Vorabkontrolle im Datenschutz-Alltag / 5.3 Schritt 3: Rechtlicher Hintergrund

Die Vorabkontrolle ist seit der Novelle von 2001 im BDSG enthalten, als Folge der EG-Datenschutzrichtlinie von 1995 (dort Art. 20). Im BDSG sind die wenigen Regelungen zur Vorabkontrolle im § 4d Abs. 5, 6 BDSG zu finden, und zwar unter der irreführenden Überschrift "Meldepflicht".

Immerhin ist die Zuständigkeit für die Vorabkontrolle eindeutig geregelt: zuständig für deren Durchführung ist der Datenschutzbeauftragte. Aber schon der Zeitpunkt, wann Vorabkontrollen vorzunehmen sind, ist auf den ersten Blick widersprüchlich geregelt. Im § 4d Abs. 5 BDSG heißt es, dass automatisierte Verarbeitungen, soweit sie besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, vor Beginn der Verarbeitung einer Vorabkontrolle unterliegen. Im folgenden Absatz 6 heißt es hingegen, dass der Datenschutzbeauftragte die Vorabkontrolle nach Empfang des Verfahrensverzeichnisses und der Verfahrensbeschreibungen vorzunehmen hat. Der Leser dieser Paragrafen fragt sich, wann denn nun? Vor Inbetriebnahme des Verfahrens oder nach Empfang der Verfahrensübersicht? Zumal noch hinzukommt, dass i. d. R. in den Unternehmen keine Verfahrensverzeichnisse und keine Beschreibungen der Verfahren auf Vorrat vorliegen, sondern diese dem Aufgabengebiet des Datenschutzbeauftragten zugeschlagen wurden und dieser die Verfahrensbeschreibungen in aller Regel selbst durchführt.

Eine unterlassene Vorabkontrolle bleibt, wenn man ausschließlich das Datenschutzrecht heranzieht, zunächst folgenlos, denn ein Bußgeld ist für den Fall, dass eine eigentlich erforderliche Vorabkontrolle nicht vorgenommen wird, nicht vorgesehen. Außerdem muss der Datenschutzbeauftragte laut BDSG erst aktiv werden, wenn er die Verfahrensübersicht empfangen hat, und rein formal sogar erst dann, wenn die Angaben nach § 4e BDSG in der Verfahrensbeschreibung vollständig sind. Auch für das Unternehmen bleibt es auf den ersten Blick folgenlos, wenn ein Verfahren in den Betrieb geht, ohne dass eine Vorabkontrolle vorgenommen wurde.

→Praxisbeispiel VoIP: Hier kann die Vorabkontrolle tatsächlich "vorab" durchgeführt werden, weil der Datenschutzbeauftragte zufällig bei Routinekontrollen auf die geplanten wesentlichen Änderungen im Zusammenhang mit der Telefonanlage gestoßen ist. Allerdings zeigt das Praxisbeispiel auch die Problematik der erforderlichen "Nachher-Überprüfung": bei der Einführung der bisherigen Telefonanlage war es nicht zur Prüfung gekommen, ob eine Telefonanlage erforderlich ist oder nicht – und in der Folge dann auch nicht zu einer Vorabkontrolle, denn zum Zeitpunkt der Verfahrenseinführung bestand im deutschen Datenschutzrecht noch keine Verpflichtung zur Vorabkontrolle. Eigentlich hätte dies dem Datenschutzbeauftragten bei der Prüfung der Verfahren auffallen müssen, vorausgesetzt es gab eine Verfahrensbeschreibung zum Betrieb der Telefonanlage, was aus der Praxiserfahrung heraus normalerweise eher selten der Fall ist.

Wenn jedoch eingangs zu Recht darauf verwiesen wurde, dass die meisten der in den letzten Jahren bekannt gewordenen Datenskandale durch die Vornahme einer vollständigen Vorabkontrolle hätten vermieden werden können, kann man nicht mehr ernsthaft davon sprechen, dass es aus rechtlicher Sicht für ein Unternehmen folgenlos bliebe, wenn die Vorabkontrolle nicht durchgeführt wird. An dieser Stelle wird ergänzend auf die Organisationsverpflichtung des § 9 BDSG hingewiesen. Die Vornahme einer Vorabkontrolle ist als organisatorische Maßnahme zur Prävention von Datenschutzvorfällen zu betrachten. Angenommen, es kommt in der Folge einer unterlassenen Vorabkontrolle zu einem Datenschutzvorfall mit den entsprechenden finanziellen und Image schädigenden Folgen für die Betroffenen, dann steigt das Risiko, dass jeweils die verschärfte Bußgeldvorschrift des § 43 BDSG Anwendung findet, wenn der Vorfall durch die Vornahme einer Vorabkontrolle hätte verhindert werden können.

Eine Vorabkontrolle ist immer dann vorzunehmen, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Laut Gesetz ist insbesondere dann eine Vorabkontrolle durchzuführen, wenn besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden oder die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Gerade der Begriff "insbesondere" macht das Thema Vorabkontrolle so schwierig, denn es bleiben mindestens 2 Unklarheiten: Wann liegen besondere Risiken für die Rechte und die Freiheiten der Betroffenen vor? Und welche weiteren Fälle – neben den im Gesetz unter "insbesondere" genannten – machen eine Vorabkontrolle eigentlich noch erforderlich?

Und wenn es nicht schon schwierig genug ist, hier eine eindeutige Handlungsweise abzuleiten, wird das Ganze noch durch die im Gesetz genannten Ausnahmen weiter verkompliziert. In § 4d Abs. 5 BDSG sind 3 Ausnahmen von der Vornahme der Vorabkontrolle verzeichnet. Eine Vorabko...