Verfahren sollten vor Inbetriebnahme kontrolliert werden – die Vorabkontrolle

Verfahren sollten vor Inbetriebnahme kontrolliert werden – die Vorabkontrolle

Das Bundesdatenschutzgesetz sieht vor, dass Verfahren bevor sie in Betrieb genommen werden, durch den Datenschutzbeauftragten kontrolliert werden sollten. Der Prozess dient nicht nur dem Schutz personenbezogener Daten, sondern letztlich auch dem Schutz des Unternehmens.

Eine der wichtigsten Aufgaben des Datenschutzbeauftragten ist die Durchführung der Vorabkontrolle gemäß § 4d Abs. 6 Satz 1 BDSG bei sensiblen Verarbeitungen. Diese Aufgabe bleibt auch in der neuen Datenschutz-Grundverordnung (DS-GVO) als „Datenschutz-Folgenabschätzung“ bestehen.

Eine Verpflichtung zur Durchführung einer Vorabkontrolle besteht unabhängig davon, ob das geplante Verfahren durch eigenes Personal selbst erstellt werden soll oder durch einen externen Auftragnehmer.

Als Regelbeispiele für eine Vorabkontrolle werden im § 4d Abs. 5 Satz 2 Nrn. 1 und 2 BDSG die Verarbeitung besonderer Arten von personenbezogenen Daten im Sinne des § 3 Abs. 9 BDSG sowie Daten zur Bewertung der Persönlichkeit der Betroffenen genannt. Die Vorabkontrolle darf sich allerdings nicht nur auf diese Fälle beschränken. Vielmehr hat sie sich auch auf alle in das Persönlichkeitsrecht des Einzelnen eingreifende Verarbeitungen zu erstrecken.

Gemäß § 3 Abs. 9 BDSG zählen zu den besonderen Arten personenbezogener Daten:

  • Angaben über die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder philosophische Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • Bonitätsdaten,
  • Gesundheitsdaten oder
  • Daten über das Sexualleben.

Eine Vorabkontrolle muss nach § 4d Abs. 5 Satz 2 BDSG nicht durchgeführt werden, wenn

  • eine gesetzliche Verpflichtung oder
  • eine Einwilligung der Betroffenen vorliegt
  • oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient.

Die Durchführung der Vorabkontrolle und damit die Einbindung des internen Datenschutzbeauftragten müssen so frühzeitig wie möglich einsetzen, damit erforderliche Verfahrensänderungen rechtzeitig vor dem geplanten Echteinsatz umgesetzt werden können.

Grundlagen einer Vorabkontrolle sind die dem Datenschutzbeauftragten gemäß § 4d Abs. 6 Satz 2 BDSG von der verantwortlichen Stelle rechtzeitig zur Verfügung zu stellenden Unterlagen.

Dabei handelt es sich gemäß § 4g Abs. 2 Satz 1 BDSG im Wesentlichen um

  • eine Verfahrensbeschreibung im Sinne des § 4e BDSG sowie
  • eine Übersicht der zugriffsberechtigten Personen.

Als geeignetes Instrument bietet sich der  „Datenschutz Assistent®“ an, welcher den Datenschutzbeauftragten und auch die verantwortliche Stelle an die Hand nimmt, mit der Aufgabe der Vorabkontrolle ordnungsgemäß umzugehen. Handelt es sich doch bei den Verfahren oftmals um Einführungsprozesse von mehreren Monaten oder Jahren, gilt es, den Überblick zu behalten.

Diesen Überblick behält man mit dem „Datenschutz Assistent®“:

03_Vorabkontrolle_Dr. Abel_HHA_Bild1_final

Bild: Report der Prüfansätze im „Datenschutz Assistent®“ zur Sicherstellung einer Vorabkontrolle.

Im Detail lassen sich mit dem „Datenschutz Assistent®“ die relevanten Fragen Schritt für Schritt bearbeiten.

03_Vorabkontrolle_Dr. Abel_HHA_Bild2_final

Bild: Auszug aus den Prüfansätzen im „Datenschutz Assistent®“ zur Sicherstellung einer Vorabkontrolle mit Einzelfragen.

Im Rahmen einer Vorabkontrolle sind schließlich auch die Folgen abzuschätzen, die eine bestimmte Anwendung hinsichtlich des Persönlichkeitsschutzes der Betroffenen haben können. Das Ergebnis dieser Prüfung kann Auswirkungen auf die bei der Verarbeitung einzusetzende Soft- und Hardware und die zur ergreifenden Datensicherheitsmaßnahmen haben.

Viele Landesdatenschutzgesetze sehen ebenso eine Vorabkontrolle vor, wie in Nordrhein-Westfalen § 10 Abs. 3 DSG-NRW oder in Bayern die datenschutzrechtliche Freigabe nach Art. 26 Abs. 1 Satz 1 BayDSG.

Artikel 26 Abs. 3 Satz 2 BayDSG regelt beispielsweise, dass die behördlichen Datenschutzbeauftragten, die es im Behördenbereich in der Datenschutz-Grundverordnung (DS-GVO) weiterhin geben wird, die datenschutzrechtliche Freigabe neuer Verfahren oder wesentlich geänderter Verfahren erteilen müssen.

Dr. Horst G. Abel und Hannes Hahn

Links:

http://www.datenschutzassistent.de/
http://www.roedl.de/themen/cyber-sicherheits-check-hilft-eigene-position-zu-bestimmen
http://www.roedl.de/themen/penetrationstest-cyber-sicherheit