Als ureigenste Domäne eines Datenschutzbeauftragten und als Königsdisziplin im Datenschutz-Alltag gilt die sogenannte Vorabkontrolle. Auch gilt sie als unentbehrlich für einen revisionssicheren Datenschutz im Unternehmen.
Der Vorteil an der Vorabkontrolle ist vor allem die Möglichkeit, Fehler bei zukünftigen Verfahren frühzeitig zu erkennen und beheben bzw. vermeiden zu können.
Und auch für den Datenschutzbeauftragten kann die Vorabkontrolle eine Möglichkeit sein, sich zu beweisen. Denn dafür ist meist sein ganzes Können gefragt. Sollten trotz höchster Kompetenz seinerseits beispielsweise Zeitknappheit oder Erfahrungsmangel zutage treten, empfiehlt es sich aber auch, externe Unterstützung in Sachen Datenschutz zurate zu ziehen.
Alternativ käme infrage, vor allem bei aufkommenden Unsicherheiten die Aufsichtsbehörde einzuschalten. Was dabei niemand unterschätzen sollte, ist der Aufwand, der für die Vorabkontrolle betrieben werden muss. Dieser ist aber natürlich auch von Unternehmen zu Unternehmen unterschiedlich.
Die Königsdisziplin eines Datenschutzbeauftragten – Trotzdem vernachlässigt
Das Besondere an der Vorabkontrolle im Datenschutz ist unter anderem, dass sie als Königsdisziplin des Datenschutzbeauftragten gilt. Trotzdem ist sie diejenige Komponente seiner Pflichten, die er statistisch am häufigsten falsch versteht, interpretiert und/oder durchführt.
Dabei erstaunt dies angesichts der Tatsache, dass einzig und allein der Datenschutzbeauftragte dazu berechtigt ist, die Vorabkontrolle durchzuführen. Außerdem sichert sie seine Stellung im Unternehmen. Daher verwundert es schon sehr, dass sie nicht zu den Lieblingsthemen eines jeden Datenschutzbeauftragten zählt.
Die Realität hingegen sieht so aus, dass die Vorabkontrolle bei praktischen Abläufen in Betrieben und Behörden häufig übersehen wird. Dabei stellt sich zwangsläufig die Frage, warum dem so ist. Denn ob Unsicherheit oder mangelnde Erfahrung der Grund für die Vernachlässigung ist, stellt dies trotzdem keine Entschuldigung dar.
Wie bereits erwähnt, kann in solchen Fällen auch externe Unterstützung zu Hilfe gebeten werden. Tatsache ist und bleibt nämlich: Führt der Datenschutzbeauftragte die Vorabkontrolle unsauber oder gar nicht durch, ist dies ein ernstzunehmender Verstoß gegen seine Pflichten sowie gegen datenschutzrechtliche Vorschriften.
Führt er die Vorabkontrolle ordnungsgemäß durch, so kann ein Unternehmen datenschutzkonforme Abläufe gewährleisten. Dabei sind es häufig automatisierte Verfahren, die durch die Vorabkontrolle geprüft werden.
Dafür muss das Unternehmen dann aber auch die Hinweise des Datenschutzbeauftragten ernst nehmen und umsetzen. Statistisch betrachtet hätte ein Großteil der Datenschutzverstöße und -skandale der letzten Jahre vermieden werden können. Dafür wäre lediglich eine korrekte Durchführung der Vorabkontrolle und ein Umsetzen der entsprechenden Hinweise des Datenschutzbeauftragten nötig gewesen.
Stattdessen hat man Fallstricke und Verstöße gegen die DSGVO nicht rechtzeitig erkannt und dementsprechend nicht vermeiden können. Dadurch resultierten meist finanziell belastende sowie imageschädigende Folgen für die betroffenen Unternehmen.
Nur wenig bis keine Hintergrundliteratur zur Vorabkontrolle
Das Bildungsmaterial bezüglich der wesentlichen Pflichten eines Datenschutzbeauftragten ist mehr als umfassend. Außerdem gibt es unzählige Datenschutz-Blogs, die über die Gefährdungspotenziale beim Datenschutz informieren.
Man braucht einfach nur einmal im Internet nach Verfahrensverzeichnissen und dazu erforderlichen Verfahrensbeschreibungen suchen. Man findet Dutzende Ergebnisse, wo Checklisten oder brauchbare Dokumente hinterlegt sind, die Aufschluss darüber geben. Ebenso verhält es sich, wenn man nach der Dokumentation technischer und organisatorischer Maßnahmen sucht.
Anders hingegen sieht es beim Thema Vorabkontrolle aus. Hier findet man zwar ein paar relativ identische Hinweise bei den jeweiligen Landesbeauftragten für Datenschutz, doch beziehen sich auch diese Hinweise eher auf öffentlich-rechtliche Institutionen als auf kommerzielle Unternehmen. Außerdem wird hier mehr Bezug auf die jeweiligen Landesdatenschutzgesetze genommen.
Einzige Ausnahme stellt dabei die hessische Landesaufsichtsbehörde dar. Diese hat eine umfassende, leicht verständliche und gut anwendbare Orientierungshilfe zum Thema Vorabkontrolle veröffentlicht. Dies spielt sich aber leider auch hier nur im Rahmen der Behörden ab, für die das hessische Landesdatenschutzgesetz gilt. Mit Ausnahme dieses Beitrags des Landes Hessen gibt es zurzeit so gut wie keine vorfindbare literarische Unterstützung der Datenschutzbeauftragten im Punkt Vorabkontrolle.
Als Fazit lässt sich feststellen, dass die Datenschutzliteratur eklatante Mängel aufweist, wenn es um das Thema der Vorabkontrolle geht. Dies betrifft sowohl betriebliche als auch externe Datenschutzbeauftragte, insofern diese nicht für öffentlich-rechtliche Institutionen tätig sind.