Bundesamt für Sicherheit in der Informationstechnik

G 2.167 Fehlende oder nicht ausreichende Vorabkontrolle

Weist eine Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen auf wie z. B. die Verarbeitung besonderer Datenarten (Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) oder soll damit die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens bewertet werden, ist vor dem Beginn der Verarbeitung eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG ). Dies gilt allerdings nicht, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. In manchen Landesdatenschutzgesetzen ist eine Vorabkontrolle generell bei allen Verfahren vorgeschrieben, mit denen personenbezogene Daten durch öffentliche Stellen verarbeitet werden. Die Voraussetzungen hierfür können von den beim Bund geltenden Regelungen abweichen.

Wird eine vorgeschriebene Vorabkontrolle nicht oder nur unzureichend durchgeführt, können sich Gefahren für das informationelle Selbstbestimmungsrecht ergeben.

Beispiele:

  • Wenn Datenverarbeitungssysteme, mit denen personenbezogene Daten verarbeitet werden, von Unbefugten genutzt werden können, beispielsweise weil sie sich auf Grund unzureichender Sicherungsmaßnahmen Zutritt oder Zugang verschaffen können und dabei Kenntnis von Daten erhalten, kann dies besondere Risiken für die Rechte und Freiheiten der Betroffenen zur Folge haben.
  • Die Vertraulichkeit und Integrität der Daten kann bei der Verarbeitung bzw. während einer Datenübermittlung verletzt werden, wenn diese nicht ausreichend geschützt werden (z. B. durch Verschlüsselung).
  • Personenbezogene Daten, die im Auftrag verarbeitet werden, können durch den Auftragnehmer weit reichender als vertraglich geregelt zum Schaden der Betroffenen verarbeitet werden.
  • Personenbezogene Daten können unter Umgehung der Zweckbindung verarbeitet und unzulässigerweise miteinander zum Nachteil der Betroffenen verknüpft werden.

Stand: 9. EL Stand 2007

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK