Der Schutz des Grundrechts auf informationelle Selbstbestimmung erfordert besondere Kontrollverfahren. Besondere Risiken für das allgemeine Persönlichkeitsrecht bestehen, wenn Daten nicht bloß im Einzelfall, sondern automatisiert erhoben werden. Der Vorbeugung dieser Gefahren dient die europäische Datenschutzrichtlinie, deren Vorgaben in § 4d Abs. 5 BDSG umgesetz wurden.
Der Vorabkontrolle unterliegende Datenverarbeitungen
Das Vorabkontrollverfahren ist nur durchzuführen, wenn es sich um eine automatisierte Datenverarbeitung handelt. Die Vorabkontrolle ist also nicht durchzuführen, wenn es sich bloß um einzelne Datenverarbeitungsvorgänge handelt. Der Begriff der automatisierte Datenverarbeitung erfordert vielmehr die, einem bestimmten Zweck dienende Verarbeitung ganzer Datenkonvolute.
Desweiteren besteht die Pflicht zur Vorabkontolle nur, wenn mit der Datenerhebung besondere Risiken für die Betroffenen verbunden sind. Das Gesetz nennt hierfür zwei Fälle:
- es werden besondere Arten personenbezogener Daten verarbeitet oder
- der Datenverarbeitungsvorgang ist dazu bestimmt, die Betroffenen hinsichtlich ihrer Persönlichkeit, Leistung, Fähigkeit oder ihres Verhaltens zu bewerten.
Unter Daten besondererer Art, sind besonders sensible personenbezogene Daten zu verstehen, die § 3 Abs. 9 BDSG als Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben definiert. Die beiden gesetzlichen Beispielsfälle erfassen den Anwendungsbereich der Vorabkontrolle aber keineswegs abschließend. So bestehen besondere Risiken für die Rechte und Freiheiten der Betroffenen auch bei einer Videoüberwachung, der Personalverwaltung, der Telefondatenerfassung und immer dann, wenn größere Datenmengen nach einem bestimmten Schema verarbeitet werden. Mit der Verarbeitung besonderer personenbezogener Daten ist es vergleichbar, wenn scheinbar belanglose Einzeldaten in einem Verwendungszusammenhang mit sensiblen Informtionen stehen.
Beispiel: Name und Adresse sind in einer Datenbank über Aids-Tests festgehalten sind, das Testergebnis taucht jedoch nicht auf. Name und Adresse des Betroffenen sind für sich genommen nicht als besondere Arten personenbezogener Daten zu qualifizieren. Die Tatsache, dass sie in der Aids-Test-Datenbank festgehalten werden lässt aber Rückschlüsse auf die Gesundheit und das Sexualleben des Betroffenen zu. Eine Vorabkontrolle ist daher durchzuführen.
Befreiungstatbestände zur Vorabkontrolle
Die Vorabkontrolle muss aber generell nicht erfolgen, wenn ein Befreiungstatbestand des § 4d Abs. 5 BDSG greift. Dies ist namentlich der Fall, wenn:
- eine gesetzliche Verpflichtung zur Erhebung, Verarbeitung oder Nutzung besteht,
- eine Einwilligung des Betroffenen vorliegt, oder
- die Erhebung, Verarbeitung oder Nutzung von Daten für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist.
Insbesondere der letzte Punkt des Befreiungskatalogs wirkt sich empfindlich auf den Arbeitnehmerdatenschutz aus. Nimmt man die Vorschrift beim Wortlaut, ließen sich Personalauswahlsysteme, Personalinformations- oder sogenannte Skilldatenbänke ohne Durchführung einer Vorabkontrolle einrichten, selbst wenn sie sensible Daten enthalten könnten. Nach dem Willen des Gesetzgebers sollte § 4d Abs. 5 BDSG aber am Arbeitnehmerdatenschutz nichts ändern. Die Beurteilung, ob eine Befreiung von der Vorabkontrolle greift oder nicht, bleibt daher letzlich eine Frage des Einzelfalls.
Durchführung und Umfang der Vorabkontrolle
Die Vorabkontrolle wird gem. § 4d Abs 5 BDSG vom betrieblichen Datenschutzbeauftragten durchgeführt. Dieser ist möglichst frühzeitig über das Vorhaben zu unterrichten, so dass ihm ausreichend Zeit für eine ordnungsgemäße Prüfung bleibt. Der Datenschutzbeauftrage hat zu prüfen, ob ein Fall der Vorabkontrolle gegeben ist und ob gegebenenfalls ein Befreiungstatbestand greift. Inhaltlich prüft der Beautragte, ob die Grundsätze der Datenverarbeitung beachtet wurden, ob informationelle Selbstbestimmungsrechte der Betroffenen gefährdet sind und ob die vorgeschriebenen organisatorischen und technischen Sicherungsmaßnahmen nach § 9 S.1 BDSG eingehalten worden sind. Die Datenverarbeitung darf nicht beginnen, bevor der Datenschutzbeauftragte sein Einverständis erklärt hat. § 4d Abs. 5 BDSG wäre nicht mehr als bloße Makulatur, wenn es schlussendlich nicht auf die Durchführung der Vorabkontrolle ankäme. Das Bundesverfassungsgericht hat aber gerade im Bereich der Persönlichkeitsrechte immer wieder auf die große Bedeutung des vorgezogenen Grundrechsschutzes durch Verfahren hingewiesen. Wird mit der Datenverarbeitung ohne Genehmigung des Datenschutzbeauftragen begonnen, so geschieht sie unbefugt und verwirklicht folglich den Ordnungswidrigkeitentatbestand des § 42 Abs. 2 BDSG. Das Bußgeld kann bis zu € 300.000,- betragen. Es ist also ratsam, im Einvernehmen mit dem Datanschutzbeauftragten zu handeln, um etwaige Sanktionen zu vermeiden.
