Muster 3

Checkliste für Vorabkontrolle

 

Folgender Ablauf ist zu durchlaufen:

(Die als Klammerzusatz angegebenen Nummern beziehen sich jeweils auf die Nummerierung in Formular „Verfahrensverzeichnis“ – Muster 2)

 

1.   Grundangaben

- zur datenverarbeitenden Stelle (Nr.1)

- zur  Zweckbestimmung (Nr. 2.1)

- zur Rechtsgrundlage (Nr. 2.3)

- zur Art der gespeicherten Daten (Nr. 3)

- zur Schutzbedürftigkeit der Daten, insbesondere bei sensitiven Daten im Sinne von § 4 Abs. 3 DSG NRW oder sonst besonders schutzwürdiger Daten

- zum Kreis der Betroffenen (Nr. 4)

- zur Übermittlung (Nr. 5 und 10)

- zu den zugriffsberechtigten Personengruppen (Nr. 6)

- zu den Fristen für die Sperrung und Löschung (Nr. 9)

 

2.   Prüfung, ob

- die Art der gespeicherten Daten (Nr. 3)

- die Übermittlungen (Nr. 5 und 10)

- die Eingrenzung der Zugriffsberechtigten (Nr. 6)

- die Sperr- und Löschfristen (Nr. 9)

von der angegebenen Zweckbestimmung und Rechtsgrundlage (Nr. 2) gedeckt ist, insbesondere auch unter Berücksichtigung des Grundsatzes der Datenvermeidung nach § 4 Abs. 2 DSG NRW. Ist dies nicht der Fall, muss geprüft werden, ob Änderungen im Verfahren möglich sind, die zu einem positiven Ausgang der Prüfung führen.

 

3.   Prüfung, ob die Rechte der Betroffenen nach § 5 DSG NRW gewahrt sind.

- Können die erforderlichen Auskünfte, Berichtigungen, Sperrungen und Löschungen durchgeführt werden?

- Ist sichergestellt, dass der/die Betroffenen in Fällen des § 5 Satz 1 Nr. 7 DSG NRW ihre/seine Rechte ohne unvertretbaren Aufwand geltend machen kann?

Auch hier ist im Negativfall die Nachbesserungsmöglichkeit zu prüfen.

 

4.   Risikofaktoren für einen Missbrauch der Daten sind zu ermitteln. Dies sind Gefahren für

- die Vertraulichkeit

- die Integrität

- die Verfügbarkeit

der Daten. Dazu gehören z.B. die Gefahr, dass Datenträger oder „Computerlisten“ während des Transports gestohlen werden, Virenbefall, Gefahr vor unbefugten Zugriffen.

 

5.   Beurteilung der möglichen Folgen bei missbräuchlicher Verwendung der Daten, z.B.

- Gefahren oder Nachteile für die Betroffenen

- Schadensersatzansprüche

- Finanzielle Schäden

 

6.   Angaben zu der Technik des Verfahrens:

- Einzelplatzsystem (Nr. 8.1)

- bei vernetzten Rechnern auch Angaben zur Netzstruktur und Datenhaltung (Nr. 8.2)

eingesetzte Software

- sowie zu den technischen und organisatorischen Maßnahmen nach § 10 Abs. 2 DSG NRW

 

7.   Abgleich der Risikofaktoren unter besonderer Berücksichtigung der Schutzbedürftigkeit der personenbezogenen Daten mit den getroffenen Sicherheitsmaßnahmen und Entscheidung, ob das Restrisiko unter Anwendung des Verhältnismäßigkeitsgrundsatzes tragbar ist. Ist das Restrisiko zu hoch, ist zu prüfen, ob eine Nachbesserung der Technik des Verfahrens oder der technischen und organisatorischen Maßnahmen eine positive Bewertung ergibt. Ist dies nicht der Fall, ist die Alternative auszuschließen. Bei vertretbarem Restrisiko endet die Vorabkontrolle dieser Alternative mit positivem Ergebnis.

Das Ergebnis der Vorabkontrolle ist aufzuzeichnen.