Checkliste zur Durchführung der Vorabkontrolle

Diese Liste gibt lediglich Anhaltspunkte und Beispiele. Sie kann nicht alle denkbaren Varianten und relevanten Prüfungspunkte vollständig aufzeigen.

(Die als Klammerzusatz angegebenen Nummern beziehen sich jeweils auf die Nummerierung im Formular "Verfahrensverzeichnis" ? Muster 2)

1. Grundangaben

  • zur datenverarbeitenden Stelle (Nr. 1)

  • zur Zweckbestimmung (Nr. 2.1)

  • zur Rechtsgrundlage (Nr. 2.3)

  • zur Art der gespeicherten Daten (Nr. 3)

  • zur Schutzbedürftigkeit der Daten, insbesondere bei sensitiven Daten im Sinne von § 4 Abs. 3 DSG NRW oder sonst besonders schutzbedürftigen Daten

  • zum Kreis der Betroffenen (Nr. 4)

  • zur Übermittlung (Nr. 5 und 10)

  • zu den zugriffsberechtigten Personengruppen (Nr. 6)

  • zu den Fristen für die Sperrung und Löschung (Nr. 9)

2. Prüfung, ob

  • die Art der gespeicherten Daten (Nr. 3)

  • die Übermittlung (Nr. 5 und 10)

  • die Eingrenzung der Zugriffsberechtigungen (Nr. 6)

  • die Sperr- und Löschfristen (Nr.9)

von der angegebenen Zweckbestimmung und Rechtsgrundlage (Nr. 2) gedeckt sind, insbesondere auch unter Berücksichtigung des Grundsatzes der Datenvermeidung nach § 4 Abs. 2 DSG NRW. Ist dies nicht der Fall, muss geprüft werden, ob Änderungen im Verfahren möglich sind, die zu einem positiven Ausgang der Prüfung führen.

3. Prüfung, ob die Rechte der Betroffenen nach § 5 DSG NRW gewahrt sind.

  • Können die erforderlichen Auskünfte, Berichtigungen, Sperrungen und Löschungen durchgeführt werden?

  • Ist sichergestellt, dass der/die Betroffene in Fällen des § 5 Satz 1 Nr. 7 DSG NRW ihre/seine Rechte ohne unvertretbaren Aufwand geltend machen kann?

Auch hier ist im Negativfall die Nachbesserungsmöglichkeit zu prüfen.

4. Risikofaktoren für einen Missbrauch der Daten sind zu ermitteln. Dies sind Gefahren für

  • die Vertraulichkeit

  • die Integrität

  • die Verfügbarkeit

der Daten. Dazu gehören z.B. die Gefahr, dass Datenträger oder "Computerlisten" während des Transports gestohlen werden, Virenbefall, Gefahr von unbefugten Zugriffen.

5. Beurteilung der möglichen Folgen bei missbräuchlicher Verwendung der Daten, z.B.

  • Gefahren oder Nachteile für die Betroffenen

  • Schadensersatzansprüche

  • finanzielle Schäden

6. Angaben zu der Technik des Verfahrens:

  • Einzelplatz (Nr. 8.1)

  • bei vernetzten Rechnern auch Angaben zur Netzstruktur und Datenhaltung (Nr. 8.2)

  • eingesetzte Software (Nr. 8.3)

  • sowie zu den technischen und organisatorischen Maßnahmen nach § 10 Abs. 2 DSG NRW.

7. Abgleich der Risikofaktoren unter besonderer Berücksichtigung der Schutzbedürftigkeit der personenbezogenen Daten mit den getroffenen Sicherheitsmaßnahmen und Entscheidungen, ob das Restrisiko unter Anwendung des Verhältnismäßigkeitsgrundsatzes tragbar ist. Ist das Restrisiko zu hoch, ist zu prüfen, ob eine Nachbesserung der Technik des Verfahrens oder der technischen und organisatorischen Maßnahmen eine positive Bewertung ergibt. Ist dies nicht der Fall, ist die Alternative auszuschließen. Bei vertretbarem Restrisiko endet die Vorabkontrolle dieser Alternative mit positivem Ergebnis.

Das Ergebnis der Vorabkontrolle ist aufzuzeichnen.