Vorabkontrolle nach § 4 d Abs. 5 und Abs. 6 BDSG

Nach § 4 d Abs. 5 und Abs. 6 BDSG ist der betriebliche Datenschutzbeauftragte für die Durchführung von Vorabkontrollen zuständig. Soweit automatisierte Datenverarbeitungen betroffen sind, ergeben sich auf Grund des Gesetzes besondere Pflichten für Unternehmen. IMG_0098

In der Praxis zeigt sich, dass viele Unternehmen Mühe mit der Vorabkontrolle haben. Es empfiehlt sich, im Zweifel lieber eine Falschkontrolle mehr, als zu wenig durchzuführen. Stellt sich im Rahmen der Vorabkontrolle heraus, dass eine der Ausnahmeregelungen greift, kann dies auch entsprechend dokumentiert werden. Bei kritischen Nachfragen der Aufsichtsbehörde kann so auch der Nachweis geführt werden, dass im Einzelnen die rechtlichen Situationen beachtet worden sind.

Um eine wirksame Vorabkontrolle durchzuführen, ist die rechtzeitige Einbeziehung des Datenschutzbeauftragten bei neu geplanten IT-Verfahren notwendig. Die vielfach zu beobachtende Praxis, dass zunächst alle Planungen durchgeführt werden, möglicherweise Angebote eingeholt werden und dann mehr zum Schluss der Datenschutzbeauftragte informiert wird, ist misslich und führt immer wieder zu Problemen und Auseinandersetzungen mit dem Datenschutz. Bei einer solchen Handhabung geraten Datenschutzbeauftragte immer wieder in die Rolle des „Show-Stoppers“.

Wir empfehlen dringend, den Datenschutzbeauftragten in einem frühen Planungsstadium mit einzubeziehen. So lassen sich datenschutzrechtliche Weichen der gesamten Planung stellen und unnötige datenschutzrechtliche Risiken vermeiden.

Um eine Vorabkontrolle durchzuführen, wird unter anderem eine Verfahrensbeschreibung und die Übersicht der zugriffsberechtigten Personen benötigt. Weitere vertiefende Unterlagen sind notwendig, beispielsweise eine Systembeschreibung oder eine Analyse der Risiken, die sich aus dem geplanten IT-Verfahren ergeben. Auch ein Blick auf das Datensicherheitskonzept empfiehlt sich.

Nach unserer Erfahrung kann mit frühzeitigen datenschutzrechtlichen Fragen auch bei potenziellen Auftragnehmern festgestellt werden, ob diese das Thema Datenschutz ernst nehmen. Wenn auf entsprechende Anforderungen, beispielsweise eines Datenschutzkonzeptes oder nähere Informationen zur Datensicherheit „Funkstille“ eintritt, ist dies ein deutliches Signal, dass das Thema Datenschutz möglicherweise nicht die Qualität hat, die sich ein Auftraggeber wünscht. Auch in frühen Präsentationen kann bei manchen Auftragnehmern die Frage nach dem betrieblichen Datenschutzbeauftragten durchaus für Überraschungen sorgen.

In unserer Beratungspraxis erleben wir wiederkehrend leicht aufgeregte Anrufe von Systemhäusern, die kurzfristig einen Datenschutzbeauftragten benötigen, da Kunden entsprechende Fragen gestellt haben.

Soweit im Rahmen von IT-Verfahren Zugriff über Fernwartung auf IT-Infrastrukturen des Auftraggebers erfolgen, sind darüber hinaus die Vorgaben der Auftragsdatenverarbeitung zu beachten. Hier erwartet der Gesetzgeber im Vorfeld ebenfalls eine genaue Betrachtung des potenziellen Auftragnehmers. Die Auswahl und die Prüfung der Sicherheitsmaßnahmen ist zu dokumentieren.

Nutzen Sie die Vorabkontrolle als Maßnahme zur Qualitätssicherung, nicht nur im Bereich Datenschutz, sondern mit Blick auf das gesamte geplante IT-Verfahren.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen