Die Vorabkontrolle wird von dem Datenschutzbeauftragten durchgeführt. Ein solches Kontrollverfahren ist immer dann erforderlich, wenn durch die Datenerhebung besondere Risiken für den Betroffenen bestehen. Beispielsweise bei:
- personenbezogenen Daten. Hierbei handelt es sich um besonders sensible Daten des Betroffenen, wie der Sexualität, der religiösen Überzeugung oder der ethnischen Herkunft,
- bei Daten die dazu geeignet sind den Betroffenen hinsichtlich seiner Leistung, Fähigkeit oder seines Verhaltens zu bewerten
Diese im Gesetz normierten Beispiele (§ 4d Abs.5 S.2 BDSG) sind jedoch nicht abschließend gedacht. Vielmehr muss der Datenschutzbeauftragte für den Einzelfall prüfen, ob besondere Risiken für die Rechte oder Freiheiten der Betroffenen vorliegen.
Ein Vorabkontrollverfahren entfällt hingegen, wenn:
- eine gesetzliche Verpflichtung zur Erhebung, Verarbeitung oder Nutzung besteht,
- eine Einwilligung des Betroffenen vorliegt,
- die Erhebung, Verarbeitung oder Nutzung von Daten für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist.
