12. Januar 2009 - Oft übersehen, aber wichtig

Vorabkontrolle – wann ist sie nötig?

Die Regelung über die „datenschutzrechtliche Vorabkontrolle“ ist recht versteckt in § 4d Abs. 5 BDSG enthalten. Sie geht zurück auf die EG-Datenschutzrichtlinie und kam erst mit dem BDSG 2001 ins Gesetz. In der Praxis wird vielfach übersehen, wie sehr sich Unternehmen durch eine Missachtung dieser Vorschrift zur Vorabkontrolle in hohem Maß öffentlich angreifbar machen. Dass eine Verletzung der Regelung kein Bußgeld nach sich zieht, ist vor diesem Hintergrund ohne Belang.

vorabkontrolle-2013-wann-ist-sie-notig.jpeg
Sie müssen als DSB nicht alle Verfahren einer Vorabkontrolle unterziehen. Relevant sind nur die automatisierten Verfahren, die „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“ (Foto: Michael Hirschka / PIXELIO).

Zu den vielen Neuerungen, die die EG-Datenschutzrichtlinie im BDSG 2001 erzwungen hat, gehört die Vorschrift über die datenschutzrechtliche Vorabkontrolle.

Vorabkontrolle ist versteckt unter „Meldepflicht“

Die Vorabkontrolle ist in Absatz 5 des § 4d BDSG geregelt, der die in diesem Zusammenhang eher irreführende Überschrift „Meldepflicht“ trägt. Zuständig für die Vorabkontrolle ist kraft Gesetzes der betriebliche Datenschutzbeauftragte (§ 4d Abs. 6 Satz 1 BDSG).

Pflichten des betrieblichen DSB in der Theorie …

Damit der DSB eine Vorabkontrolle durchführen kann, muss er zunächst wissen, ob ein automatisiertes Verfahren zum Einsatz kommen soll, das einer solchen Vorabkontrolle unterliegt. Das sieht auch das Bundesdatenschutzgesetz so, wie sich aus folgender Verweisungskette ergibt:

  • Zuständig ist der betriebliche DSB (§ 4d Abs. 6 Satz 1 BDSG).
  • Er muss – erst – aktiv werden, wenn ihm die gesetzlich vorgesehene Übersicht mit den nötigen Angaben zum Verfahren vorgelegt wird (§ 4d Abs. 6 Satz 2 unter Verweis auf § 4g Abs. 2 Satz 1 BDSG).

Rein formal gesehen löst selbst die Vorlage dieser Übersicht nur dann eine Handlungspflicht des DSB aus, wenn die Übersicht alle gesetzlich vorgesehenen Angaben enthält (§ 4g Abs. 2 Satz 1 BDSG unter Verweis auf § 4e Satz 1 BDSG).

… und in der Praxis

So weit die Theorie. Da der betriebliche DSB jedoch auch die Aufgabe hat, die im Sinne des BDSG verantwortliche Stelle – also „sein“ Unternehmen – zu beraten, sieht die Praxis eher so aus, dass er überhaupt erst einmal auf die Existenz der Pflicht zur Vorabkontrolle hinweisen und meist auch erklären muss, wann sie notwendig ist.

Die Besonderheit der „Vorabkontrolle“

Vom Gesetz her darf ein Unternehmen ein automatisiertes Verfahren – also etwa ein neues EDV-Programm zur Lohnabrechnung oder zur Versendung von Werbematerial an Kunden – einsetzen, ohne dass der betriebliche DSB vorher überprüft hat, ob dieses Verfahren den Anforderungen des Datenschutzes entspricht.

Das mag unklug sein, da mit allen Risiken fehlender Überprüfung verbunden, ist aber prinzipiell zulässig.

Information des DSB reicht oft

Der DSB muss lediglich informiert werden, dass überhaupt ein neues Verfahren zum Einsatz kommt, damit er es – sofern notwendig – überprüfen kann (Unterstützungspflicht nach § 4f Abs. 5 Satz 1 BDSG).

Angeblich keine Sanktionen zu befürchten – ein Irrtum!
Selbst in renommierten Kommentaren – etwa von Gola/Schomerus im Beck-Verlag – kann man die Behauptung lesen, der Einsatz eines Verfahrens sei selbst dann rechtmäßig, wenn die gesetzlich notwendige Vorabkontrolle unterbleibt.

Ein Bußgeld ist tatsächlich nicht zu befürchten, da das Gesetz kein Bußgeld vorsieht, falls die Vorabkontrolle absichtlich oder fahrlässig versäumt wird.

Eines wird bei solchen – schon an sich fragwürdigen – Argumenten freilich übergangen: Wie will ein Unternehmen im Ernstfall eigentlich der Öffentlichkeit erklären, dass es eine gesetzliche Pflicht ignoriert hat, obwohl es um heikle Daten wie etwa Gesundheitsdaten geht?

Nur bei automatisierten Verfahren mit „besonderen Risiken“ ist eine Vorabkontrolle nötig

Eine Ausnahme von diesem Grundsatz besteht nur bei automatisierten Verfahren, die „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen“, so § 4d Abs. 5 Satz 1.

Falls diese Voraussetzung gegeben ist, muss ein Verfahren vor seiner erstmaligen Verwendung darauf überprüft werden, ob es alle datenschutzrechtlichen Vorgaben erfüllt.

Das Rätsel „besondere Risiken einer Verarbeitung“

Eigentlich sollte man erwarten, dass das Gesetz ein Kriterium von dieser Bedeutung genau definiert. Das Gegenteil ist der Fall.

In § 4d Abs. 5 Satz 2 BDSG heißt es nur allgemein: Das Kriterium des „besonderen Risikos“ sei erfüllt, wenn

  • besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) verarbeitet werden (Nr. 1) oder
  • die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens (Nr. 2).

Achtung bei „insbesondere“

Zusätzlich schwierig wird es dadurch, dass das Gesetz diese beiden Fallgruppen nur als Beispiele ansieht. Das zeigt sich am Wörtchen „insbesondere“, das vor den beiden Ziffern steht.

Es gibt also weitere Fälle für die Vorabkontrolle – aber welche sollen das sein?

Die Begriffe sind recht unklar

Gesetzgeberische Klarheit sieht anders aus! Relativ einfach bleibt es noch, wenn man im Hinblick auf die Nummer 1 bei § 4d Abs. 5 Satz 2 BDSG die Definition des § 3 Abs. 9 BDSG liest.

Danach sind „besondere Arten von Daten“ die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit und Sexualleben.

Diese Fälle sind in der Praxis eines Unternehmens recht selten, sieht man einmal von der Speicherung der Religionszugehörigkeit im Rahmen der Kirchensteuer ab, die aber gesetzlich vorgeschrieben ist.

Wann wird Persönlichkeit bewertet?

Schwer kalkulierbar wird es dagegen, wenn man im Hinblick auf die Nummer 2 des § 4d Abs. 5 Satz 2 BDSG fragt, wann denn eine Verarbeitung dazu bestimmt ist, die Persönlichkeit eines Betroffenen zu bewerten.

Selbst in den klaren Fällen gibt es Ausnahmen

Das rührt v.a. daher, dass nicht alle Verarbeitungen der geschilderten Art einer Vorabkontrolle unterliegen. Das Gesetz sieht nämlich (§ 4d Abs. 5 Satz 2 letzter Halbsatz) Ausnahmen von der Vorabkontrolle vor, wenn

  • eine gesetzliche Verpflichtung zur Verarbeitung vorliegt oder
  • eine Einwilligung des Betroffenen besteht oder
  • die Verarbeitung einem Vertragsverhältnis oder einem vertragsähnlichen Vertrauensverhältnis dient.

Beispiele aus der Praxis

Spätestens an dieser Stelle neigen auch Gutwillige dazu, die Vorschrift über die Vorabkontrolle entnervt zur Seite zu legen. Doch zu Unrecht! Beispiele zeigen, um was es geht:

Beispiel 1: Daten über die Religionszugehörigkeit

Daten über die Religionszugehörigkeit sind besondere Daten nach § 3 Abs. 9 BDSG und unterliegen damit an sich der Vorabkontrolle. Ihre Verarbeitung ist jedoch, soweit es um die Kirchensteuer geht, gesetzlich vorgeschrieben.

Ergebnis: Keine Vorabkontrolle eines Personalinformationssystems nur deshalb, weil dort die Religionszugehörigkeit festgehalten ist.

Beispiel 2: Skilldatenbanken und Beförderungsranglisten

Diese Datenbanken und Listen enthalten umfassende Angaben über die Fähigkeiten und die Vorbildung der Betroffenen. Ihr Zweck besteht darin, Aufstiegschancen zu eröffnen – oder eben auch nicht.

Sie erfüllen damit die oben genannte Nummer 2 (Persönlichkeitsbewertung). Dass sie nur dazu dienen, den Arbeitsvertrag zu erfüllen, kann man dabei nicht sagen.

Im Gegenteil. Ihre Wirkung entfalten sie erst dann, wenn der Betroffene ausgewählt wird und einen Vertrag mit besseren Konditionen bekommt. Ergebnis: Vorabkontrolle nötig!

Beispiel 3: Daten über Straftaten

Ein typisches Beispiel, bei dem ein Urteil schwer fällt, sind Dateien über Ladendiebe, Hausverbotsdateien usw. Sie erfüllen unmittelbar keine der beiden genannten Gesetzesziffern.

Wegen ihrer potenziell diskriminierenden Wirkung liegt hier jedoch einer der Fälle vor, die den im Gesetz genannten Fällen gleichstehen und somit eine Vorabkontrolle erfordern (siehe dazu die Erläuterung zum Wörtchen „insbesondere“).

Im Zweifel: Vorabkontrolle!

Die Beispiele zeigen, dass die Herausforderung oft darin besteht, erst einmal zu ermitteln, welche Verarbeitungen der Vorabkontrolle unterliegen und welche nicht.

Dabei sollte sich der DSB mit dieser Frage nicht zu lange aufhalten. Ein vernünftiges Unternehmen wird wichtige Verfahren ohnehin vorab auch datenschutzrechtlich überprüft wissen wollen – ob das Gesetze dies nun vorschreibt oder nicht.

Besser das Verfahren vorab geprüft als hinterher geändert

Niemandem ist gedient, wenn ein Verfahren zwar schnell zum Einsatz kommt, dann aber wieder geändert werden muss, weil Aspekte des Datenschutzes übersehen wurden. Diese Linie sollte man mit der Unternehmensleitung absprechen.

Download: Checkliste Vorabkontrolle

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren ständig intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln