datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Vorabkontrolle: Überprüfung automatisierter Verfahren

  • Von Louisa N.
  • Letzte Aktualisierung am: 25. August 2024
Geschätzte Lesedauer: 3 Minuten

Das Wichtigste zur Vorabkontrolle in Kürze

  • Eine Vorabkontrolle muss in bestimmten Fällen vor der Einführung von automatisierten Datenverarbeitungsverfahren durchgeführt werden.
  • Sie dient dazu, das Verfahren auf Risiken und Gefahren für die personenbezogenen Daten der betroffenen Personen zu untersuchen.
  • Für die Durchführung der Vorabkontrolle ist der Datenschutzbeauftragte zuständig.

Wichtig! Dieser Text bezieht sich auf die nicht mehr gültige Fassung des Bundesdatenschutzgesetzes (BDSG), welches mit Wirkung zum 25. Mai 2018 durch die Datenschutzgrundverordnung (DSGVO) und das BDSG-neu abgelöst wurde. Infos zu den aktuellen Datenschutzregelungen finden Sie hier:

Was ist eine Vorabkontrolle im Datenschutz?

Eine Vorabkontrolle im Datenschutz ist zum Beispiel bei der Einführung von Videoüberwachung erforderlich.
Eine Vorabkontrolle im Datenschutz ist zum Beispiel bei der Einführung von Videoüberwachung erforderlich.

In § 4d Absatz 5 ist im Bundesdatenschutzgesetz (BDSG) die sogenannte Vorabkontrolle für öffentliche und nicht-öffentliche Stellen festgelegt. Was ist hierunter genau zu verstehen?

Eine solche Vorabkontrolle dient dazu, die Risiken für die Rechte und Freiheiten von Personen zu überprüfen, deren Daten automatisiert verarbeitet werden.

Mit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 wird die Vorabkontrolle durch die Datenschutz-Folgenabschätzung nach Art. 35 abgelöst.

Das Ziel der Datenschutz-Vorabkontrolle ist es, vor der Einführung von automatisierten Verfahren deren Gefahren für die Sicherheit der personenbezogenen Daten zu überprüfen.

Wann muss eine Vorabkontrolle durchgeführt werden?

Die Vorabkontrolle nach BDSG ist insbesondere in folgenden Fällen durchzuführen:

  1. Bei der Verarbeitung besonderer Arten von personenbezogenen Daten nach § 3 Absatz 9 BDSG.
  2. Wenn die Verarbeitung dazu dient, die Persönlichkeit der betreffenden Person (inklusive seiner Fähigkeiten, seiner Leistung und seines Verhaltens) zu bewerten
Eine Vorabkontrolle kann dann erforderlich werden, wenn personenbezogene Daten automatisiert verarbeitet werden.
Eine Vorabkontrolle kann dann erforderlich werden, wenn personenbezogene Daten automatisiert verarbeitet werden.

Mit den im ersten Punkt erwähnten besonderen Arten von personenbezogenen Daten sind diejenigen Informationen gemeint, die in hohem Maße sensibel und daher besonders schützenswert sind. Dazu gehören Angaben über:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder philosophische Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Gesundheit oder Sexualleben

Ein beispielhafter Fall, in dem es nach Auffassung der Aufsichtsbehörden nötig ist, eine Vorabkontrolle durchzuführen: Videoüberwachung. Dies jedoch nur dann, wenn diese nicht nur punktuell, sondern in größerem Umfang und mit zentraler Steuerung vorgenommen wird.

Wann ist eine Vorabkontrolle nicht notwendig?

Eine Vorabkontrolle muss nicht stattfinden, wenn für die Datenverarbeitung entweder eine gesetzliche Verpflichtung oder Einwilligung der betroffenen Person besteht oder aber die Verarbeitung erforderlich ist, um ein „rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis“ zu beginnen, durchzuführen oder zu beenden.

Wie verläuft eine Vorabkontrolle?

Zuständig für die Durchführung der Vorabkontrolle ist laut § 4d Absatz 6 BDSG der Datenschutzbeauftragte. Zunächst muss er prüfen (z. B. anhand einer Checkliste), ob eine Vorabkontrolle für das betreffende Verfahren überhaupt notwendig ist.

Ob eine Vorabkontrolle notwendig ist oder nicht, berührt nicht die Pflicht, ein Verfahrensverzeichnis über die automatisierten Datenverarbeitungsprozesse zu führen.
Die Datenschutz-Vorabkontrolle wird von der Datenschutzbeauftragten durchgeführt.
Die Datenschutz-Vorabkontrolle wird von der Datenschutzbeauftragten durchgeführt.

Die empfohlene Gliederung für die Vorabkontrolle umfasst folgende Punkte:

  1. Systembeschreibung des Verfahrens
  2. Rechtsgrundlage der Datenverarbeitung
  3. Gefahrenanalyse
  4. Risikoanalyse
  5. Datensicherungskonzept

Zur Orientierung kann bei der Vorabkontrolle im Datenschutz folgendes Muster als Beispiel dienen. Es stellt jedoch nur die grobe Gliederung der Prüfpunkte dar. Wichtig ist, dass alle überprüften Punkte stets dokumentiert werden müssen.

Vorabkontrolle im Datenschutz (Muster)

Vorabkontrolle im Datenschutz: Muster zum Download

Sie können sich hier für die Vorabkontrolle im Datenschutz ein Muster herunterladen. Beachten Sie: Es dient nur der Orientierung!

Download als .pdf
Download als .doc

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (25 Bewertungen, Durchschnitt: 3,96 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.