4d BDSG a.F. Kommentar Absatz 5-6

Aus Datenschutz-Wiki
Version vom 20. September 2012, 23:00 Uhr von Teclador (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „{{komm_header|P=4d}} {{komm_abstext|4d|5 und 6|T= (5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen auf…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

§ 4d Meldepflicht

§ 4d Absatz 5 und 6 Text

(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
  2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens,

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

Vorabkontrolle

Die EU-Datenschutzrichtlinie regelt in Art. 20 die Vorabkontrolle für Verarbeitungen, die „spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können“ und verpflichtet die Mitgliedsstaaten zur Prüfung dieser Verarbeitungen vor ihrem Beginn. Im BDSG werden die Regelungen aus Art. 20 mit § 4d Abs. 5 und 6 umgesetzt und ebenso der Schutzpflicht des Persönlichkeitsrechts gemäß Art. 1 Abs. 1 und Art. 2 Abs. 1 GG entsprochen. Um also besondere Risiken für die Rechte und Freiheiten durch die beabsichtigte automatisierte Verarbeitung festzustellen und ggf. auszuschließen, ist deren Rechtmäßigkeit vor der Inbetriebnahme durch die verantwortliche Stelle zu prüfen.


Voraussetzungen und besondere Risiken (Abs. 5)

Voraussetzung für eine Vorabkontrolle ist die beabsichtigte automatisierte Verarbeitung von personenbezogenen Daten, deren Durchführung besondere Risiken für den Betroffenen erwarten lassen. Besondere Risiken müssen nicht von vornherein offensichtlich sein, sie können sich auch erst durch die Art und Zweckbestimmung der Verarbeitung, ihren Umfang oder ihrer Tragweite ergeben. Die EU-Richtlinie erwähnt aus diesem Grund bestimmte Verarbeitungen, die dazu geeignet sind, Betroffene von der „Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags auszuschließen“ (z.B. durch Scoringverfahren). Gleichermaßen risikoträchtig wird die „Verwendung einer neuen Technologie“, welche „besondere Risiken im Hinblick auf die Rechte und Freiheiten“ für Betroffene aufweisen kann, in Erwägungsgrund 53 erwähnt.


Das BDSG benennt in Abs. 5 keine abschließenden Anwendungsfälle, sondern beschränkt sich auf zwei Beispiele als regelmäßige Annahmen des besonderen Risikos für die Persönlichkeitsrechte von Betroffenen:

  • die Verarbeitung von Daten, die dazu geeignet sind, die Persönlichkeit von Betroffenen einschließlich Fähigkeiten, Leistungen und Verhalten zu bewerten oder zu beurteilen, wie z.B. in Personalinformationssystemen, durch Videoüberwachung, Kundenprofile oder Warndateien (Nr. 2) - weitere Beispiele siehe unten
    Hier gilt es insbesondere, Verarbeitungen, deren Zweckbestimmung und Tragweite für die Rechte und Freiheiten der Betroffenen besondere Risiken bedeuten, präventiv auf ihre Rechtmäßigkeit zu überprüfen.

Gerade im Hinblick auf die Entwicklung neuer Technologien oder auch besonders komplexer Verarbeitungen bleibt zu beachten, dass wesentliche Änderungen eines Verfahrens (z.B. Einführung anderer Verschlüsselungsverfahren, Veränderungen der Infrastruktur, Verlagerung zu anderen Standorten) ebenfalls regelmäßig der (erneuten) Vorabkontrolle bedürfen.


Eine Vorabkontrolle für die genannten Regelbeispiele ist regelmäßig nicht erforderlich, wenn

  1. die Verarbeitung aus einer gesetzlichen Verpflichtung der verantwortlichen Stelle erforderlich ist, die eine Verarbeitung i.S.v. § 4 Abs. 1 anordnet (eine Erlaubnis zur Verarbeitung genügt nicht)
  2. die Einwilligung des Betroffenen gem. § 4a vorliegt
  3. die Verarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen erforderlich ist (§ 28 Abs. 1 Satz 1 Nr. 1)

In der Praxis dürften allerdings die Fälle überwiegen, bei denen diese Voraussetzungen zwar grundsätzlich vorliegen, aber nicht alle Elemente oder Funktionen des Verfahrens abdecken; dies ist jeweils genau zu prüfen.


Die datenschutzrechtliche Abgrenzung der nicht vorab zu kontrollierenden Verfahren von denen, die besondere Risiken für Betroffene beinhalten, gestaltet sich nicht immer einfach, da der Begriff „besonderes Risiko“ gesetzlich nicht festgeschrieben und auch nur bedingt auf den ersten Blick erkennbar ist. Gleichwohl diese Vorgehensweise nicht vom Gesetzgeber gefordert ist, wird vielfach eine Vorabkontrolle aller automatisierten Verfahren angestrebt oder die Verarbeitung erfolgt auf der Basis von Freigabeverfahren, welche die Zustimmung des Datenschutzbeauftragten voraussetzen. Als hilfreich für die Abgrenzung ist die Verfahrensübersicht anzusehen, anhand derer eine datenschutzrechtlichen Relevanz schnell zu erkennen ist.


Beispiele für Verarbeitungen zur Bewertung des Persönlichkeitsrechts

  • Verwendung von Beschäftigtendaten
    • Assessment-Verfahren zur Personalauswahl z.B. bei Stellenbewerbungen
    • Zusammenstellung von Beförderungsranglisten
    • Personalinformations-, -entwicklungs- und -verwaltungssysteme
    • Skill-Datenbanken
  • Kredit-, Versicherungs- und Handelsauskunfteien
    • Warndateien (z.B. Schwarzfahrer- und Wagnisdateien)
    • Erstellung von Kundenprofilen
    • Bewertung von Kreditwürdigkeiten
  • Zentrale Register
    • Vorstrafenverzeichnisse
    • Ausländerzentralregister
    • Gewerbezentralregister
  • Verwendung von Verbraucherinformationen in Kundengewinnungs- oder -bindungsprogrammen
    • Lifestyle-Datenbanken
    • Erstellung von Verbraucherprofilen
    • Data-Warehouse- oder Data-Mining-Systemen
  • Videoüberwachung
  • Einsatz von Chipkarten
  • automatisierte Abrufverfahren


Durchführung der Vorabkontrolle (Abs. 6)

Zuständig für die Vorabkontrolle ist nach § 4d Abs. 6 Satz 1 der Beauftragte für den Datenschutz. Die verantwortliche Stelle ist gem. Satz 2 verpflichtet, ihm vor der Inbetriebnahme - also noch in der Planungsphase - die Verfahrensübersicht zur Verfügung zu stellen (§ 4g Abs. 2 Satz 1). Um dem Beauftragten eine ordnungsgemäße Stellungnahme nach eigenem Ermessungsspielraum zu ermöglichen, sollte die Übersicht in ausreichend detaillierter Form vorliegen.


Der Gesetzgeber - wenngleich es im BDSG nicht verankert ist - sieht die Aufgabe des Datenschutzbeauftragten in der „Prüfung der materiellen Zulässigkeit der Datenverarbeitung“ und verlangt mithin die Kontrolle insbesondere von § 4e Nr. 5, 6 und 9. Das bedeutet zunächst die Prüfung der beabsichtigten Verarbeitung und ihrer Grundlagen nach

Eine materielle Zulässigkeit oder Rechtmäßigkeit des beabsichtigten Verfahrens ergibt sich nicht aus einer ordnungsgemäßen Vorabkontrolle, vielmehr ist diese als Bedingung automatisierter Verfahren, die besondere Risiken für die Betroffenen bergen, anzusehen. Sinn und Zweck der Vorabkontrolle ist die vorab festgestellte Zulässigkeit des vorgesehenen Verfahrens bzw. das Festhalten von Vorbehalten, um rechtzeitig (vor Inbetriebnahme) erforderliche Maßnahmen von datenschutzrechtlicher Relevanz umsetzen zu können.

Die schriftliche Dokumentation der Kontrolle ergibt sich aus den organisatorischen Verpflichtungen des § 9; sie ist der verantwortlichen Stelle vorzulegen.


Die Entscheidung, ob das Verfahren in Betrieb genommen wird, liegt allein in der Verantwortung der verantwortlichen Stelle. Sie hat dabei vorgetragene Bedenken des Datenschutzbeauftragten bezüglich der Rechtmäßigkeit zu würdigen. Sie ist aber nicht von "Genehmigung" des Beauftragten abhängig. Das Gesetz regelt nicht die Folgen bei einer Unterlassung der Vorabkontrolle. Zeigt sich allerdings später, dass das Verfahren teilweise rechtswidrig ist, weil die verantwortliche Stelle sich über die Bedenken des Datenschutzbeauftragten hinweggesetzt hat, so deutet dies auf eine Verletzung ihrer Sorgfaltspflicht nach § 7 Satz 2 hin und kann entsprechende und zivilrechtliche Konsequenzen haben.


Einschalten der Aufsichtsbehörde

§ 4d Abs. 6 Satz 3 verpflichtet den Datenschutzbeauftragte, sich „in Zweifelsfällen an die Aufsichtsbehörde“ zu wenden. Zweifelsfälle können Unsicherheiten bei festgestellten Mängeln oder vorhandene Zweifel an der Rechtmäßigkeit des Verfahrens aber auch die Konfliktsituation beinhalten, die durch unterschiedliche Beurteilungen - Bedenken des Datenschutzbeauftragten einerseits und nicht für notwendig gehaltene Maßnahmen der verantwortlichen Stelle andererseits - entstehen. Bestehen offensichtliche rechtliche Mängel, hat der Datenschutzbeauftragte die Aufsichtsbehörde auf jeden Fall zu informieren.

Bei berechtigten Zweifeln jedweder Art muss demnach die Aufsichtsbehörde konsultiert werden. Es ist dringend anzuraten, die verantwortlichen Stelle von der entsprechenden Absicht vorab zu informieren und ihr Gelegenheit zu geben, doch noch eine - auch aus der Sicht des Datenschutzbeauftragten - tragfähige Lösung zu finden.

Die Aufsichtsbehörde hat den Bedenken des Datenschutzbeauftragten nachzugehen, trifft ihre Beurteilung nach § 38 aber in eigener Verantwortung.


Weitere Infos

Merkblatt zur Meldepflicht

Verfahrensverzeichnisse und Meldepflichten

Online-Kommentare

← § 4d BDSG Kommentar Absatz 1 bis 4
← § 4c BDSG Kommentare


Bundesdatenschutzgesetz