Kommentare und Erläuterungen

Aus Datenschutz-Wiki
(Weitergeleitet von Vorabkontrolle)
Wechseln zu: Navigation, Suche

§ 4d Meldepflicht

§ 4d Absatz 5 und 6 Text

(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Vorabkontrolle

Die EU-Datenschutzrichtlinie regelt in Art. 20 die Vorabkontrolle für Verarbeitungen, die „spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können“ und verpflichtet die Mitgliedsstaaten zur Prüfung dieser Verarbeitungen vor ihrem Beginn. Im BDSG werden die Regelungen aus Art. 20 mit § 4d Abs. 5 und 6 umgesetzt und ebenso der Schutzpflicht des Persönlichkeitsrechts gemäß Art. 1 Abs. 1 und Art. 2 Abs. 1 GG entsprochen. Um also besondere Risiken für die Rechte und Freiheiten durch die beabsichtigte automatisierte Verarbeitung festzustellen und ggf. auszuschließen, ist deren Rechtmäßigkeit vor der Inbetriebnahme durch die verantwortliche Stelle zu prüfen.


Voraussetzungen und besondere Risiken (Abs. 5)

Voraussetzung für eine Vorabkontrolle ist die beabsichtigte automatisierte Verarbeitung von personenbezogenen Daten, deren Durchführung besondere Risiken für den Betroffenen erwarten lassen. Besondere Risiken müssen nicht von vornherein offensichtlich sein, sie können sich auch erst durch die Art und Zweckbestimmung der Verarbeitung, ihren Umfang oder ihrer Tragweite ergeben. Die EU-Richtlinie erwähnt aus diesem Grund bestimmte Verarbeitungen, die dazu geeignet sind, Betroffene von der „Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen“ (z.B. durch Scoringverfahren). Gleichermaßen risikoträchtig wird die „Verwendung einer neuen Technologie“, welche „besondere Risiken im Hinblick auf die Rechte und Freiheiten“ für Betroffene aufweisen kann, in Erwägungsgrund 53 erwähnt. Eine solche Technologie, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist, kann z.B. die biometrische Zeiterfassung (sog. Fingerprint-Zeiterfassungssysteme) für Beschäftigte sein.


Das BDSG benennt in Abs. 5 keine abschließenden Anwendungsfälle, sondern beschränkt sich auf zwei Beispiele als regelmäßige Annahmen des besonderen Risikos für die Persönlichkeitsrechte von Betroffenen:

  • die Verarbeitung von Daten, die dazu geeignet sind, die Persönlichkeit von Betroffenen einschließlich Fähigkeiten, Leistungen und Verhalten zu bewerten oder zu beurteilen, wie z.B. in Personalinformationssystemen, durch Videoüberwachung, Kundenprofile oder Warndateien (Nr. 2) - weitere Beispiele siehe unten
    Hier gilt es insbesondere, Verarbeitungen, deren Zweckbestimmung und Tragweite für die Rechte und Freiheiten der Betroffenen besondere Risiken bedeuten, präventiv auf ihre Rechtmäßigkeit zu überprüfen.

Gerade im Hinblick auf die Entwicklung neuer Technologien oder auch besonders komplexer Verarbeitungen bleibt zu beachten, dass wesentliche Änderungen eines Verfahrens (z.B. Einführung anderer Verschlüsselungsverfahren, Veränderungen der Infrastruktur, Verlagerung zu anderen Standorten) ebenfalls regelmäßig der (erneuten) Vorabkontrolle bedürfen.


Eine Vorabkontrolle für die genannten Regelbeispiele ist regelmäßig nicht erforderlich, wenn

  1. die Verarbeitung aus einer gesetzlichen Verpflichtung der verantwortlichen Stelle erforderlich ist, die eine Verarbeitung i.S.v. § 4 Abs. 1 anordnet (eine Erlaubnis zur Verarbeitung genügt nicht)
  2. die Einwilligung des Betroffenen gem. § 4a vorliegt
  3. die Verarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist (§ 28 Abs. 1 Satz 1 Nr. 1, § 32)

In der Praxis dürften die Fälle überwiegen, bei denen diese Voraussetzungen zwar grundsätzlich vorliegen, aber nicht alle Elemente oder Funktionen des Verfahrens abdecken; dies ist jeweils genau zu prüfen.


Für besondere personenbezogene Daten kann ein Schuldverhältnis i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 nicht als dritter Befreiungstatbestand angewandt werden. Die rechtmäßige Verwendung dieser Daten wird vorrangig in § 28 Abs. 6 bis 9 geregelt und ein Rückgriff auf § 28 Abs. 1 ist somit ausgeschlossen. Ebenso wenig kann ein Schuldverhältnis gem. § 32 als Rechtfertigung für das Entfallen der Vorabkontrolle dienen, da der Gesetzgeber auch für besondere personenbezogene Daten im Beschäftigungsverhältnis die Berücksichtigung des § 28 Abs. 6 bis 8 vorsieht: „Bei der Erhebung, Verarbeitung und Nutzung besonderer Arten personenbezogener Daten (§ 3 Absatz 9) sind - wie bisher auch - § 28 Absatz 6 bis 8 des Bundesdatenschutzgesetzes [...] zu berücksichtigen.“ (siehe BT-Drs. 16/13657)


Ein scheinbarer Widerspruch liegt in der Verbindung von § 4d Abs. 5 Satz 2 Nr. 2 mit dem Beschäftigungsverhältnis gem. § 32 als dritten Befreiungstatbestand. Hier muss beachtet werden, dass § 32 vom Gesetzgeber als Sondervorschrift für Beschäftigtendaten vorgesehen wurde: „In einem neuen § 32 wird § 28 Absatz 1 Satz 1 Nummer 1 im Hinblick auf Beschäftigungsverhältnisse konkretisiert und insoweit verdrängt. [...] Werden personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt, findet § 28 Absatz 1 keine Anwendung mehr.“ (siehe BT-Drs. 16/13657).

Bei vorab zu kontrollierenden Verfahren im Rahmen von Beschäftigungsverhältnissen wird die Rechtmäßigkeit von § 32 als vorrangige Vorschrift bestimmt (näheres dazu im Kommentar zu § 32); ein Rückgriff auf § 28 Abs. 1 ist auch hier nicht möglich. Die konkreten Zwecke, einzelne Verarbeitungsphasen sowie das Verfahren selbst müssen zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich sein. Die Erforderlichkeit des Verfahrens setzt voraus, dass die beabsichtigten Ziele, die eine Verwendung der Daten rechtfertigen, nicht ohne diese Daten erreicht werden können (vgl. BGH Urteil vom 22.05.1984, VI ZR 105/82). Das Beschäftigungsverhältnis kann also aufgrund der zwingenden Erforderlichkeit nicht ohne das Verfahren durchgeführt werden - es ist ein notwendiger Bestandteil des Schuldverhältnisses und bedarf somit der Vereinbarung zwischen den beteiligten Vertragspartnern (z.B. direkt im Arbeitsvertrag oder durch Verweise auf geltende Betriebs- bzw. Dienstvereinbarungen). Besteht eine solche Vereinbarung nicht, kann der dritte Befreiungstatbestand nicht auf ein Schuldverhältnis i.S.d. § 32 angewandt werden und die Vorabkontrolle ist durchzuführen. Des weiteren sind bei Verfahren, die zur Bewertung der Persönlichkeit, Fähigkeiten, Leistung oder des Verhaltens von Beschäftigten geeignet sind, die Mitbestimmungsrechte gem. § 87 Abs.1 Nr.6 BetrVG zu beachten.


Die datenschutzrechtliche Abgrenzung der nicht vorab zu kontrollierenden Verfahren von denen, die besondere Risiken für Betroffene beinhalten, gestaltet sich nicht immer einfach, da der Begriff „besonderes Risiko“ gesetzlich nicht festgeschrieben und auch nur bedingt auf den ersten Blick erkennbar ist. Gleichwohl diese Vorgehensweise nicht vom Gesetzgeber gefordert ist, wird vielfach eine Vorabkontrolle aller automatisierten Verfahren angestrebt oder die Verarbeitung erfolgt auf der Basis von Freigabeverfahren, welche die Zustimmung des Datenschutzbeauftragten voraussetzen. Als hilfreich für die Abgrenzung ist die Verfahrensübersicht anzusehen, anhand derer eine datenschutzrechtlichen Relevanz schnell zu erkennen ist.


Beispiele für Verarbeitungen zur Bewertung des Persönlichkeitsrechts

  • Verwendung von Beschäftigtendaten
    • Assessment-Verfahren zur Personalauswahl z.B. bei Stellenbewerbungen
    • Zusammenstellung von Beförderungsranglisten
    • Personalinformations-, -entwicklungs- und -verwaltungssysteme
    • Skill-Datenbanken
  • Kredit-, Versicherungs- und Handelsauskunfteien
    • Warndateien (z.B. Schwarzfahrer- und Wagnisdateien)
    • Erstellung von Kundenprofilen
    • Bewertung von Kreditwürdigkeiten
  • Zentrale Register
    • Vorstrafenverzeichnisse
    • Ausländerzentralregister
    • Gewerbezentralregister
  • Verwendung von Verbraucherinformationen in Kundengewinnungs- oder -bindungsprogrammen
    • Lifestyle-Datenbanken
    • Erstellung von Verbraucherprofilen
    • Data-Warehouse- oder Data-Mining-Systemen
  • Videoüberwachung
  • Einsatz von Chipkarten
  • automatisierte Abrufverfahren


Durchführung der Vorabkontrolle (Abs. 6)

Zuständig für die Vorabkontrolle ist nach § 4d Abs. 6 Satz 1 der Beauftragte für den Datenschutz. Die verantwortliche Stelle ist gem. Satz 2 verpflichtet, ihm vor der Inbetriebnahme - also noch in der Planungsphase - die Verfahrensübersicht zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1). Um dem Beauftragten eine ordnungsgemäße Stellungnahme nach eigenem Ermessungsspielraum zu ermöglichen, sollte die Übersicht in ausreichend detaillierter Form vorliegen.


Der Gesetzgeber - wenngleich es im BDSG nicht verankert ist - sieht die Aufgabe des Datenschutzbeauftragten in der „Prüfung der materiellen Zulässigkeit der Datenverarbeitung“ und verlangt mithin die Kontrolle insbesondere von § 4e Nr. 5, 6 und 9. Das bedeutet zunächst die Prüfung der beabsichtigten Verarbeitung und ihrer Grundlagen nach

Eine materielle Zulässigkeit oder Rechtmäßigkeit des beabsichtigten Verfahrens ergibt sich nicht aus einer ordnungsgemäßen Vorabkontrolle, vielmehr ist diese als Bedingung automatisierter Verfahren, die besondere Risiken für die Betroffenen bergen, anzusehen. Sinn und Zweck der Vorabkontrolle ist die vorab festgestellte Zulässigkeit des vorgesehenen Verfahrens bzw. das Festhalten von Vorbehalten, um rechtzeitig (vor Inbetriebnahme) erforderliche Maßnahmen von datenschutzrechtlicher Relevanz umsetzen zu können.

Die schriftliche Dokumentation der Kontrolle ergibt sich aus den organisatorischen Verpflichtungen des § 9; sie ist der verantwortlichen Stelle vorzulegen.


Die Entscheidung, ob das Verfahren in Betrieb genommen wird, liegt allein in der Verantwortung der verantwortlichen Stelle. Sie hat dabei vorgetragene Bedenken des Datenschutzbeauftragten bezüglich der Rechtmäßigkeit zu würdigen. Sie ist aber nicht von "Genehmigung" des Beauftragten abhängig. Das Gesetz regelt nicht die Folgen bei einer Unterlassung der Vorabkontrolle. Zeigt sich allerdings später, dass das Verfahren teilweise rechtswidrig ist, weil die verantwortliche Stelle sich über die Bedenken des Datenschutzbeauftragten hinweggesetzt hat, so deutet dies auf eine Verletzung ihrer Sorgfaltspflicht nach § 7 Satz 2 hin und kann entsprechende und zivilrechtliche Konsequenzen haben.


Einschalten der Aufsichtsbehörde

§ 4d Abs. 6 Satz 3 verpflichtet den Datenschutzbeauftragte, sich „in Zweifelsfällen an die Aufsichtsbehörde“ zu wenden. Zweifelsfälle können Unsicherheiten bei festgestellten Mängeln oder vorhandene Zweifel an der Rechtmäßigkeit des Verfahrens aber auch die Konfliktsituation beinhalten, die durch unterschiedliche Beurteilungen - Bedenken des Datenschutzbeauftragten einerseits und nicht für notwendig gehaltene Maßnahmen der verantwortlichen Stelle andererseits - entstehen. Bestehen offensichtliche rechtliche Mängel, hat der Datenschutzbeauftragte die Aufsichtsbehörde auf jeden Fall zu informieren.

Bei berechtigten Zweifeln jedweder Art muss demnach die Aufsichtsbehörde konsultiert werden. Es ist dringend anzuraten, die verantwortlichen Stelle von der entsprechenden Absicht vorab zu informieren und ihr Gelegenheit zu geben, doch noch eine - auch aus der Sicht des Datenschutzbeauftragten - tragfähige Lösung zu finden.

Die Aufsichtsbehörde hat den Bedenken des Datenschutzbeauftragten nachzugehen, trifft ihre Beurteilung nach § 38 aber in eigener Verantwortung.


Weitere Informationen

Links

Hinweise des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) zur biometrischen Datenerfassung am Arbeitsplatz (PDF)

Online-Kommentare

← § 4d BDSG Kommentar Absatz 1 bis 4
← § 4c BDSG Kommentare   § 4e BDSG Kommentar →


Bundesdatenschutzgesetz


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.