Vorabkontrolle im Datenschutz-Alltag

Zusammenfassung

Überblick

Die Vorabkontrolle ist die ureigenste Domäne des Datenschutzbeauftragten und gleichzeitig die Königsdisziplin des Datenschutzes. Für einen revisionssicheren Datenschutz ist sie unentbehrlich. Mithilfe der Vorabkontrolle können mögliche Fehler oder Fallen bei geplanten Verfahren frühzeitig erkannt und behoben bzw. vermieden werden. Bei der Vorabkontrolle kann der Datenschutzbeauftragte seine ganze Kompetenz zeigen, er sollte sich aber auch nicht scheuen, bei fehlenden Ressourcen (Zeit) oder fehlender Erfahrung externe Unterstützung hinzuzuziehen. Die Alternative wäre, bei Unsicherheiten die Aufsichtsbehörde einzuschalten.

Der Aufwand für die Vorabkontrolle darf nicht unterschätzt werden, jedoch hat sich die folgende Anleitung zur Durchführung einer Vorabkontrolle in 12 Schritten in der Praxis bewährt. Im vorliegenden Beitrag ist parallel zu den Erläuterungen der einzelnen Schritte ein Praxisbeispiel herangezogen worden. Es handelt sich um die zu prüfende Einführung der Voice-over-IP- (VoIP-Telefonie). Da die Vorabkontrolle für einzelne Verfahren inhaltlich sehr unterschiedlich ablaufen kann, sind die Beispiele im folgenden Beitrag insgesamt zwangsläufig eher allgemein gehalten und müssen an die jeweilige Situation vor Ort angepasst werden.

1 Vorabkontrolle – die Königsdisziplin des Datenschutzbeauftragten

Die Vorabkontrolle ist einerseits die Königsdisziplin des Datenschutzbeauftragten, andererseits wohl diejenige seiner Pflichten, die in der Praxis am häufigsten falsch verstanden, falsch interpretiert und falsch durchgeführt wird. Dies ist umso erstaunlicher, als sie nur vom Datenschutzbeauftragten und von sonst niemandem ausgeführt werden darf. Die Vorabkontrolle sichert die Stellung des Datenschutzbeauftragten. Sie müsste daher eigentlich eher eines seiner Lieblingsthemen sein. Stattdessen stellt man in der betrieblichen und behördlichen Praxis immer wieder fest, dass die Vorabkontrolle ungeliebt ist und (gerne?) übersehen wird. Dies mag auch auf Unsicherheit oder auf mangelnder Erfahrung beruhen, dennoch stellt die Vernachlässigung der Vorabkontrolle im Zweifel einen ernst zu nehmenden Verstoß gegen datenschutzrechtliche Vorschriften und gegen die Pflichten des Datenschutzbeauftragten dar.

Dabei bietet die Vorabkontrolle, wenn sie richtig gemacht wird, für die Unternehmen die Gewähr, dass die automatisierten Verfahren, die durch die Vorabkontrolle geprüft werden, datenschutzkonform ablaufen können, wenn die Hinweise des Datenschutzbeauftragten ernst genommen und umgesetzt werden. Man kann noch weiter gehen: die meisten Datenschutzskandale der letzten Jahre hätten vermieden werden können, wenn eine Vorabkontrolle korrekt durchgeführt worden wäre und die entsprechenden Hinweise der jeweiligen Datenschutzbeauftragten ernst genommen worden wären, denn dann hätten die Fallstricke, die zum Datenschutzskandal mit allen seinen finanziellen und Image schädigenden Folgen geführt haben, rechtzeitig erkannt und vermieden werden können.

Nur wenig Unterstützung in der Datenschutzliteratur

Über die wesentlichen Pflichten des Datenschutzbeauftragten gibt es mittlerweile umfangreiche Literatur. Wer sich mit Verfahrensverzeichnissen und den dazu erforderlichen Verfahrensbeschreibungen beschäftigt, findet Dutzende brauchbarer Dokumente und Checklisten im Internet, ebenso bei der Dokumentation der technischen und organisatorischen Maßnahmen. Beides wird übrigens bei der Vorabkontrolle benötigt. Über aktuelle Gefährdungspotenziale beim Datenschutz werden Hunderte von Blogs geführt.

Nur die Vorabkontrolle findet so gut wie keine Unterstützung, wenn man mal von einer Handvoll weitgehend identischer Hinweise bei den Landesbeauftragten für Datenschutz absieht, und auch diese sind in der Mehrzahl auf öffentlich-rechtliche Institutionen abgestellt mit den entsprechenden Hinweisen auf die Landesdatenschutzgesetze. Mit Ausnahme der Aufsichtsbehörde des Landes Hessen, die eine gut verständliche und anzuwendende Orientierungshilfe zur Vorabkontrolle (allerdings nur für Behörden, für die das Hessische Landesdatenschutzgesetz gilt) veröffentlicht hat, ist aktuell kaum eine Unterstützung der Datenschutzbeauftragten vorhanden. Der vorliegende Beitrag richtet sich in Teilen nach der dort vorgenommenen Strukturierung der Vorabkontrolle.

Ungeliebte Vorabkontrolle

Es bleibt festzustellen, dass die Vorabkontrolle für betriebliche und externe Datenschutzbeauftragte, sofern sie für nicht-öffentliche Unternehmen tätig sind, ein weißer Fleck in der Datenschutzliteratur ist.

Vielleicht liegt es an folgenden Merkmalen:

• Das Bundesdatenschutzgesetz enthält die spärlichen Regelungen zur Vorabkontrolle erst seit der Novelle 2001, ausgelöst durch die EU-Richtlinie von 1995.
• Die Vorabkontrolle befindet sich im BDSG im § 4d "Meldepflicht" im Absatz 5 – hätte man sie verstecken wollen, wäre das kaum besser möglich gewesen.
• Der Bußgeldkatalog des BDSG sieht kein direktes Bußgeld vor, wenn die Vorabkontrolle fahrlässig oder vorsätzlich nicht ausgeführt wurde.
• Ein Verfahren der automatisierten Verarbeitung von personenbezogene...