G 6.6 Fehlende oder nicht ausreichende Vorabkontrolle

Weist eine Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen auf wie z. B. die Verarbeitung besonderer Datenarten (Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) oder soll damit die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens bewertet werden, ist vor dem Beginn der Verarbeitung eine Vorabkontrolle durchzuführen (§ 4d Abs. 5 BDSG ). Dies gilt allerdings nicht, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient. In manchen Landesdatenschutzgesetzen ist eine Vorabkontrolle generell bei allen Verfahren vorgeschrieben, mit denen personenbezogene Daten durch öffentliche Stellen verarbeitet werden. Die Voraussetzungen hierfür können von den beim Bund geltenden Regelungen abweichen.

Wird eine vorgeschriebene Vorabkontrolle nicht oder nur unzureichend durchgeführt, können sich Gefahren für das informationelle Selbstbestimmungsrecht ergeben.

Beispiele: