolle“ oder möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf. Als Datenschutzberater oder externer Datenschutzbeauftragter unterstützen wir Sie natürlich sofort in allen Fragen rund automatisierte Datenverarbeitungen, wie  Zeiterfassung und Videoüberwachung.

Weitere Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.