DA+

Kurzbeitrag : Vorabkontrollen nach dem BDSG: Handlungsempfehlungen für die praktische Umsetzung : aus der RDV 1/2015, Seite 23 bis 26

Lesezeit 12 Min.

Vor Aufnahme einer automatisierten Verarbeitung muss der Datenschutzbeauftragte deren Rechtmäßigkeit überprüfen, soweit besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen (Vorabkontrolle gem. § 4d Abs. 5 BDSG). Aus dem Gesetz lässt sich nicht im Einzelnen herleiten, welche Anforderungen an eine Vorabkontrolle zu stellen sind. Nachfolgend werden Handlungsempfehlungen für die Durchführung von Vorabkontrollen gegeben.

Nicht einfach zu beantworten ist bereits die Frage, welche Datenverarbeitungen eine Vorabkontrolle erfordern. Problematisch ist insbesondere, wann besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen. In bestimmten Fällen kann auf die Vorabkontrolle verzichtet werden (§ 4d Abs. 5 S. 2 BDSG), was aus Gründen der Arbeitsvereinfachung näher zu erörtern ist.

Des Weiteren wird beschrieben, wie alle kontrollpflichtigen Verfahren im Unternehmen gefunden werden können. Die einzelnen Prüfungspunkte einer Vorabkontrolle werden hierbei dargestellt. Abschließend sind die Rechtsfolgen einer ordnungsgemäß durchgeführten bzw. unterlassenen Vorabkontrolle zu skizzieren.

I. In welchen Fällen ordnet das BDSG Vorabkontrollen an?

Die rechtlichen Grundlagen ergeben sich aus Art. 20 Abs. 1 der EG Datenschutzrichtlinie 95/46[1]. Aufgrund dieser europarechtlichen Vorgabe musste die Vorabkontrolle in das nationale Datenschutzrecht (vgl. § 4d Abs. 5 und 6 BDSG) eingeführt werden[2]: Vorabkontrollen müssen danach durchgeführt werden, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

Diese Grundregel wird durch die zwei Regelbeispiele des § 4d Abs. 5 S. 2 BDSG näher konkretisiert: Eine Vorabkontrolle ist danach insbesondere durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens.

Die Rechte und Freiheiten der Kunden sind also insbesondere dann gefährdet, wenn bestimmte Datenkategorien verarbeitet oder detaillierte Persönlichkeitsbewertungen durchgeführt werden. Erwägungsgrund 53 der europäischen Datenschutzrichtlinie 95/46 liefert Hinweise, wann im Übrigen eine Vorabkontrolle durchzuführen ist: Bestimmte Verarbeitungen können danach aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestimmung[3] oder aufgrund der besonderen Verwendung einer neuen Technologie ebenfalls besondere Risiken im Hinblick auf die Rechte und Freiheiten der betroffenen Personen aufweisen. Erforderlich dürfte eine nachhaltige Beeinträchtigung sein[4].

Nicht erforderlich ist eine Vorabkontrolle gem. § 4d Abs. 5 S. 2 BDSG, wenn eine gesetzliche Verpflichtung oder Einwilligung des Betroffenen vorliegt. Voraussetzung bezüglich der Einwilligung ist aber, dass diese selbst den strengen Anforderungen des § 4a BDSG genügt[5]: Das Unternehmen muss insbesondere auf den vorgesehenen Zweck der Datenverarbeitung und grundsätzlich auch auf die Folgen der Verweigerung der Einwilligung hinweisen. Die Einwilligung bedarf auch grundsätzlich der Schriftform. Über diese Fälle hinaus ist eine Vorabkontrolle gem. § 4d Abs. 5 S. 2 BDSG entbehrlich, soweit die Verarbeitung für die Vertragsabwicklung mit dem Kunden erforderlich ist. Der Begriff der Erforderlichkeit sollte hierbei restriktiv ausgelegt werden, um das Recht auf informationelle Selbstbestimmung des Betroffenen optimal zu schützen.

II. Wo werden im Unternehmen vorabkontrollpflichtige Verarbeitungen durchgeführt?

Eine der schwierigsten Aufgaben für den Datenschutzbeauftragten besteht darin, die vorabkontrollpflichtigen automatisierten Verarbeitungen im Unternehmen zu finden. Ausgangspunkt für die Ermittlung sollte das Verfahrensverzeichnis (vgl. § 4e BDSG) sein. Aus dem Verfahrensverzeichnis kann abgelesen werden, welche Zweckbestimmung den einzelnen Verfahren zukommt, welche Personengruppen bzw. Datenkategorien betroffen sind und an wen die Daten übermittelt werden.

Aus diesen Informationen kann ermittelt werden, in welchen Fällen besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen und gegebenenfalls eine Vorabkontrolle erforderlich ist. Es sollte möglich sein, auf diesem Wege einige automatisierte Verarbeitungen im Unternehmen zu ermitteln.

Eine Überprüfung des Verfahrensverzeichnisses allein dürfte jedoch nicht ausreichend sein, um alle Verarbeitungen zu ermitteln. Das Verfahrensverzeichnis bildet nur Verfahren ab. Der Begriff des Verfahrens geht weiter als die Verarbeitung. Nach Taeger/Gabel ist hinsichtlich der Frage, was unter einem Verfahren zu verstehen ist, auf den Zweck der einzelnen Verarbeitungen von personenbezogenen Daten abzustellen[6]. Mehrere automatisierte Verarbeitungen können hierbei einem Zweck dienen und somit ein einzelnes Verfahren bilden.

Vorabkontrollpflichtig dürfte aufgrund des eindeutigen Wortlautes von § 4d Abs. 5 S. 1 BDSG jede einzelne Verarbeitung sein. Eine Verarbeitung ist gem. § 3 Abs. 2 BDSG bereits der Umgang mit personenbezogenen Daten unter Einsatz von Datenverarbeitungsanlagen. Es sollte jede einzelne Verarbeitung auf die Pflicht zur Vorabkontrolle hin überprüft werden.

Die meisten vorabkontrollpflichtigen Verarbeitungen dürften aufgrund der Sensibilität der betroffenen Daten in der Personalabteilung angesiedelt sein. Daher ist das Gespräch mit dem entsprechenden Abteilungsleiter zu suchen, um die vorabkontrollpflichtigen Verarbeitungen zu ermitteln. Vorabkontrollpflichtig sind in der Regel Personalbeurteilungssysteme, Videoüberwachungen, Verfahren zur Verhinderung und Aufdeckung von Straftaten durch Mitarbeiter im Unternehmen sowie die Erfassung der Daten von schwerbehinderten Arbeitnehmern (letztere wegen § 3 Abs. 9 BDSG).

Nicht vorabkontrollpflichtig ist hingegen grundsätzlich ein allgemein gehaltenes Personaldatenverarbeitungssystem, auch wenn Angaben zur Schwerbehinderung und Religion verarbeitet werden[7]. Es greift wohl die Ausnahmeregelung in § 4d Abs. 5 S. 2 BDSG, da die Daten für den Beginn, die Durchführung oder die Beendigung des Beschäftigungsverhältnisses erforderlich sind.

Darüber hinaus sollte überprüft werden, inwieweit die Verarbeitung von personenbezogenen Kundendaten vorabkontrollpflichtig ist. Dies variiert in den jeweiligen Unternehmen. In Branchen ohne personenbezogene Dienstleistungen (z.B. verarbeitendes Gewerbe) dürften wenige Vorabkontrollen durchzuführen sein.

Relativ viele Vorabkontrollen dürften in Banken bzw. Versicherungen aufgrund der regelmäßig vorhandenen Scoring-Verfahren und Warndateien anfallen. Vorabkontrollpflichtig sind häufig auch die sogenannten Data-Warehousing Systeme. Begründung: Es werden nicht selten bislang voneinander unabhängige Daten neu verknüpft, so dass ein Informationsgehalt entsteht, der vom ursprünglichen Erhebungszweck nicht mehr gedeckt ist[8].

III. Wie ist eine Vorabkontrolle durchzuführen?

1. Die Vorgaben im BDSG

§ 4 d Abs. 6 BDSG macht nur wenige konkrete Vorgaben für die Durchführung von Vorabkontrollen: Zuständig ist der Datenschutzbeauftragte. Durchzuführen ist die Vorabkontrolle nach Empfang des Verfahrensverzeichnisses durch den Datenschutzbeauftragten. Dies ist sinnvoll, da nur mit dem Verfahrensverzeichnis die vorabkontrollpflichtigen Verfahren ermittelt werden können.

Die Aufsicht muss über das eindeutig positive oder negative Ergebnis einer Vorabkontrolle wohl nicht informiert werden. Nur bei Zweifelsfällen ist es gem. § 4d Abs. 6 BDSG erforderlich, die Aufsicht einzuschalten. Dies führt zu dem wenig überzeugenden Ergebnis, dass bei offenkundig rechtswidrigen Verarbeitungen die Aufsicht nicht eingeschaltet werden muss. Der Sinn der Regelung bleibt daher unklar.

2. Rechtmäßigkeit der Datenverarbeitung und besondere Risiken für die Betroffenen

Unklar ist, welche weiteren Anforderungen an eine Vorabkontrolle zu stellen sind. Zunächst dürfte es zweckmäßig sein, die Einhaltung des sonstigen Datenschutzrechtes zu prüfen. Sofern z.B. ein Personaldatenverarbeitungssystem nicht mit § 32 BDSG vereinbar ist, kann auch eine Vorabkontrolle nicht positiv beschieden werden.

Schwierig wird es freilich für den Datenschutzbeauftragten sein, die Rechtswidrigkeit einer Datenverarbeitung in der Praxis zu erkennen. Insbesondere Datawarehouse Systeme können sehr komplex sein. Es ist denkbar, dass diese personenbezogene Daten teilweise rechtmäßig und teilweise rechtswidrig verarbeiten. Der Datenschutzbeauftragte muss daher erkennen, welche personenbezogenen Daten betroffen sind und wie diese verarbeitet werden. Nur dann kann die Rechtmäßigkeit einer Datenverarbeitung beurteilt werden.

Fraglich ist, ob eine Vorabkontrolle bereits dann positiv beschieden werden kann, wenn die Vereinbarkeit mit dem Datenschutzrecht gegeben ist. Eine weitergehende Prüfung wäre in diesen Fällen entbehrlich. Jedoch unterliegen automatisierte Verarbeitungen einer Vorabkontrolle, soweit sie gem. § 4d Abs. 5 S. 1 BDSG besondere Risiken für die Rechte und Freiheiten von Betroffenen aufweisen.

Besondere Risiken können auch bestehen, wenn die Vereinbarkeit mit dem Datenschutzrecht gegeben ist. Gerade komplexere Datenverarbeitungen unterliegen einem steten Wandel. Es ist denkbar, dass diese noch datenschutzkonform betrieben werden, jedoch Datenschutzverstöße in der Zukunft absehbar sind (Missbrauchsgefahr). Die Vorabkontrolle sollte dann negativ beschieden werden.

3. Weitere Anforderungen an Vorabkontrollen durch den Bundesdatenschutzbeauftragten

Ausführliche Empfehlungen zur Durchführung von Vorabkontrollen macht der Bundesdatenschutzbeauftragte[9]. Für jede Verarbeitung ist danach § 4 e Nr. 1 bis 9 BDSG anhand des Verfahrensverzeichnisses durchzuprüfen. Das heißt insbesondere: Die datenverarbeitende Stelle muss bekannt sein. Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung müssen im Verfahrensverzeichnis benannt sein. Die betroffenen Personengruppen und die verarbeiteten Daten oder Datenkategorien müssen aufgeführt sein. Die Empfänger oder Kategorien der Empfänger, denen die Daten mitgeteilt werden, müssen aufgezählt sein. Eventuell geplante Datenübermittlungen an ausländische und internationale Stellen nach § 4b Abs. 2 BDSG sind zu dokumentieren.

Im Falle einer Datenverarbeitung im Auftrag gem. § 11 BDSG müssen die Auftragnehmer benannt sein und es muss ein Vertrag vorliegen. Regelfristen für die Sperrung und Löschung der Daten sind zu dokumentieren. Die technischen und organisatorischen Maßnahmen nach § 9 und Anlage (zu § 9 Satz 1) BDSG zur Sicherstellung des Schutzes der automatisiert verarbeiteten personenbezogenen Daten müssen aufgeführt sein. Überdies müssen die eingesetzten Datenverarbeitungsanlagen und die verwendete Software inkl. Versionsstände bekannt sein.

Nach Auffassung des Bundesdatenschutzbeauftragten dürfen die Angaben aus dem Verfahrensverzeichnis nicht ungeprüft übernommen werden. Insbesondere ist zu hinterfragen, ob die angegebene gesetzliche Ermächtigungsgrundlage wie z.B. § 32 BDSG wirklich einschlägig ist. Sofern die Datenverarbeitung nur durch eine Einwilligung des Betroffenen gedeckt ist, muss die Rechtmäßigkeit der Einwilligung anhand von § 4a BDSG durchgeprüft werden. Der Grundsatz der Datensparsamkeit (§ 3a BDSG) ist zu beachten. Die Regelfristen für die Löschung der Daten müssen rechtlich begründet und nachvollziehbar sein. Die Betroffenenrechte gem. §§ 34, 35 BDSG müssen gewahrt werden. Die technischen und organisatorischen Maßnahmen gem. § 9 BDSG sind bezogen auf die jeweilige Datenverarbeitung zu prüfen.

Vor Aufnahme der Datenverarbeitung wird vom Bundesdatenschutzbeauftragten ein Testlauf empfohlen. Sodann ist zu überprüfen, ob die Ergebnisse der Verfahrenstests dokumentiert und nachvollziehbar sind. Während der Tests erkannte Mängel sind abzustellen Nach eventueller Änderung des Verfahrens ist jeweils ein erneuter Test durchzuführen, bis alle Mängel beseitigt sind. Erst nach Beseitigung sämtlicher Mängel darf eine Freigabe der Datenverarbeitung durch den Datenschutzbeauftragten erfolgen.

4. Dokumentation der Vorabkontrollen

Das BDSG macht keine Vorgaben, ob und in welchem Umfang die Vorabkontrollen zu dokumentieren sind. Grundsätzlich muss also der Datenschutzbeauftragte keine Dokumentationen durchführen. Dennoch bietet sich dies in der Praxis an. Nur durch eine Dokumentation können externe Prüfer wie Aufsicht und Wirtschaftsprüfer eine Vorabkontrolle gedanklich nachvollziehen. Die Dokumentation sollte daher durch den Datenschutzbeauftragten und schriftlich erfolgen. Die kontrollierte Datenverarbeitung ist zu beschreiben: Die betroffenen personenbezogenen Daten und die Verarbeitungswege (z.B. Erheben, Speichern, Übermitteln und Nutzen) müssen benannt werden. Es ist zu erläutern, wie die Datenverarbeitung überprüft wurde und warum sie als vorabkontrollpflichtig eingestuft wurde.

Sofern die Vorabkontrolle positiv beschieden wird, ist zu erläutern, warum keine besonderen Risiken für die Betroffenen bestehen und die Datenverarbeitung im Unternehmen aus geführt werden kann. Sofern die Vorabkontrolle negativ beschieden wird, sollte in einem Vermerk festgelegt werden, dass das betroffene Verfahren hausintern nicht zur Anwendung kommt und wie sichergestellt wird, dass auch zukünftig keine vergleichbaren Verfahren zur Anwendung kommen.

Weitere Vorgaben zur Dokumentation werden durch den Bundesdatenschutzbeauftragten gemacht[10]: Beispielsweise sollen die eingesetzten Programme (Hersteller, Version, evtl. Quellcode) dokumentiert sein. Die Schnittstellen zu anderen Programmen bzw. Verfahren müssen benannt sein. Ein aussagekräftiges Betriebshandbuch für die Datenverarbeitung ist zu erarbeiten. Das Vorhandensein einer Benutzerdokumentation für das Verfahren ist zu überprüfen.

IV. Welche Folgen hat eine unterlassene Vorabkontrolle?

Abschließend stellt sich die Frage, welche rechtlichen Folgen aus einer unterlassenen Vorabkontrolle resultieren. Positiv anzumerken ist, dass eine unterlassene Vorabkontrolle mangels Erwähnung in §§ 43, 44 BDSG wohl weder als Ordnungswidrigkeit noch als Straftat zu werten ist. Wirtschaftsprüfer und Revision kontrollieren jedoch das Einhalten der Vorgaben von § 4d Abs. 5 BDSG. Ein Untätigbleiben des Datenschutzbeauftragten macht insoweit einen schlechten Eindruck. Auf Vorabkontrollen sollte daher nicht verzichtet werden.

Durch Vorabkontrollen wird überprüft, ob die Datenverarbeitungen im Unternehmen mit dem Datenschutzrecht im Einklang stehen. Ein Unterlassen der Vorabkontrollen hätte möglicherweise zur Folge, dass datenschutzwidrige Verarbeitungen durchgeführt werden. Dies wiederum könnte zu negativen Folgen in der Außendarstellung des Unternehmens führen. Auch aus diesem Grunde sind Vorabkontrollen angezeigt.

Zusammenfassend zeigt sich, dass das Unterlassen von Vorabkontrollen zwar in der Regel keine strafrechtlichen Sanktionen zur Folge hat. Dennoch sprechen gute Gründe für deren Durchführung. Es ist insbesondere zu berücksichtigen, dass die Reputation im Falle von unterlassenen Vorabkontrollen leiden kann.

V. Übersicht

VI. Zusammenfassung in Thesen

  1. Die rechtlichen Vorgaben für die Durchführung von Vorabkontrollen finden sich in § 4d Abs. 5 BDSG. Vorabkontrollen sind danach durchzuführen, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.
  2. Zu Beginn sind die vorabkontrollpflichtigen Verfahren im Unternehmen zu ermitteln. Einen wichtigen Orientierungspunkt bietet hierbei das Verfahrensverzeichnis, aus dem sich jedoch aufgrund seiner Grobgliederung regelmäßig nicht alle vorabkontrollpflichtigen Verfahren ermitteln lassen.
  3. Zuständig für die Durchführung von Vorabkontrollen ist gem. § 4d Abs. 6 BDSG der Datenschutzbeauftragte.
  4. Aus dem Gesetz lässt sich nicht herleiten, welche Anforderungen im Einzelnen an eine Vorabkontrolle zu stellen sind. Der Datenschutzbeauftragte hat daher einen gewissen Spielraum bei der Durchführung von Vorabkontrollen. Für Detailfragen ist eine Abstimmung mit der jeweiligen Aufsicht zweckdienlich.
  5. Zwingend zu prüfen ist im Rahmen einer Vorabkontrolle die Einhaltung des Datenschutzrechts. Beispielsweise muss die Verarbeitung von Beschäftigtendaten im Einklang mit § 32 BDSG stehen. Darüber hinaus ist zu überprüfen, ob besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen. Besondere Risiken können auch bestehen, wenn kein Verstoß gegen Datenschutzrecht gegeben ist.
  6. Die Vorabkontrollen sollten schriftlich dokumentiert werden. Aufsicht und Wirtschaftsprüfung müssen nachvollziehen können, warum eine Vorabkontrolle positiv oder negativ beschieden wurde. 7. Strafrechtliche Sanktionen müssen Unternehmen im Falle von unterbliebenen Vorabkontrollen eher nicht fürchten. Dennoch sollten Vorabkontrollen durchgeführt werden, um schlechte Bewertungen bei Prüfungen zu vermeiden.

* Dr. Ulrich Hallermann ist Rechtsanwalt in Frankfurt am Main. Sie erreichen den Autor per Mail unter hallermann@bhanwaelte.de.

[1] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 vom 23/11/1995 S. 0031 – 0050.

[2] Taeger/Gabel-Scheja, § 4d BDSG Rn. 58, 2. Aufl. (2013).

[3] Besondere Risiken können mit der Zweckbestimmung einhergehen, s oweit betroffene Personen von der Inanspruchnahme eines Rechts, einer Leistung oder eines Vertrags ausgeschlossen werden

[4] So auch: Taeger/Gabel-Scheja, § 4d BDSG Rn. 60, 2. Aufl. (2013).

[5] Taeger/Gabel-Scheja, § 4d BDSG Rn. 69, 2. Aufl. (2013).

[6] Taeger/Gabel-Scheja, § 4d BDSG Rn. 13, 2. Aufl. (2013).

[7] Taeger/Gabel-Scheja, § 4d BDSG Rn. 64, 2. Aufl. (2013)

[8] Vgl. hierzu auch den Beschluss des Düsseldorfer Kreises: https://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/59DSK-DataWarehouse_DataMiningUndDatenschutz.pdf?__blob=publicationFile. Zuletzt abgerufen am 21. August 2014.

[9] Eine ausführliche Checkliste, die nachfolgend verkürzt dargestellt wird, ist im Internet zu finden: http://www.bfdi.bund.de/bfdi_wiki/index.php/Checkliste_Vorabkontrolle. Zuletzt abgerufen am 17. September 2014.

[10] Vgl. hierzu: http://www.bfdi.bund.de/bfdi_wiki/index.php/Checkliste_Vorabkontrolle. Zuletzt abgerufen am 17. September 2014.